一、DDOS介绍

要了解DDOS攻击是什么，首先要了解DOS攻击的基本原理是至关重要的。

DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。

不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。

DDOS（Distributed Denial of Service），中文全称分布式拒绝服务（大量分布式的攻击导致服务器不堪重负拒绝服务），就是借助多台计算机作为平台来攻击服务器的一种方式的统称，DDOS攻击还包括 CC攻击、NTP攻击、SYN攻击、DNS攻击等。遭受DDOS攻击的网站会出现：网站无法访问、访问提示“server unavailable”、服务器CPU使用率100%、内存高占用率。

被DDoS攻击时的现象：

• 被攻击主机上有大量等待的TCP连接。

• 网络中充斥着大量的无用的数据包，源地址为假。

• 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。

• 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。

• 严重时会造成系统死机。

2、DDoS的类型及原理

DDOS攻击主要分为三类：流量型攻击；连接型攻击；特殊协议缺陷。

2.1 Ip lood

攻击原理：此攻击以多个随机的源主机地址向目的主机发送超大量的随机或特定的IP包，造成目标主机不能处理其他正常的IP报文。

原理图：

2.1 Syn Flood

攻击原理：依据tcp建立连接的三次握手。此攻击以多个随机的源主机地址向目的主机发送syn包，而在收到目的主机的syn＋ack包后并不回应，目的主机就为这些源主机建立大量的连接队列，由于没有收到ack一直维护这些连接队列，造成资源的大量消耗而不能向正常的请求提供服务。与之类似的攻击方式还有ackflood、s-ackflood、finflood、rstflood、tcpflood 。

原理图：

2.3 Udp 反射 Flood

攻击原理：有时被保护服务器也有同外部服务器进行udp交互的需求，攻击者就会利用此交互对被保护服务器进行udp反射放大攻击。此攻击在短时间那冒充被攻击地址向外部公用的服务器发送大量的udp请求包，外部服务器收到虚假的udp请求就会回复大量的回应包给被攻击服务器地址，造成目标主机被保护服务器不能处理其他正常的交互流。

原理图:

2.4 Dns Query Flood

攻击原理：通过发起大量的DNS请求，导致DNS服务器无法响应正常用户的请求，正常用户不能解析DNS，从而不能获取服务。

原理图：

2.5 Dns Reply Flood

攻击原理：攻击者通过发起大量伪造的DNS回应包，导致DNS服务器带宽拥塞无法响应正常用户的请求，正常用户不能解析DNS，从而不能获取服务。

原理图：

2.6 Http Flood

攻击原理：此攻击类型主要攻击目标为Web服务器上的网页访问服务，当发生攻击时攻击者向被攻击服务器大量高频的发送一个网页或多个网页的请求服务，使服务器忙于向攻击者提供响应资源从而导致不能想正常的合法用户提供请求响应服务。

2.7 Https Flood

攻击原理：此攻击类型主要攻击目标是使用https协议的Web服务器上的访问服务，当发生攻击时攻击者向被攻击服务器大量高频的发送请求服务，使服务器忙于向攻击者提供https响应资源从而导致不能想正常的合法用户提供请求响应服务。

2.8 Sip Invite Flood

攻击原理：Sip协议为网络视频电话会议的udp协议，攻击者通过发起大量的Sip invite请求，导致网络视频电话会议Sip服务器无法响应正常用户的请求报文，占用服务器带宽使其阻塞，达到SIP报文洪水攻击的目的。

原理图：

2.9 Sip Register Flood

攻击原理：Sip协议为网络视频电话会议的udp协议，攻击者通过发起大量的Sip register注册信息，导致网络视频电话会议Sip服务器无法响应正常用户的注册报文信息，占用服务器带宽使其阻塞，达到SIP注册报文洪水攻击的目的。

原理图：

2.10 Connection Flood

攻击原理：利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应； 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为； 消耗骨干设备的资源，如防火墙的连接数。

