【文章內(nèi)容簡介】 DDoS攻擊模型第3章 DDoS攻擊動機(jī)和癥狀特征．DDoS攻擊的動機(jī)黑客采用這種具有極強(qiáng)破壞力的攻擊方式，一般有以下幾點(diǎn)動機(jī)：仇恨或報復(fù)。攻擊者由于對公司或者組織的不滿而發(fā)起報復(fù)性攻擊；經(jīng)濟(jì)原因。由于DDoS攻擊會造成大型服務(wù)器癱瘓，導(dǎo)致很大的經(jīng)濟(jì)損失，因此一些攻擊者以此作為敲詐勒索的手段；政治原因或信息戰(zhàn)。一些組織或個人通過此手段發(fā)動信息戰(zhàn)爭，震懾敵人等。．DDoS攻擊的癥狀特征遭到DDoS攻擊后，常見的癥狀特征有以下幾種：被攻擊主機(jī)上有大批等待的TCP連接；數(shù)據(jù)流中充滿著大批的無用的數(shù)據(jù)包，源地址為假； 服務(wù)器處理能力滿負(fù)荷，或頻繁死機(jī)或重啟動；鏈路中存在大量高流量無用數(shù)據(jù)，造成數(shù)據(jù)鏈路擁塞，使受害主機(jī)無法正常和外界通信；利用受害主機(jī)可以提供服務(wù)或傳輸協(xié)定這一缺點(diǎn)，重復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法實(shí)時處置全部正常請求。第四章 DDoS攻擊步驟介紹．DDoS攻擊步驟DDoS攻擊，并非像DoS攻擊那樣簡單，攻擊者想要進(jìn)行DDoS攻擊，一般需要經(jīng)歷以下3個步驟：. 獲取目標(biāo)信息黑客非常關(guān)心的情報有：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況；目標(biāo)主機(jī)的配置、性能；目標(biāo)的帶寬。對于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點(diǎn)，有一個重點(diǎn)就是確定到底有多少臺主機(jī)在支持這個站點(diǎn)，一個大的網(wǎng)站一般有很多臺主機(jī)利用負(fù)載均衡技術(shù)提供同一個網(wǎng)站的服務(wù)。攻擊者想要徹底使目標(biāo)站點(diǎn)拒絕服務(wù)，就必須使支持該站點(diǎn)的所有主機(jī)都拒絕服務(wù)。所以，事先搜集目標(biāo)主機(jī)（或者主機(jī)群）的信息對DDoS攻擊者來說是非常重要的，這關(guān)系到使用多少臺傀儡機(jī)才能達(dá)到效果的問題。. 占領(lǐng)傀儡機(jī)黑客最感興趣的主機(jī)有三個基本條件：鏈路狀態(tài)好；性能好；安全管理水平差。攻擊者占領(lǐng)傀儡機(jī)的方法有多種，如掃描端口、安置后門程序、網(wǎng)站惡意鏈接等等。目前，獲得大量傀儡機(jī)最有效的方法是通過攜帶后門程序的蠕蟲，通過蠕蟲的傳播，后門程序就被安裝到受蠕蟲感染的傀儡機(jī)上。因此，這些傀儡機(jī)被攻擊者侵占并安裝上了攻擊程序，隨時等待攻擊者的命令。. 實(shí)際攻擊經(jīng)過前2個階段的精心準(zhǔn)備之后，黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備攻擊了。具體步驟為：黑客首先登錄到作為控制臺的傀儡機(jī)，并向所有的攻擊機(jī)發(fā)出攻擊命令，這時候存于攻擊機(jī)中的DDoS攻擊程序就會響應(yīng)控制臺的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致目標(biāo)主機(jī)死機(jī)或是無法響應(yīng)正常的請求，達(dá)到攻擊效果。第五章 DDoS攻擊常見分類．SYN Flood【1】攻擊SYNFlood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊數(shù)據(jù)包，造成目標(biāo)服務(wù)器中的半開連接【2】隊列被占滿，從而阻止其他合法用戶進(jìn)行訪問。正常的TCP請求如圖表2，客戶機(jī)與服務(wù)器通過三次握手的方式建立可靠連接，然后實(shí)現(xiàn)數(shù)據(jù)傳輸。SYNFlood攻擊則不會完成TCP三次握手的第三步（如圖表3），也就是不發(fā)送確認(rèn)連接的信息ACK給服務(wù)器。