DDoS攻擊的方式是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上所產(chǎn)生的一類攻擊方式。單一的DoS攻擊通常是一對(duì)一的攻擊方式，當(dāng)攻擊目標(biāo)的CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存磁盤大大增加，網(wǎng)絡(luò)帶寬也增加迅速，這使得DoS攻擊的困難程度加大了。這時(shí)侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，比從前更大的規(guī)模來進(jìn)攻受害者。DDOS攻擊由于容易實(shí)施、難以防范、難以追蹤等而成為最難解決的網(wǎng)絡(luò)安全問題之一，給網(wǎng)絡(luò)社會(huì)帶來了極大的危害。同時(shí)，拒絕服務(wù)攻擊也將是未來信息戰(zhàn)的重要手段之一。
 

 

分布式拒絕服務(wù)(DDoS)攻擊中的分布式的意思是借助于客戶/服務(wù)器（C/S）技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，使用各自方式將被控代理程序安裝在Internet上的許多計(jì)算機(jī)（通常所說的‘肉雞’）上，在一個(gè)設(shè)定的時(shí)間點(diǎn)上主控程序?qū)⑴c大量代理程序通訊，激活代理程序，代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。就目前的技術(shù)而講，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行，按照攻擊者發(fā)出的指令進(jìn)行攻擊。大多數(shù)代理程序發(fā)出的攻擊流量從被攻擊者的角度來看與正常流量差別不明顯，這就造成防范DDOS攻擊十分的困難。
 

 

上面講了DDOS攻擊方式是什么，下面講一下常見的DDOS攻擊的攻擊原理。

 

Syn flood：利用了TCP三次握手中的弱點(diǎn)。具體的方法是：攻擊主機(jī)向目標(biāo)主機(jī)發(fā)出SYN報(bào)文發(fā)起TCP連接，但是攻擊主機(jī)并不回復(fù)最后一個(gè)ack報(bào)文，使得TCP握手無法完成，而目標(biāo)主機(jī)在TCP握手中需要分配資源維持這些未完成的連接，當(dāng)這樣的連接到達(dá)一定數(shù)目后，目標(biāo)主機(jī)就無法再響應(yīng)其他的連接請(qǐng)求。構(gòu)造出Synflood報(bào)文比較容易，只要將syn位置1，然后連接目標(biāo)主機(jī)的某個(gè)可用服務(wù)的端口即可。

 

Udp flood：由于UDP協(xié)議是無連接的，因此它不可能占用目標(biāo)主機(jī)的連接數(shù)，而只是通過發(fā)送大量UDP報(bào)文占用目標(biāo)主機(jī)的帶寬。通常情況下可以認(rèn)為這是一種自殺式的攻擊，因?yàn)樵诎l(fā)送報(bào)文的過程中，不僅目標(biāo)主機(jī)帶寬被占用，發(fā)包主機(jī)的帶寬也會(huì)收到嚴(yán)重的影響。構(gòu)造udpflood報(bào)文不需要很特殊的置位，只要在同一時(shí)間內(nèi)發(fā)送足夠多數(shù)量的UDP報(bào)文就可以形成。

 

ICMP flood：原理同UDPflood，不同的是報(bào)文中裝載的是ICMP報(bào)文。

 

CC攻擊：向受害者發(fā)起大量HTTP Get/Post請(qǐng)求，主要請(qǐng)求動(dòng)態(tài)頁面，涉及到數(shù)據(jù)庫(kù)訪問操作，消耗受害者服務(wù)器有效資源，從而無法響應(yīng)正常的請(qǐng)求。

 

IPsweep：嚴(yán)格的說，IPsweep并不能算是正式的攻擊，IPsweep的過程只是向各個(gè)地址發(fā)送ping包等待回應(yīng)，用以探測(cè)網(wǎng)絡(luò)中存活的主機(jī)，從而為下一步的攻擊做準(zhǔn)備。

 

Portscan：一種端口掃描方式。其方法是對(duì)指定目標(biāo)的端口發(fā)送SYN報(bào)文發(fā)起TCP連接，如果主機(jī)返回的是SYN+ACK，那么表示這個(gè)端口上有相應(yīng)的服務(wù)開放，如果主機(jī)返回的是RST，那么說明這個(gè)端口沒有服務(wù)在監(jiān)聽。

 

Land：在Land攻擊中主要運(yùn)用了兩種手段：IP欺騙和SYNflood。Land攻擊的原理是在IP首部將目標(biāo)主機(jī)的IP同時(shí)填寫為源地址和目的地址，然后再封裝一個(gè)SYN的TCP報(bào)文發(fā)送出去，這樣，收到報(bào)文的主機(jī)要向源地址響應(yīng)SYN并且維持一個(gè)未完成的連接，而源地址又是它本身，因此這樣循環(huán)進(jìn)行下去后會(huì)最終造成主機(jī)資源耗盡無法響應(yīng)請(qǐng)求。

 