原理图：

2.11 CC攻击

攻击原理：利用代理服务器向受害者发起大量HTTP Get请求；主要请求动态页面，涉及到数据库访问操作；数据库负载以及数据库连接池负载极高，无法响应正常请求

原理图：

2.12 http slow header慢速攻击

攻击原理：在http协议中规定，http的头部以连续的“\r\n\r\n”作为结束标志。许多web服务器在处理http请求的头部信息时，会等待头部传输结束后再进行处理。因此，如果web服务器没有接收到连续的“\r\n\r\n”，就会一直接收数据并保持与客户端的连接。Slow-header的工作原理是攻击者在发送http get请求时，缓慢的发送无用的header字段，并且一直不发送“\r\n\r\n”结束标志。Web服务器能够处理的并发连接数是有限的，如果攻击者利用大量的主机发送这种不完整的http get请求把那个持续占用这些连接，就会耗尽web服务器的资源。

原理图：

2.13 http slow post慢速攻击

攻击原理：在post提交方式中，允许在http的头中声明content-length，也就是指定http消息实体的传输长度。当web服务器接收到请求头部中含有content-length字段时，服务器会将该字段的值作为http body的长度，持续接收数据并达到content-length值时对实体的数据内容进行处理。slow post会传送包括整个header的http请求，在提交了头以后，将后面的body部分卡住不发送，这时候服务器在接受了post长度以后，在处理数据之前会等待客户端发送post的内容，攻击者保持连接并且以10s-100s一个字节的速度去发送，就达到了消耗资源的效果，因此不断增加这样的连接会使得服务器的资源被消耗

原理图：

2.14 Https-ssl-dos攻击

攻击原理：在进行SSL数据传输之前，通信双方首先要进行ssl握手，以协商加密算法交换加密密钥，进行身份认证。通常情况下，这样的ssl握手过程只需要进行一次即可，但是在ssl协议中有一个renegotiation选项，通过它可以进行密钥的重新协商以建立新的密钥。在ssl握手的过程中，服务器会消耗较多的CPU资源来进行加解密，并进行数据的有效性验证。SSL-dos攻击方式的本质是消耗服务器的CPU资源，在协商加密算法的时候，服务器CPU的开销是客户端的15倍左右。攻击者在一个TCP连接中不停地快速重新协商，如果建立多个连接，给服务器端造成的压力会更加明显，从而达到攻击目的。

原理图完整的SSL连接过程：

原理图

2.15 Dns NX攻击

攻击原理：Dns NX攻击是dns query flood攻击的一个变种攻击方式，区别是后者向dns服务器查询的是一个真实存在的域名，而前者向dns服务器查询的是一个不存在的域名。在进行dns nx攻击时，dns服务器会进行多次域名查询，其获取不到域名的解析结果时，还会再次进行递归查询，向上一级的dns服务器发送解析请求并等待应答，这进一步增加了dns服务器的资源消耗。同时，dns服务器的缓存会被大量nx domian记录所填满，导致响应正常用户的dns解析请求变慢。

原理图：

2.16 DNS投毒

攻击原理：一台dns服务器只记录本地资源的所有授权主机，若要查询的是非本地的主机信息，则向信息持有者（授权dns服务器）发送查询请求。为了避免每次查询都发送请求，dns服务器会把授权服务器返回的查询结果保存在缓存中，并保持一段时间，这就构成了dns缓存。dns缓存投毒攻击就是通过污染dns cache，用虚假的IP地址信息替换cache中主机记录的真实IP地址信息来制造破坏。这种类型的攻击的目的是将依赖于此dns服务器的受害者重定向到其它的地址，例如重定向搜索引擎到广告网站。这种类型的典型攻击就是钓鱼方式的攻击，例如将一个银行的访问重定向到黑客伪造的网站。

原理图：

3、DNS的防御

3.1 基本防御

首先，建议企业实施基础架构的风险分析，这是一个很好的开始。例如，匿名攻击在对许多企业的攻击中获得很大成功，这并不是因为攻击者的工具如何高级，而是因为他们所攻击的基础架构本身就漏洞百出。