這樣，服務(wù)器無法完成第三次握手，但服務(wù)器不會立即放棄，服務(wù)器會不停的重試并等待一定的時間后放棄這個未完成的連接，這段時間叫做SYN timeout，這段時間大約75秒左右。由于半開連接的數(shù)量是有限的（很多操作系統(tǒng)的半開連接數(shù)的默認(rèn)值為1024），如果攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務(wù)器端將會消耗非常多的資源來處理這種半開連接而不會有空余去處理普通用戶的正常請求(因?yàn)榭蛻舻恼Ｕ埱蟊嚷屎苄?，最終該服務(wù)器便無法正常工作，從而達(dá)到攻擊者的目的。圖表 2 TCP連接的三次握手圖表 3 SYNFlood攻擊模型．Connection Flood攻擊Connection Flood即TCP連接耗盡攻擊（或叫著空連接攻擊），是一種典型的、非常有效的躲避防火墻阻擋的攻擊方式。這種攻擊的原理是攻擊者操控大量的具有真實(shí)的IP地址的傀儡主機(jī)或者代理服務(wù)器對目標(biāo)服務(wù)器發(fā)起大規(guī)模的連接，并且在建立連接之后不發(fā)送數(shù)據(jù)，迫使服務(wù)器一直保持連接狀態(tài)，占用服務(wù)器的資源，當(dāng)連接數(shù)達(dá)到一定規(guī)模，超過了服務(wù)器的能力時，正常的連接請求將無法建立，從而達(dá)到拒絕服務(wù)的攻擊目的。Connection Flood攻擊模型如圖表4。值得一提的是，Connection Flood攻擊不同于SYN Flood攻擊，SYN Flood攻擊需要持續(xù)發(fā)送數(shù)據(jù)，而這種攻擊無需不停地向受害者發(fā)起連接，只要連接數(shù)達(dá)到一定水平以后，攻擊者就可以停止發(fā)送，而受害者系統(tǒng)將一直保持拒絕服務(wù)狀態(tài)。通常這可以在防火墻上限制每個源IP地址每秒鐘的連接數(shù)來達(dá)到防護(hù)目的。圖表 4 Connection Flood攻擊模型．CC攻擊CC是Challenge Collapsar的縮寫，譯為向黑洞發(fā)起挑戰(zhàn)。CC攻擊是最著名的基于腳本頁面的DDoS攻擊，也是最典型的以小博大的攻擊方式。CC攻擊的原理是攻擊者借助代理服務(wù)器或者利用自己控制的大量傀儡機(jī)向目標(biāo)服務(wù)器發(fā)起基于HTTP協(xié)議的正常的連接請求，迫使目標(biāo)服務(wù)器忙于處理這些請求而無暇處理正常用戶的請求，從而達(dá)到拒絕服務(wù)的攻擊目的。CC攻擊主要是針對存在ASP、JSP、PHP、CGI等的腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的。CC攻擊的特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用，占用連接的同時占用帶寬。一般來說，提交一個GET或POST指令對客戶端的耗費(fèi)和帶寬的占用幾乎是可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費(fèi)是相當(dāng)大的。因此，攻擊者利用這一特點(diǎn)通過Proxy代理【3】向目標(biāo)服務(wù)器大量的遞交查詢指令，只需數(shù)分鐘就能使目標(biāo)服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。 ．反射攻擊所謂反射攻擊，是指攻擊者或者控制下的傀儡機(jī)向作為第三方的反射器【4】發(fā)送特定數(shù)據(jù)包，再經(jīng)由反射器向受害者發(fā)送攻擊者所希望的回應(yīng)數(shù)據(jù)包的一種攻擊方式。反射攻擊是利用了反射器能響應(yīng)一個消息的要求而自行產(chǎn)生另一個回應(yīng)消息的特征或能力。反射攻擊的模型如圖表5。反射攻擊的原理是攻擊者向網(wǎng)絡(luò)上的某個或一些IP廣播地址發(fā)送大量的ICMP【5】回應(yīng)請求信息，而這些信息的源IP地址被偽造成受害者的IP地址，由于多數(shù)的網(wǎng)絡(luò)主機(jī)都會監(jiān)聽該廣播地址，當(dāng)這些網(wǎng)絡(luò)主機(jī)每收到指向該地址的一個Ping包以后，就會向請求包的源IP地址回