Smurf：Smurf攻擊是一種綜合了IP欺騙和洪泛攻擊的攻擊手段。首先，報(bào)文的內(nèi)容被構(gòu)造成需要回應(yīng)的特定請(qǐng)求（如ICMP request），而報(bào)文的源地址被偽造成要攻擊的目標(biāo)主機(jī)，收到該報(bào)文的主機(jī)將會(huì)對(duì)報(bào)文發(fā)起響應(yīng)（如ICMP reply），而響應(yīng)報(bào)文就會(huì)全部發(fā)送到偽造的源地址。通常情況下為了產(chǎn)生更大的報(bào)文流量，目標(biāo)地址會(huì)構(gòu)造成某個(gè)子網(wǎng)的廣播地址，這樣只要發(fā)送一個(gè)報(bào)文就能產(chǎn)生一個(gè)子網(wǎng)的流量，使攻擊的效果更加明顯。相比于傳統(tǒng)的洪泛攻擊，smurf攻擊不占據(jù)自己的帶寬，并且有利于隱藏自己的地址。

 

PING of death：正常的IP報(bào)文長(zhǎng)度不能超過65535字節(jié)，這是由IP首部的16位長(zhǎng)度字段決定的，收到超過65535字節(jié)的IP報(bào)文系統(tǒng)會(huì)出錯(cuò)。但是由于IP分片和偏移量的存在，使得我們可以夠造出超過65535字節(jié)的IP報(bào)文。首先，13位的偏移量其最大值為8191，也就是說它所能表示最大的偏移量是65528，同時(shí)我們知道IP分片的最后一個(gè)報(bào)文是沒有偏移量的，但是每個(gè)報(bào)文有各自的報(bào)文長(zhǎng)度。那么分片報(bào)文到達(dá)目的后需要進(jìn)行重組，重組后的IP報(bào)文長(zhǎng)度就是用最大的一個(gè)偏移量加上最后一個(gè)報(bào)文的長(zhǎng)度，雖然偏移量限定在65528，但是單個(gè)報(bào)文長(zhǎng)度卻可以做得很大，例如1000，那么最后得到重組的報(bào)文長(zhǎng)度就是65528+1000=66528，超出了65535的限制，那么收到這樣的報(bào)文的主機(jī)就有可能產(chǎn)生崩潰死機(jī)等情況。

 

WinNuke：針對(duì)windows系統(tǒng)的DoS攻擊。攻擊報(bào)文中將URG置位，同時(shí)將目標(biāo)端口設(shè)為139端口，139端口是netbios協(xié)議的端口，當(dāng)這樣一份報(bào)文發(fā)送到目標(biāo)主機(jī)后，會(huì)產(chǎn)生netbios的碎片重疊，導(dǎo)致主機(jī)崩潰。

 

Ip option攻擊：IP option是IP報(bào)文首部的可選信息，其中可以帶有調(diào)試控制信息，也可以帶有一些路由信息或安全性的信息，但是事實(shí)上IP選項(xiàng)信息在通信中基本是不需要的，一般的路由器接收到它們后都會(huì)選擇丟棄，而IP選項(xiàng)如果配置錯(cuò)誤——例如配置不完整，字段殘缺——收到報(bào)文的主機(jī)會(huì)出現(xiàn)錯(cuò)誤。

 

TearDrop：利用IP碎片重組的攻擊。在IP報(bào)頭中的偏移量字段，它本身表示的是該分片相對(duì)于未分片的報(bào)文的數(shù)據(jù)的偏移量，假如收到的報(bào)文中，第二個(gè)分片的報(bào)文的偏移量小于它前一個(gè)報(bào)文的長(zhǎng)度，在進(jìn)行分片重組時(shí)會(huì)消耗主機(jī)巨大的資源，造成不能響應(yīng)正常的服務(wù)。

 

Targa3：向目標(biāo)主機(jī)發(fā)送長(zhǎng)度、標(biāo)識(shí)、地址、端口等都隨機(jī)的碎片報(bào)文，令目標(biāo)主機(jī)的協(xié)議棧在處理這些不規(guī)范數(shù)據(jù)的時(shí)候產(chǎn)生崩潰，影響正常服務(wù)的提供。

 

IP欺騙：構(gòu)造數(shù)據(jù)報(bào)文時(shí)將IP首部的源地址進(jìn)行修改，變成其他的IP地址，這種手段通常作為一些攻擊的輔助手段進(jìn)行，隱藏自己的地址，同時(shí)將攻擊引導(dǎo)到目標(biāo)主機(jī)上，一個(gè)典型的應(yīng)用就是smurf攻擊。

 

DDOS攻擊流量多種多樣，很多DDOS攻擊不是預(yù)設(shè)防御策略所能夠防范的，一般情況下是發(fā)現(xiàn)攻擊后人為的分析攻擊包特征，針對(duì)性的進(jìn)行防御。當(dāng)互聯(lián)網(wǎng)企業(yè)遭到DDoS攻擊時(shí)不要驚慌，可以通過接入墨者盾高防服務(wù)對(duì)ddos攻擊進(jìn)行防護(hù)，保障服務(wù)器的正常穩(wěn)定運(yùn)行。

以上內(nèi)容由四川無國(guó)界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。