其次，禁止任何未用的服务，目的是将开放端口的数量最小化，从而减少攻击者进入和利用已知漏洞的机会。

第三，为所有的软件打上补丁，保持所有软件的最新有助于漏洞数量的最少化。

第四，不要太依赖防火墙。防火墙只能阻止来自某些端口的洪水攻击，但它却无法防止基于Web的通信进入。

此外，如果禁用了IP广播，就可以阻止基于ICMP的攻击，如死亡之ping攻击。

这些仅是从大体上保护网络，抵御一般DDoS攻击的方法，对于一些高级DDoS攻击，这些措施远远不够。说到专门的DDoS防御，企业不妨使用IP包过滤技术。

3.2 包过滤

描述过滤这种技术还是很容易的：判断进入的数据包，看其是来自合法用户，还是来自攻击机器，若来自后者，则丢弃。但实际上实施这种方案并非易事。

企业往往建立能够阻止非法通信的过滤器。但这种做法的困难在于，如何将攻击包与合法请求区分开来，而且因为攻击的目的是摧毁正在扫描通信的设备，数据包的数目如此多，从而造成保护网络的设备无法应对。建议采用阻止假冒IP包的技术，如基于路由器的过滤，它可以跟踪进入通信的源地址，一旦发现异常，就认为是欺诈而丢弃。事实上，很容易阻止欺诈，如今的高级攻击不再使用这种伎俩。现在阻止假冒通信仅是一种简单技术。

3.3 抵制僵尸网络的攻击

但新威胁却更为危险：在受感染的计算机作为僵尸网络的一部分而协同动作时，数据包的源地址就不再是假冒的了，而是真实的IP地址。

针对僵尸攻击，有一种更科学的IP过滤方法。这种技术试图先记住曾经访问过网站的善意数据包，然后找出恶意数据包，仅准许来自已知源的数据包进入。此时，边缘路由器参照常用访问者的IP地址数据库，如果在通信源中找不到匹配的IP，就丢弃包。

基于历史记录的过滤有一个关键问题，就是地址数据库是如何工作的。如果边缘路由器花费太多的时间才能得到善意地址的列表，而攻击又正在进行，网络响应速度就会减少，其造成的效果与攻击自身又有什么区别呢？

这种过滤还有一个问题：如果攻击者知道了基于历史的过滤，为了使僵尸计算机的IP地址合法化，僵尸控制系统很容易在真实攻击发生之前将僵尸计算机指引到目标网站。这会欺骗过滤系统，使其信任更多的DDoS包，因为攻击来自“熟悉的”地址。

3.4 虚拟路由器和安全设备

除过滤之外，新的DDoS防御技术还可以使用虚拟路由器和基于设备的系统，以此作为接收通信的基本方式，并应用清洁技术来过滤通信。这种自动化的系统将来势必成为对付DDoS攻击的重要防御工具，因为可以对基于云和基于虚拟化的系统进行调整，以满足海量的通信要求。

根除DDoS之路漫漫而修远，因为互联网上有太多不安全的机器正在被“僵尸化”。虽然目前对付DDoS攻击的防御已经很强大，但其针对性往往太强，而DDoS攻击采取的是“群起而攻之”的战术。因而，防御必须依靠综合治理、协同努力。DDoS是IT管理者时刻需要关注的严重威胁。

3.5 其它方法

还有其它两种技术可用来保护公司网络。首先，可以增加网络带宽，使其可以简单地“接收”小型DDoS攻击的通信。其次，准备第二个网络连接，你可以将它作为灾难恢复计划的一部分，在遭受攻击期间，仍可以维持互联网访问。

3.6 小结

DDoS攻击正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为从事电子商务公司的重大威胁。真正有效地对付这种攻击是一个系统工程，它需要全方位地综合治理、协同努力，如从法律、技术（不限于IT）、ISP、公司、个人用户等角度，多管齐下。特别是加强对个人用户、雇员的教育，养成良好的上网习惯，防止其成为僵尸网络的帮凶。