DDoS

什麼是DDoS攻擊
DDoS是英文Distributed Denial of Service的縮寫，中文意思是「分佈式拒絕服務」。那什麼又是拒絕服務呢？用戶能夠這樣理解，凡是能致使合法用戶不能進行正常的網絡服務的行爲都算是拒絕服務攻擊。拒絕服務攻擊的目的很是明確，就是要阻止合法用戶對正常網絡資源的訪問。
DDoS攻擊主要是經過不少「傀儡主機」向遠程計算機發送大量看似合法的數據包，從而形成網絡阻塞或服務器資源耗盡而致使拒絕服務。分佈式拒絕服務攻擊一旦被實施，攻擊數據包就會猶如洪水般涌向遠程計算機，從而把合法的數據包淹沒，致使合法用戶沒法正常地訪問服務器的網絡資源。所以，分佈式拒絕服務也被稱之爲「洪水攻擊」。DDoS的表現形式主要有兩種，一種是流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包致使網絡帶寬被阻塞，合法的網絡數據包被虛假的網絡數據包淹沒而沒法到達主機；另外一種爲資源耗盡攻擊，主要是針對服務器主機進行的攻擊，即經過大量的攻擊包致使主機的內存被耗盡，或是CPU被內核及應用程序佔完而形成沒法提供網絡服務。
DDoS的攻擊類型
DDoS的攻擊類型目前主要包括三種方式，即TCP-SYN Flood攻擊、UDP Flood攻擊以及提交腳本攻擊。
TCP-SYN Flood攻擊又稱半開式鏈接攻擊，每當咱們進行一次標準的TCP鏈接，都會有一個三次握手的過程，而TCP-SYN Flood在它的實現過程當中只有前兩個步驟。這樣，服務方會在必定時間處於等待接收請求方ASK消息的狀態。因爲一臺服務器可用的TCP鏈接是有限的，若是惡意攻擊方快速連續地發送此類鏈接請求，則服務器可用TCP鏈接隊列很快將會阻塞，系統資源和可用帶寬急劇降低，沒法提供正常的網絡服務，從而形成拒絕服務。
UDP Flood攻擊在網絡中的應用也是比較普遍的，基於UDP的攻擊種類也是比較多的，如目前在互聯網上提供網頁、郵件等服務的設備通常是使用UNIX操做系統的服務器，它們默認是開放一些有被惡意利用可能的UDP服務。若是惡意攻擊者將UDP服務互指，則網絡可用帶寬會很快耗盡形成拒絕服務。
提交腳本攻擊主要是針對存在ASP、PHP、CGI等腳本程序，並調用MSSQL、MYSQL、ACCESS等數據庫的網站系統設計的。首先是和服務器創建正常的TCP鏈接，並不斷地向數據庫提交註冊、查詢、刷新等消耗資源的命令，最終將服務器的資源消耗掉從而致使拒絕服務。
防範DDoS的三條軍規
1.檢查並修補系統漏洞
及早發現當前系統可能存在的攻擊漏洞，及時安裝系統的補丁程序。對一些重要的信息（例如系統配置信息）創建和完善備份機制。對一些特權帳號（例如管理員帳號）的密碼設置要謹慎。經過這樣一系列的舉措能夠把攻擊者的可乘之機下降到最小。
2.刪除多餘的網絡服務
在網絡管理方面，要常常檢查系統的物理環境，禁止那些沒必要要的網絡服務。創建邊界安全界限，確保輸出的包受到正確限制。常常檢測系統配置信息，並注意查看天天的安全日誌。若是你是一個單機用戶，可去掉多餘不用的網絡協議，徹底禁止NetBIOS服務，從而堵上這個危險的「漏洞」。
3. 本身定製防火牆規則
利用網絡安全設備（例如：硬件防火牆）來加固網絡的安全性，配置好這些設備的安全規則，過濾掉全部可能的僞造數據包，這種方法適合全部Windows操做系統的用戶。以天網我的防火牆爲例，新建一條空規則，規定以下：「數據包方向」設置爲「接收」，「對方IP地址」設置爲「任何」，「協議」設置爲「TCP」，「本地端口」設置爲「139到139」，「對方端口」設置爲「0到0」，在「標誌位」中選上「SYN標誌」，「動做」選擇「攔截」，保存便可。另外，其餘危險的端口也能夠用該方法進行設置。

##############################################################################

DDOS網絡攻擊是咱們最多見的問題了，要防止 DDOS網絡攻擊，首先就要了解其攻擊的方式。

1. Synflood:該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的主機的SYN  ACK後並不迴應，這樣，目的主機就爲這些源主機創建了大量的鏈接隊列，並且因爲沒有收到ACK一直維護着這些隊列，形成了資源的大量消耗而不能向正常請求提供服務。

