DDOS、DRDOS、DOS攻擊概念以及基本的防護方法

   

     DoS攻擊、DDoS攻擊和DRDoS攻擊相信你們已經早有耳聞了吧!DoS是 Denial of Service的簡寫就是拒絕服務，而DDoS就是Distributed Denial of Service的簡寫就是分佈式拒絕服務,而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分佈反射式拒絕服務的意思。不過這3中攻擊方法最厲害的仍是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的惟一不一樣就是不用佔領大量的「肉雞」。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，因此對它們的防護辦法都是差很少的。

DoS攻擊是最先出現的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。可是如今的科技飛速發展，通常的網站主機都有十幾臺主機， 並且各個主機的處理能力、內存大小和網絡速度都有飛速的發展，有的網絡帶寬甚至超過了千兆級別。這樣咱們的一對一單挑式攻擊就沒有什麼做用了，搞很差本身 的機子就會死掉。舉個這樣的攻擊例子，假如你的機器每秒可以發送10個攻擊用的數據包，而被你攻擊的機器(性能、網絡帶寬都是頂尖的)每秒可以接受並處理 100攻擊數據包，那樣的話，你的攻擊就什麼用處都沒有了，並且很是有死機的可能。要知道，你如果發送這種1Vs1的攻擊，你的機器的CPU佔用率是 90%以上的，你的機器要是配置不夠高的話，那你就死定了。

圖-01 DoS攻擊

　不過，科技在發展，黑客的技術也在發展。正所謂道高一尺，魔高一仗。通過無數次當機，黑客們 終於又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說白了就是羣毆，用好多的機器對目標機器一塊兒發動DoS攻擊，但這不是不少黑客一塊兒參與 的，這種攻擊只是由一名黑客來操做的。這名黑客不是擁有不少機器，他是經過他的機器在網絡上佔領不少的「肉雞」，而且控制這些「肉雞」來發動DDoS攻 擊，要否則怎麼叫作分佈式呢。仍是剛纔的那個例子，你的機器每秒能發送10攻擊數據包，而被攻擊的機器每秒可以接受100的數據包，這樣你的攻擊確定不會 起做用，而你再用10臺或更多的機器來對被攻擊目標的機器進行攻擊的話，嘿嘿!結果我就不說了。

                         

圖-02 DDOS攻擊

DRDoS分佈反射式拒絕服務攻擊這是DDoS攻擊的變形，它與DDoS的不一樣之處就是 DrDoS不須要在攻擊以前佔領大量的「肉雞」。它的攻擊原理和Smurf攻擊原理相近，不過DRDoS是能夠在廣域網上進行的，而Smurf攻擊是在局 域網進行的。它的做用原理是基於廣播地址與迴應請求的。一臺計算機向另外一臺計算機發送一些特殊的數據包如ping請求時，會接到它的迴應;若是向本網絡的 廣播地址發送請求包，實際上會到達網絡上全部的計算機，這時就會獲得全部計算機的迴應。這些迴應是須要被接收的計算機處理的，每處理一個就要佔用一份系統 資源，若是同時接到網絡上全部計算機的迴應，接收方的系統是有可能吃不消的，就象遭到了DDoS攻擊同樣。不過是沒有人笨到本身攻擊本身，不過這種方法被 黑客加以改進就具備很大的威力了。黑客向廣播地址發送請求包，全部的計算機獲得請求後，卻不會把迴應發到黑客那裏，而是發到被攻擊主機。這是由於黑客冒充 了被攻擊主機。黑客發送請求包所用的軟件是能夠僞造源地址的，接到僞造數據包的主機會根據源地址把迴應發出去，這固然就是被攻擊主機的地址。黑客同時還會 把發送請求包的時間間隔減少，這樣在短期能發出大量的請求包，使被攻擊主機接到從被欺騙計算機那裏傳來的洪水般的迴應，就像遭到了DDoS攻擊致使系統 崩潰。駭客藉助了網絡中全部計算機來攻擊受害者，而不須要事先去佔領這些被欺騙的主機，這就是Smurf攻擊。而DRDoS攻擊正是這個原理，黑客一樣利 用特殊的發包工具，首先把僞造了源地址的SYN鏈接請求包發送到那些被欺騙的計算機上，根據TCP三次握手的規則，這些計算機會向源IP發出 SYN+ACK或RST包來響應這個請求。同Smurf攻擊同樣，黑客所發送的請求包的源IP地址是被攻擊主機的地址，這樣受欺騙的主機就都會把迴應發到 被攻擊主機處，形成被攻擊主機忙於處理這些迴應而癱瘓。

                      

圖-03 DRDoS分佈反射式拒絕服務攻擊

　DDoS究竟如何攻擊?目前最流行也是最好用的攻擊方法就是使用SYN-Flood進行攻擊，SYN-Flood也就是SYN洪水攻擊。SYN-Flood不會完成TCP三次握手的第三步，也就是不發送確認鏈接的信息給服務器。這樣，服務器無 法完成第三次握手，但服務器不會當即放棄，服務器會不停的重試並等待必定的時間後放棄這個未完成的鏈接，這段時間叫作SYN timeout，這段時間大約30秒-2分鐘左右。如果一個用戶在鏈接時出現問題致使服務器的一個線程等待1分鐘並非什麼大不了的問題，可是如有人用特殊的軟件大量模擬這種狀況，那後果就可想而知了。一個服務器如果處理這些大量的半鏈接信息而消耗大量的系統資源和網絡帶寬，這樣服務器就不會再有空餘去處理普通用戶的正常請求(由於客戶的正常請求比率很小)。這樣這個服務器就沒法工做了，這種攻擊就叫作:SYN-Flood攻擊。到目前爲止，進行DDoS攻擊的防護仍是比較困難的。首先，這種攻擊的特色是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP，纔有可能徹底抵禦住DDoS攻擊。不過這不等於咱們就沒有辦法阻擋DDoS攻擊，咱們能夠盡力來減小 DDoS的攻擊。下面就是一些防護方法:

　  1。確保服務器的系統文件是最新的版本，並及時更新系統補丁。

　　2。關閉沒必要要的服務。

　　3。限制同時打開的SYN半鏈接數目。

　　4。縮短SYN半鏈接的time out 時間。

　　5。正確設置防火牆

　　禁止對主機的非開放服務的訪問

　　限制特定IP地址的訪問

　　啓用防火牆的防DDoS的屬性

　　嚴格限制對外開放的服務器的向外訪問

　　運行端口映射程序禍端口掃描程序，要認真檢查特權端口和非特權端口。

6。認真檢查網絡設備和主機/服務器系統的日誌。只要日誌出現漏洞或是時間變動，那這臺機器就可能遭到了攻擊。

　　7。限制在防火牆外與網絡文件共享。這樣會給黑客截取系統文件的機會，主機的信息暴露給黑客，無疑是給了對方入侵的機會。

　　8。路由器

　　以Cisco路由器爲例

　　Cisco Express Forwarding(CEF)

　　使用 unicast reverse-path

　　訪問控制列表(ACL)過濾

　　設置SYN數據包流量速率

　　升級版本太低的ISO

　　爲路由器創建log server

可以瞭解DDoS攻擊的原理，對咱們防護的措施在加以改進，咱們就能夠擋住一部分的DDoS攻擊，知己知彼，百戰不殆嘛。