DDOS專題詳細講解

1、 DDos***原理
DDOS是英文Distributed Denial of Service的縮寫，即「分佈式拒絕服務」,DDoS***原理大體分爲如下三種:
1.經過發送大的數據包堵塞服務器帶寬形成服務器線路癱瘓;
2.經過發送特殊的數據包形成服務器TCP/IP協議模塊耗費CPU內存資源最終癱瘓;
3.經過標準的鏈接創建起鏈接後發送特殊的數據包形成服務器運行的網絡服務軟件耗費CPU內存最終癱瘓(好比WEB SERVER、FTP SERVER、 遊戲服務器等)。

2、 DDoS***種類能夠分爲如下幾種:

因爲肉雞的***能夠隨時更新***的數據包和***方式，因此新的***更新很是快這裏咱們介紹幾種常見的***的原理和分類
一、SYN變種***
發送僞造源IP的SYN數據包可是數據包不是64字節而是上千字節,這種***會形成一些防火牆處理錯誤致使鎖死，消耗服務器CPU內存的同時還會堵塞帶寬。
二、TCP混亂數據包***
發送僞造源IP的 TCP數據包，TCP頭的TCP Flags 部分是混亂的多是syn ,ack ,syn+ack ,syn+rst等等，會形成一些防火牆處理錯誤致使鎖死，消耗服務器CPU內存的同時還會堵塞帶寬。
三、針對UDP協議***
不少聊天室，視頻音頻軟件，都是經過UDP數據包傳輸的，***者針對分析要***的網絡軟件協議，發送和正常數據同樣的數據包，這種***很是難防禦，通常防禦牆經過攔截***數據包的特徵碼防禦，可是這樣會形成正常的數據包也會被攔截，
四、針對WEB Server的多鏈接***
經過控制大量肉雞同時鏈接訪問網站，形成網站沒法處理癱瘓，這種***和正常訪問網站是同樣的，只是瞬間訪問量增長几十倍甚至上百倍，有些防火牆能夠經過限制每一個鏈接過來的IP鏈接數來防禦，可是這樣會形成正經常使用戶稍微多打開幾回網站也會被封
五、針對WEB Server的變種***
經過控制大量肉雞同時鏈接訪問網站，一點鏈接創建就不斷開，一直髮送發送一些特殊的GET訪問請求形成網站數據庫或者某些頁面耗費大量的CPU,這樣經過 限制每一個鏈接過來的IP鏈接數進行防禦的方法就失效了，由於每一個肉雞可能只創建一個或者只創建少許的鏈接。這種***很是難防禦，後面給你們介紹防火牆的解決方案
六、針對WEB Server的變種***
經過控制大量肉雞同時鏈接網站端口，可是不發送GET請求而是亂七八糟的字符，大部分防火牆分析***數據包前三個字節是GET字符而後來進行http協議 的分析，這種***，不發送GET請求就能夠繞過防火牆到達服務器，通常服務器都是共享帶寬的，帶寬不會超過10M ,因此大量的肉雞***數據包就會把這臺服務器的共享帶寬堵塞形成服務器癱瘓，這種***也很是難防禦，由於若是隻簡單的攔截客戶端發送過來沒有GET字符的 數據包，會錯誤的封鎖不少正常的數據包形成正經常使用戶沒法訪問，後面給你們介紹防火牆的解決方案
七、針對遊戲服務器的***
由於遊戲服務器很是多，這裏介紹最先也是影響最大的傳奇遊戲，傳奇遊戲分爲登錄註冊端口7000,人物選擇端口7100，以及遊戲運行端口 7200,7300,7400等,由於遊戲本身的協議設計的很是複雜，因此***的種類也花樣倍出，大概有幾十種之多，並且還在不斷的發現新的***種類，這 裏介紹目前最廣泛的假人***，假人***是經過肉雞模擬遊戲客戶端進行自動註冊、登錄、創建人物、進入遊戲活動從數據協議層面模擬正常的遊戲玩家，很難從遊戲數據包來分析出哪些是***哪些是正常玩家。
3、DDoS防禦基本方法：
一、.關閉沒必要要的服務

