【文章內(nèi)容簡(jiǎn)介】 P包發(fā)送的速度，在data框中，定義UDP數(shù)據(jù)包包含的內(nèi)容，缺省情況下為UDP stress test的text文本內(nèi)容。單擊Go按鈕即可對(duì)目標(biāo)主機(jī)發(fā)起UDPFlood攻擊。圖10，輸入ipconfig /all命令查看圖114. 如圖12所示，在被攻擊主機(jī)中可以查看收到的UDP數(shù)據(jù)包圖12通過(guò)本次實(shí)驗(yàn)主要學(xué)會(huì)了使用DOS攻擊工具對(duì)目標(biāo)主機(jī)進(jìn)行攻擊；進(jìn)一步理解了DOS攻擊的原理及其實(shí)施過(guò)程。 小結(jié)：本章主要講述了DOS（拒絕服務(wù)）的原理及攻擊方式和防范技術(shù)。用實(shí)驗(yàn)方式來(lái)驗(yàn)證DOS攻擊。第三章講述DDOS（分布式拒絕服務(wù)） 什么是DDOS攻擊？分布式拒絕服務(wù)攻擊的英文意思是Distributed Denial of Service，簡(jiǎn)稱DDOS。它利用在已經(jīng)侵入并已控制的不同的高帶寬主機(jī)（可能是數(shù)百，甚至成千上萬(wàn)臺(tái)）上安裝大量的DOS服務(wù)程序，它們等待來(lái)自中央攻擊控制中心的命令，中央攻擊控制中心適時(shí)啟動(dòng)全體受控主機(jī)的DOS服務(wù)進(jìn)程，讓它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，形成一股DOS洪流沖擊目標(biāo)系統(tǒng)，猛烈的DOS攻擊同一個(gè)網(wǎng)站。在寡不敵眾的力量抗衡下，被攻擊的目標(biāo)網(wǎng)站會(huì)很快失去反應(yīng)而不能及時(shí)處理正常的訪問(wèn)甚至系統(tǒng)癱瘓、崩潰。 分布式拒絕服務(wù)的起源 分布式拒絕服務(wù) 用戶對(duì)于這個(gè)話題似乎已經(jīng)不再陌生,在當(dāng)今的網(wǎng)絡(luò)當(dāng)中用戶能夠經(jīng)常聽(tīng)見(jiàn)此類事件的發(fā)生，比如說(shuō)唐山黑客事件中，所利用的黑客技術(shù)就是DDOS攻擊。這種攻擊方法的可怕之處是會(huì)造成用戶無(wú)法對(duì)外進(jìn)行提供服務(wù)，時(shí)間一長(zhǎng)將會(huì)影響到網(wǎng)絡(luò)流量，造成用戶經(jīng)濟(jì)上的嚴(yán)重?fù)p失。造成這種類型攻擊的最主要原因就是商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，從實(shí)際情況來(lái)說(shuō)DDOS是不可能完全防范的，不過(guò)用戶必須要從最大程度上做好防范DDOS攻擊的措施，使用戶在遭受DDOS攻擊后的損失減至最低。英文名DDOS，是Distributed Denial of Service的縮寫,俗稱洪水攻擊。分布式拒絕服務(wù)的起源：1999年7月份左右，微軟公司的視窗操作系統(tǒng)的一個(gè)bug被人發(fā)現(xiàn)和利用，并且進(jìn)行了多次攻擊，這種新的攻擊方式被稱為“分布式拒絕服務(wù)攻擊”即為“DDOS（Distributed Denial Of Service Attacks）”。這也是一種特殊形式的拒絕服務(wù)攻擊。單一的DOS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DOS攻擊的困難程度加大了 目標(biāo)對(duì)惡意攻擊包的消化能力加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。這時(shí)候分布式的拒絕服務(wù)攻擊手段（DDOS）就應(yīng)運(yùn)而生了DDOS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)”(被攻擊者入侵過(guò)或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源。 DDOS的攻擊原理 眾所周知，DOS(Denial of Service，拒絕服務(wù)攻擊) 是DDOS的基礎(chǔ)，它利用了TCP三次握手過(guò)程的空子。攻 擊者首先向服務(wù)器發(fā)送帶有虛假地址的Syn連接請(qǐng)求，服 務(wù)器接~lJSyn請(qǐng)求信息之后就發(fā)送Syn+ACK或RST回復(fù) 信息，然后等待回傳信息。