2. Smurf：該攻擊向一個子網的廣播地址發一個帶有特定請求(如 ICMP迴應請求)的包，而且將源地址假裝成想要攻擊的主機地址。子網上全部主機都回應廣播包請求而向被攻擊主機發包，使該主機受到攻擊。

3. Land-based：攻擊者將一個包的源地址和目的地址都設置爲目標主機的地址，而後將該包經過 IP欺騙的方式發送給被攻擊主機，這種包能夠形成被攻擊主機因試圖與本身創建鏈接而陷入死循環，從而很大程度地下降了系統性能。

4. Ping of Death：根據 TCP/IP的規範，一個包的長度最大爲65536字節。儘管一個包的長度不能超過65536字節，可是一個包分紅的多個片斷的疊加卻能作到。當一個主機收到了長度大於65536字節的包時，就是受到了Ping of Death攻擊，該攻擊會形成主機的宕機。

5. Teardrop：IP數據包在網絡傳遞時，數據包能夠分紅更小的片斷。攻擊者能夠經過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量爲0，長度爲N，第二個包的偏移量小於N。爲了合併這些數據段， TCP/IP堆棧會分配超乎尋常的巨大資源，從而形成系統資源的缺少甚至機器的從新啓動。

6. PingSweep：使用 ICMP Echo輪詢多個主機。

7. Pingflood: 該攻擊在短期內向目的主機發送大量 ping包，形成網絡堵塞或主機資源耗盡。

網絡攻擊方面的術語解釋2008-02-14 17:55DDOS： DDOS的中文名叫分佈式拒絕服務攻擊，俗稱洪水攻擊。DoS的攻擊方式有不少種，最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶沒法獲得服務的響應。被攻擊主機上有大量等待的TCP鏈接，網絡中充斥着大量的無用的數據包，源地址爲假，製造高流量無用數據，形成網絡擁塞，使受害主機沒法正常和外界通信，利用受害主機提供的服務或傳輸協議上的缺陷，反覆高速的發出特定的服務請求，使受害主機沒法及時處理全部正常請求，嚴重時會形成系統死機。

Worm：網絡蠕蟲病毒，爲了儘可能減小蠕蟲病毒在網絡上的傳播，如今經常配置 ACL,把已知的蠕蟲病毒經常使用的一些端口給封掉。蠕蟲也在計算機與計算機之間自我複製，但蠕蟲病毒可自動完成複製過程，由於它接管了計算機中傳輸文件或信息的功能。一旦計算機感染蠕蟲病毒，蠕蟲便可獨自傳播。但最危險的是，蠕蟲可大量複製。例如，蠕蟲可向電子郵件地址簿中的全部聯繫人發送本身的副本，聯繫人的計算機也將執行一樣的操做，結果形成多米諾效應(網絡通訊負擔沉重)，業務網絡和整個  Internet 的速度都將減慢。

IP Spoof：即IP 電子欺騙，咱們能夠說是一臺主機設備冒充另一臺主機的IP地址，與其它設備通訊，從而達到某種目的技術。在TCP三次握手過程當中實現，黑客主機能夠僞裝TRUST的ip向TARget發送請求鏈接報文，target響應(在這個過程當中，黑客主機必須使用DDOS等拒絕服務攻擊使trust主機沒法接受target的包，而同時黑客主機又必須猜想target發送的響應包的內容以便向target發送確認報文，與target創建鏈接)。

SYN Flood：是當前最流行的DoS(拒絕服務攻擊)與 DdoS(分佈式拒絕服務攻擊)的方式之一，這是一種利用TCP協議缺陷，發送大量僞造的TCP鏈接請求，從而使得被攻擊方資源耗盡( CPU滿負荷或內存不足)的攻擊方式。發生在Tcp鏈接握手過程。

Social Engineering：社會工程攻擊是一種利用"社會工程學"來實施的網絡攻擊行爲。最近流行的免費下載軟件中捆綁流氓軟件、免費音樂中包含病毒、網絡釣魚、垃圾電子郵件中包括間諜軟件等，都是近來社會工程學的表明應用。

Honeybot： 僵屍網絡跟蹤工具。HoneyBOT是一款可以在網絡上模仿超過1000個易受攻擊的服務的Windows蜜罐程序，能夠捕獲和記錄入侵和襲擊企圖。它運行於Windows 2000及以上版本，是AtomicSfotwareSolutions公司的產品。

ShellCode：Shellcode實際是一段代碼(也能夠是填充數據)，是用來發送到服務器利用特定漏洞的代碼，通常能夠獲取權限。另外，Shellcode通常是做爲數據發送給受攻擊服務的。

Brute Attack：蠻力攻擊就是咱們常說的窮舉法。

#####################################################

就攻擊常識而言，若是冰盾DDOS攻擊監控器出現瞭如下狀況就是遭到了DDOS攻擊：  1. SYN數量大於100則是遭到了SYNFlood式的DDOS攻擊。  2. ACK數量大於500則遭受了ACKFlood式的DDOS攻擊(下載站正常狀況下也可能會達到1000個以上)。  3. ICMP數量大於50則可能遭到了ICMPFlood式的DDOS攻擊。  4. UDP數量不多而帶寬佔用很大，則可能遭到了UDPFlood攻擊。  5. CPU佔用率大於80%，而且主要被MSSQLServer或MySQL數據庫進程佔用了則可能遭到了CC類的DDOS攻擊。  以上DDOS攻擊都會致使網站沒法訪問、網絡緩慢斷線等被攻擊的現象。