1.Alerter[通知選定的用戶和計算機管理警報]

2.ClipBook[啓用「剪貼簿查看器」儲存信息並與遠程計算機共享]

3.Distributed File System[將分散的文件共享合併成一個邏輯名稱，共享出去，關閉後遠程計算機沒法訪問共享

4.Distributed Link Tracking Server[適用局域網分佈式連接]

6.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性，泄露信息]

7.Messenger[警報]

8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]

9.Network DDE[爲在同一臺計算機或不一樣計算機上運行的程序提供動態數據交換]

10.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]

11.Remote Desktop Help Session Manager[管理並控制遠程協助]

12.Remote Registry[使遠程計算機用戶修改本地註冊表]

13.Routing and Remote Access[在局域網和廣域往提供路由服務.***理由路由服務刺探註冊信息]

14.Server[支持此計算機經過網絡的文件、打印、和命名管道共享]

15.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶可以共享文件、打印和登陸到網絡]

16.Telnet[容許遠程用戶登陸到此計算機並運行程序]

17.Terminal Services[容許用戶以交互方式鏈接到遠程計算機]

18.Window s Image Acquisition (WIA)[照相服務，應用與數碼攝象機]

二、數據包的鏈接數從缺省值128或512修改成2048或更大，以加長每次處理數據包隊列的長度，以緩解和消化更多數據包的鏈接；

三、將鏈接超時時間設置得較短，以保證正常數據包的鏈接，屏蔽非法***包

四、及時更新系統、安裝補丁

五、用負載均衡技術，就是把應用業務分佈到幾臺不一樣的服務器上

六、流量牽引技術，大流量***最理想防護方法，但通常是專業硬件防火牆，價格昂貴。

4、 判斷網站被DDoS了的表現形式

一、被***主機上有大量等待的TCP鏈接,用netstat -an命令可看到

二、ping 服務器出現丟包嚴重,或沒法ping通.

三、CPU佔用率很高，有時候甚至達到100%，嚴重時會出現藍屏死機死機(這種是CC***最多見的現象).

四、鏈接3389時,晌應很慢或提示計算機太忙,沒法接受新鏈接.

五、網絡中充斥着大量的無用的數據包，源地址爲假.

5、受到DDOS***的應急處理

一、若有富餘的IP資源，能夠更換一個新的IP地址，將網站域名指向該新IP；

二、停用80端口，使用如81或其它端口提供HTTP服務，將網站域名指向IP:81

6、防護DDOS的建議

一、採用高性能的網絡設備

二、充足的網絡帶寬保證

三、安裝專業抗DDOS防火牆

如：冰盾防火牆、金盾防火牆、黑洞防火牆、傲盾防火牆

7、實戰配置冰盾防火牆防DDOS與CC***

測試環境：WEB服務器一臺，開放80端口，IP地址：192.168.2.250，安裝冰盾防火牆最新版和DDOS***監控器。DDOS服務器一臺而且參於***，IP地址：192.168.2.252，DDOS壓力測試軟件爲縐式網絡DDOS壓力測試2009。肉雞一臺，IP地址：192.168.2.249。

測試1、UDP***:

兩臺肉雞在線

沒有啓用防火牆效果以下，流量達到36M，兩臺肉雞產生的流量

啓用防火牆，設定UDP包最大爲512字節

流量就很小，幾乎沒有。

測試2、「TCP併發鏈接」***

沒有啓用防火牆效果以下，流量達到2.2M，兩臺肉雞產生的流量，而且有大量的TCP鏈接

啓用防火牆，而且設定相應規則

日誌顯示IP地址被過屏蔽，TCP鏈接也沒有用

測試3、ICMP***:

沒有啓用防火牆效果以下，流量達到5.8M，兩臺肉雞產生的流量，而且有大量的ICMP包

測試4、SYN***

啓用防火牆效果以下，收有大量SYN網絡包，沒有流量。

關閉防火牆效果以下，流量一會兒就到了近3M，只一臺肉雞***。

測試5、CC***

沒用啓用防火牆，收到大量的SYN和ACK包，兩臺肉雞流量達近12M，大量的TCP鏈接

啓用防火牆後，恢復正常