由于地址是虛假的，所以服 務(wù)器一直等不到回傳的消息分配給這次請(qǐng)求的服務(wù)器 資源就始終無(wú)法被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后， 連接會(huì)因超時(shí)而被中斷。攻擊者會(huì)再度傳送一批新的請(qǐng) 求，在這種反復(fù)不斷地、無(wú)休止地發(fā)送偽地址請(qǐng)求的情 況下，服務(wù)器資源在漫長(zhǎng)的回應(yīng)等待中最終被耗盡。 單一的DOS攻擊是一對(duì)一的。若被攻擊目標(biāo)計(jì)算機(jī) 的CPU速度低、內(nèi)存小或網(wǎng)絡(luò)帶寬窄等各項(xiàng)性能指標(biāo)不 高，其攻擊效果比較明顯。然而，隨著計(jì)算機(jī)處理能力 的大大提高和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，其對(duì)惡意攻擊包的 承受能力大為提高，使得攻擊者對(duì)目標(biāo)的攻擊效果大打 折扣。于是攻擊者們又找到了另一種新的DOS攻擊方法，RpDDOS。DDOS是利用多臺(tái)計(jì)算機(jī)，采用分布式對(duì)單個(gè)或多個(gè)目標(biāo)同時(shí)發(fā)起DOS攻擊。攻擊者首先尋找在互聯(lián)網(wǎng)上有系統(tǒng)漏洞(Bug)的計(jì)算機(jī)，竊取其IP地址、用戶名 和登錄密碼等數(shù)據(jù)，進(jìn)入系統(tǒng)后安裝后門程序，即木馬 病毒。這些被安裝了特定程序、受到攻擊者控制的各類計(jì)算機(jī)，充當(dāng)了傀儡角色。攻擊者發(fā)動(dòng)攻擊的時(shí)候，通常攻擊者本身并不直接參與，而是利用這些傀儡。攻擊時(shí)，攻擊者向主控端發(fā)送攻擊命令，主控端又把這些指令送到代理主機(jī)上，代理端是真正向受害者發(fā)起攻擊的 直接執(zhí)行者?，F(xiàn)今全球網(wǎng)絡(luò)廣泛連接，給我們的生活帶來(lái)了方便，同時(shí)也為DDOS攻擊創(chuàng)造了極為有利的條件?，F(xiàn)在，各大城市之間網(wǎng)絡(luò)帶寬都為G級(jí)，這使得網(wǎng)絡(luò)攻擊者更容易從遠(yuǎn)程城市，甚至從其他國(guó)家發(fā)起攻擊，受控制的代理端主機(jī)可以分布在更大范圍，甚至可以跨越國(guó)界遍布全世界，選擇和利用它更靈活、更方便，攻擊者隱藏起來(lái)更難以尋跡。DDOS攻擊一旦實(shí)施，攻擊數(shù)據(jù)包就會(huì)像洪水般地從四面八方涌向被攻擊主機(jī)，從而把合法用戶的連接請(qǐng)求淹沒(méi)掉，導(dǎo)致合法用戶長(zhǎng)時(shí)間無(wú)法使用網(wǎng)絡(luò)資源。圖1DDOS攻擊方式，可以看出，DDOS的攻擊分為三層:攻擊者、主控端和代理端，三者在攻擊中扮演著不同的角色。 攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)。攻擊者操縱整個(gè)攻擊過(guò)程，并向主控端發(fā)送攻擊命令。 主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制著大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。設(shè)置主控端的目的是隔離網(wǎng)絡(luò)聯(lián)系，保護(hù)攻擊者在攻擊時(shí)不受監(jiān)控系統(tǒng)的跟蹤，同時(shí)能更好的協(xié)調(diào)進(jìn)攻。 代理端同樣是攻擊者侵入并控制的一批主機(jī)，在它們的上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。代理端主機(jī)是攻擊的直接執(zhí)行者。攻擊者發(fā)起DDOS攻擊的第一步就是在Internet上尋找有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，獲得對(duì)系統(tǒng)的直接訪問(wèn)權(quán)。第二步是在入侵主機(jī)上安裝攻擊程序，讓一部分主機(jī)充當(dāng)攻擊的主控端，另一部分主機(jī)充當(dāng)攻擊的代理端，最后在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。 