淺談ddos***

轉載：網界論壇

DDoS***概念：
    DoS的***方式有不少種，最基本的DoS***就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶沒法獲得服務的響應。
　DDoS***手段是在傳統的DoS***基礎之上產生的一類***方式。單一的DoS***通常是採用一對一方式的，當***目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨着計算機與網絡技術的發展，計算機的處理能力迅速增加，內存大大增長，同時也出現了千兆級別的網絡，這使得DoS***的困難程度加大了——目標對惡意***包的"消化能力"增強了很多，例如你的***軟件每秒鐘能夠發送3,000個***包，但個人主機與網絡帶寬每秒鐘能夠處理10,000個***包，這樣一來***就不會產生什麼效果。
     這時侯分佈式的拒絕服務***手段（DDoS）就應運而生了。你理解了DoS***的話，它的原理就很簡單。若是說計算機與網絡的處理能力加大了10倍，用一臺***機來***再也不能起做用的話，***者使用10臺***機同時***呢？用100臺呢？DDoS就是利用更多的傀儡機來發起進攻，以比從前更大的規模來進攻受害者。  
     高速普遍鏈接的網絡給你們帶來了方便，也爲DDoS***創造了極爲有利的條件。在低速網絡時代時，***佔領***用的傀儡機時，老是會優先考慮離目標網絡距離近的機器，由於通過路由器的跳數少，效果好。而如今電信骨幹節點之間的鏈接都是以G爲級別的，大城市之間更能夠達到2.5G的鏈接，這使得***能夠從更遠的地方或者其餘城市發起，***者的傀儡機位置能夠在分佈在更大的範圍，選擇起來更靈活了。
     被DDoS***時的現象：
     * 被***主機上有大量等待的TCP鏈接
     * 網絡中充斥着大量的無用的數據包，源地址爲假
　* 製造高流量無用數據，形成網絡擁塞，使受害主機沒法正常和外界通信
    * 利用受害主機提供的服務或傳輸協議上的缺陷，反覆高速的發出特定的服務請求，使受害主機沒法及時處理全部正常請求
    * 嚴重時會形成系統死機
         ***運行原理：
                 
        如圖，一個比較完善的DDoS***體系分紅四大部分，先來看一下最重要的第2和第3部分：它們分別用作控制和實際發起***。請注意控制機與***機的區別，對第4部分的受害者來講，DDoS的實際***包是從第3部分***傀儡機上發出的，第2部分的控制機只發布命令而不參與實際的***。對第2和第3部分計算機，***有控制權或者是部分的控制權，並把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序同樣運行並等待來自***的指令，一般它還會利用各類手段隱藏本身不被別人發現。在平時，這些傀儡機器並無什麼異常，只是一旦***鏈接到它們進行控制，併發出指令的時候，***傀儡機就成爲害人者去發起***了。
　***是如何組織一次DDoS***的？
    這裏用「組織」這個詞，是由於DDoS並不象***一臺主機那樣簡單。通常來講，***進行DDoS***時會通過這樣的步驟：　　
   1. 蒐集瞭解目標的狀況
 

   下列狀況是***很是關心的情報：

　* 被***目標主機數目、地址狀況

　　* 目標主機的配置、性能

　　* 目標的帶寬

　　對於DDoS***者來講，***互聯網上的某個站點，如http://www.mytarget.com，有一個重點就是肯定到底有多少臺主機在支持這個站點，一個大的網站可能有不少臺主機利用負載均衡技術提供同一個網站的www服務。因此事先蒐集情報對DDoS***者來講是很是重要的，這關係到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，***同一站點的2臺主機須要2臺傀儡機的話，***5臺主機可能就須要5臺以上的傀儡機。有人說作***的傀儡機越多越好，反正無論你有多少臺主機我都用盡可能多的傀儡機來攻就是了，傀儡機超過了時效果更好。

　但在實際過程當中，有不少***並不進行情報的蒐集而直接進行DDoS的***，這時候***的盲目性就很大了，效果如何也要靠運氣。

　　2. 佔領傀儡機

　　***最感興趣的是有下列狀況的主機：

　　* 鏈路狀態好的主機

　　* 性能好的主機

　　* 安全管理水平差的主機

　　這一部分其實是使用了另外一大類的***手段：利用形***。這是和DDoS並列的***方式。簡單地說，就是佔領和控制被***的主機。取得最高的管理權限，或者至少獲得一個有權限完成DDoS***任務的賬號。對於一個DDoS***者來講，準備好必定數量的傀儡機是一個必要的條件，下面說一下他是如何***並佔領它們的。

　　首先，***作的工做通常是掃描，隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器，象程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞......(簡直舉不勝舉啊)，都是***但願看到的掃描結果。隨後就是嘗試***了，具體的手段就不在這裏多說了，感興趣的話網上有不少關於這些內容的文章。

　　總之***如今佔領了一臺傀儡機了！而後他作什麼呢？除了上面說過留後門擦腳印這些基本工做以外，他會把DDoS***用的程序上載過去，通常是利用ftp。在***機上，會有一個DDoS的發包程序，***就是利用它來向受害目標發送惡意***包的。

　　3. 實際***：

　　通過前2個階段的精心準備以後，***就開始瞄準目標準備發射了。前面的準備作得好的話，實際***過程反而是比較簡單的。就象圖示裏的那樣，***登陸到作爲控制檯的傀儡機，向全部的***機發出命令：「預備~ ，瞄準~，開火!」。這時候埋伏在***機中的DDoS***程序就會響應控制檯的命令，一塊兒向受害主機以高速度發送大量的數據包，致使它死機或是沒法響應正常的請求。***通常會以遠遠超出受害方處理能力的速度進行***，他們不會「憐香惜玉」。