由于攻擊者的位置靈活，又使用了常見(jiàn)的協(xié)議，因此在攻擊時(shí)不會(huì)受到監(jiān)控系統(tǒng)的跟蹤，身份也不易被發(fā)現(xiàn)。 DDOS攻擊的目的 分布式拒絕服務(wù)(DDOS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDOS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 DDOS攻擊的主要形式 向某一固定目標(biāo)發(fā)出高流量垃圾數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法與外界通信。，反復(fù)高速地發(fā)送對(duì)某特定服務(wù)的連接請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理正常業(yè)務(wù)。，反復(fù)高速地發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯(cuò)誤，大量占用系統(tǒng)資源，使被攻擊主機(jī)處于假死狀態(tài)，甚至導(dǎo)致系統(tǒng)崩潰。 常見(jiàn)的DDOS攻擊類型有四種：1. 帶寬消耗 攻擊者消耗掉某個(gè)網(wǎng)絡(luò)的所有可用帶寬。攻擊者本身有更多的可用帶寬或征用多個(gè)站點(diǎn)集中擁塞受害者的網(wǎng)絡(luò)連接。2. 資源衰竭 攻擊者消耗掉諸如CPU利用率，內(nèi)存之類的系統(tǒng)資源。攻擊者擁有一定數(shù)量的系統(tǒng)資源的合法訪問(wèn)權(quán)，但濫用其消耗額外的資源。 是指應(yīng)用程序或者操作系統(tǒng)在處理異常條件是時(shí)的失敗。每個(gè)程序、操作系統(tǒng)都有缺陷，攻擊者利用這個(gè)規(guī)律，向目標(biāo)系統(tǒng)發(fā)送非正常格式的分組讓網(wǎng)絡(luò)協(xié)議?；蛳到y(tǒng)陷入異常。4. 路由和DNS攻擊 操縱路由表項(xiàng)（利用路由協(xié)議認(rèn)證機(jī)制的弱點(diǎn) ，變換合法路徑）；改變受害者DNS高速緩存的正確地址信息。拒絕服務(wù)攻擊的進(jìn)一步發(fā)展——分布式DOS攻擊，是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。DDOS攻擊是利用一批受控制的機(jī)器向某一臺(tái)機(jī)器發(fā)起攻擊，攻擊者實(shí)用的計(jì)算機(jī)數(shù)量和能占用的帶寬是沒(méi)有限制的，因此具有極大的破壞性。 DDOS攻擊種類 TCP全連接攻擊和SYN攻擊不同，它是用合法并完整的連接攻擊對(duì)方，SYN攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請(qǐng)求，防火墻一般都無(wú)法過(guò)濾掉這種攻擊，這種攻擊在現(xiàn)在的DDOS軟件中非常常見(jiàn)，有UDP碎片還有SYN洪水，甚至還有TCP洪水攻擊，這些攻擊都是針對(duì)服務(wù)器的常見(jiàn)流量攻擊 　　:2900 :80 ESTABLISHED 　　:2901 :80 ESTABLISHED 　　:2902 :80 ESTABLISHED 　　:2903 :80 ESTABLISHED 　　 全連接攻擊，通過(guò)大量完整的TCP鏈接就有可能讓服務(wù)器的80端口無(wú)法訪問(wèn)。SYN變種攻擊：發(fā)送偽造源IP的SYN數(shù)據(jù)包，但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)，這種攻擊會(huì)造成一些防火墻處理錯(cuò)誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。 CP混亂數(shù)據(jù)包攻擊　　發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn,ack,syn+ack,syn+rst等等，會(huì)造成一些防火墻處理錯(cuò)誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。 用UDP協(xié)議的攻擊　　很多聊天室，視頻音頻軟件，都是通過(guò)UDP數(shù)據(jù)包傳輸?shù)?，攻擊者針?duì)分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護(hù)，一般防護(hù)墻通過(guò)攔截攻擊數(shù)據(jù)包的特征碼防護(hù)，但是這樣會(huì)造成正常的數(shù)據(jù)包也會(huì)被攔截。 WEB Server多連接攻擊　　通過(guò)控制大量肉雞同時(shí)連接訪問(wèn)網(wǎng)站，造成網(wǎng)站癱瘓，這種攻擊和正常訪問(wèn)網(wǎng)站是一樣的，只是瞬間訪問(wèn)量增加幾十倍甚至上百倍，有些防火墻可以通過(guò)限制每個(gè)連接過(guò)來(lái)的IP連接數(shù)來(lái)防護(hù)，但是這樣會(huì)造成正常用戶稍微多打開(kāi)幾次網(wǎng)站也會(huì)被封。 WEB Server變種攻擊　　通過(guò)控制大量肉雞同時(shí)連接網(wǎng)站端口，但是不發(fā)送GET請(qǐng)求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個(gè)字節(jié)是GET字符然后來(lái)進(jìn)行協(xié)議的分析，這種攻擊，不發(fā)送GET請(qǐng)求就可以繞過(guò)防火墻到達(dá)服務(wù)器，一般服務(wù)器都是共享帶寬的，帶寬不會(huì)超過(guò)10M 所以大量的肉雞攻擊數(shù)據(jù)包就會(huì)把這臺(tái)服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓，這種攻擊也非常難防護(hù)，因?yàn)槿绻缓?jiǎn)單的攔截客戶端發(fā)送過(guò)來(lái)沒(méi)有GET字符的數(shù)據(jù)包，會(huì)錯(cuò)誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無(wú)法訪問(wèn)，后面給大家介紹防火墻的解決方案。 針對(duì)游戲服務(wù)器的攻擊　　一般基于包過(guò)濾的防火墻只能分析每個(gè)數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù)SYN,或者變種的SYN,ACK攻擊效果不錯(cuò)，但是不能從根本上來(lái)分析TCP,UDP協(xié)議，和針對(duì)應(yīng)用層的協(xié)議，比如,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來(lái)越多的都是針對(duì)應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒(méi)辦法很好的防護(hù)新型的攻擊。 SYN Flood攻擊SYNFlood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見(jiàn)的DDOS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過(guò)向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開(kāi)連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問(wèn)。這種攻擊早在1996年就被發(fā)現(xiàn)，但至今仍然顯示出強(qiáng)大的生命力。很多操作系統(tǒng)，甚至防火墻、路由器都無(wú)法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來(lái)非常困難。它的數(shù)據(jù)包特征通常是，源發(fā)送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回復(fù)。 ACK Flood攻擊ACK Flood攻擊是在TCP連接建立之后，所有的數(shù)據(jù)傳輸TCP報(bào)文都是帶有ACK標(biāo)志位的，主機(jī)在接收到一個(gè)帶有ACK標(biāo)志位的數(shù)據(jù)包的時(shí)候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開(kāi)放，則主機(jī)操作系統(tǒng)協(xié)議棧會(huì)回應(yīng)RST包告訴對(duì)方此端口不存在。 DDOS的表現(xiàn) ，源地址為假 ，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊 ，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求 5. .系統(tǒng)服務(wù)器CPU利用率極高，處理速度緩慢，