　　老到的***者一邊***，還會用各類手段來監視***的效果，在須要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機，在能接到迴應的時候就再加大一些流量或是再命令更多的傀儡機來加入***。

　　DDoS的防範：

　　到目前爲止，進行DDoS***的防護仍是比較困難的。首先，這種***的特色是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP，纔有可能徹底抵禦住DDoS***。一位資深的安全專家給了個形象的比喻：DDoS就好象有1,000我的同時給你家裏打電話，這時候你的朋友還打得進來嗎？

　　不過即便它難於防範，也不是說咱們就應該逆來順受，實際上防止DDoS並非絕對不可行的事情。互聯網的使用者是各類各樣的，與DDoS作鬥爭，不一樣的角色有不一樣的任務。咱們如下面幾種角色爲例：

　* 企業網管理員

　　* ISP、ICP管理員

　　* 骨幹網絡運營商

　　企業網管理員:

　　網管員作爲一個企業內部網的管理者，每每也是安全員、守護神。在他維護的網絡中有一些服務器須要向外提供WWW服務，於是不可避免地成爲DDoS的***目標，他該如何作呢？能夠從主機與網絡設備兩個角度去考慮。

　　主機上的設置：

　　幾乎全部的主機平臺都有抵禦DoS的設置，總結一下，基本的有幾種：

　　* 關閉沒必要要的服務

　　* 限制同時打開的Syn半鏈接數目

　　* 縮短Syn半鏈接的time out 時間

　　* 及時更新系統補丁

　　網絡設備上的設置：

　　企業網的網絡設備能夠從防火牆與路由器上考慮。這兩個設備是到外界的接口設備，在進行防DDoS設置的同時，要注意一下這是以多大的效率犧牲爲代價的，對你來講是否值得。

　　防火牆：

　　* 禁止對主機的非開放服務的訪問

　　* 限制同時打開的SYN最大鏈接數

　　* 限制特定IP地址的訪問

　　* 啓用防火牆的防DDoS的屬性

　　* 嚴格限制對外開放的服務器的向外訪問

　　第五項主要是防止本身的服務器被當作工具去害人。

　　路由器：

　　以Cisco路由器爲例

　　* Cisco Express Forwarding（CEF）

　　* 使用 unicast reverse-path

　　* 訪問控制列表（ACL）過濾

　　* 設置SYN數據包流量速率

　　* 升級版本太低的ISO

　　* 爲路由器創建log server

　　其中使用CEF和Unicast設置時要特別注意，使用不當會形成路由器工做效率嚴重降低，升級IOS也應謹慎。路由器是網絡的核心設備，與你們分享一下進行設置修改時的小經驗，就是先不保存。Cisco路由器有兩份配置startup config和running config，修改的時候改變的是running config，可讓這個配置先跑一段時間（三五天的就隨意啦），以爲可行後再保存配置到startup config；而若是不滿意想恢復原來的配置，用copy start run就好了。 　　ISP / ICP管理員：

ISP / ICP爲不少中小型企業提供了各類規模的主機託管業務，因此在防DDoS時，除了與企業網管理員同樣的手段外，還要特別注意本身管理範圍內的客戶託管主機不要成爲傀儡機。客觀上說，這些託管主機的安全性廣泛是不好的，有的連基本的補丁都沒有打就赤膊上陣了，成爲***最喜歡的"肉雞"，由於無論這臺機器***怎麼用都不會有被發現的危險，它的安全管理太差了；還沒必要說託管的主機都是高性能、高帶寬的——簡直就是爲DDoS定製的。而作爲ISP的管理員，對託管主機是沒有直接管理的權力的，只能通知讓客戶來處理。在實際狀況時，有不少客戶與本身的託管主機服務商配合得不是很好，形成ISP管理員明知本身負責的一臺託管主機成爲了傀儡機，卻沒有什麼辦法的局面。而託管業務又是買方市場，ISP還不敢得罪客戶，怎麼辦？我們管理員和客戶搞好關係吧，沒辦法，誰讓人家是上帝呢？呵呵，客戶多配合一些，ISP的主機更安全一些，被別人告狀的可能性也小一些。

　　骨幹網絡運營商：

　　他們提供了互聯網存在的物理基礎。若是骨幹網絡運營商能夠很好地合做的話，DDoS***能夠很好地被預防。在2000年yahoo等知名網站被***後，美國的網絡安全研究機構提出了骨幹運營商聯手來解決DDoS***的方案。其實方法很簡單，就是每家運營商在本身的出口路由器上進行源IP地址的驗證，若是在本身的路由表中沒有到這個數據包源IP的路由，就丟掉這個包。這種方法能夠阻止***利用僞造的源IP來進行DDoS***。不過一樣，這樣作會下降路由器的效率，這也是骨幹運營商很是關注的問題，因此這種作法真正採用起來還很困難。

　　對DDoS的原理與應付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情。但目前咱們至少能夠作到把本身的網絡與主機維護好，首先不讓本身的主機成爲別人利用的對象去***別人；其次，在受到***的時候，要儘可能地保存證據，以便過後追查，一個良好的網絡和日誌系統是必要的。不管DDoS的防護向何處發展，這都將是一個社會工程，須要IT界的同行們來一塊兒關注，通力合做。