DDoS攻擊的方式是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上所產(chǎn)生的一類攻擊方式。單一的DoS攻擊通常是一對一的攻擊方式，當(dāng)攻擊目標(biāo)的CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高，它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存磁盤大大增加，網(wǎng)絡(luò)帶寬也增加迅速，這使得DoS攻擊的困難程度加大了。這時侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運而生了。DDoS就是利用更多的傀儡機來發(fā)起進攻，比從前更大的規(guī)模來進攻受害者。DDOS攻擊由于容易實施、難以防范、難以追蹤等而成為最難解決的網(wǎng)絡(luò)安全問題之一，給網(wǎng)絡(luò)社會帶來了極大的危害。同時，拒絕服務(wù)攻擊也將是未來信息戰(zhàn)的重要手段之一。
 

 

分布式拒絕服務(wù)(DDoS)攻擊中的分布式的意思是借助于客戶/服務(wù)器（C/S）技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，使用各自方式將被控代理程序安裝在Internet上的許多計算機（通常所說的‘肉雞’）上，在一個設(shè)定的時間點上主控程序?qū)⑴c大量代理程序通訊，激活代理程序，代理程序收到指令時就發(fā)動攻擊。就目前的技術(shù)而講，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行，按照攻擊者發(fā)出的指令進行攻擊。大多數(shù)代理程序發(fā)出的攻擊流量從被攻擊者的角度來看與正常流量差別不明顯，這就造成防范DDOS攻擊十分的困難。
 

 

上面講了DDOS攻擊方式是什么，下面講一下常見的DDOS攻擊的攻擊原理。

 

Syn flood：利用了TCP三次握手中的弱點。具體的方法是：攻擊主機向目標(biāo)主機發(fā)出SYN報文發(fā)起TCP連接，但是攻擊主機并不回復(fù)最后一個ack報文，使得TCP握手無法完成，而目標(biāo)主機在TCP握手中需要分配資源維持這些未完成的連接，當(dāng)這樣的連接到達(dá)一定數(shù)目后，目標(biāo)主機就無法再響應(yīng)其他的連接請求。構(gòu)造出Synflood報文比較容易，只要將syn位置1，然后連接目標(biāo)主機的某個可用服務(wù)的端口即可。

 

Udp flood：由于UDP協(xié)議是無連接的，因此它不可能占用目標(biāo)主機的連接數(shù)，而只是通過發(fā)送大量UDP報文占用目標(biāo)主機的帶寬。通常情況下可以認(rèn)為這是一種自殺式的攻擊，因為在發(fā)送報文的過程中，不僅目標(biāo)主機帶寬被占用，發(fā)包主機的帶寬也會收到嚴(yán)重的影響。構(gòu)造udpflood報文不需要很特殊的置位，只要在同一時間內(nèi)發(fā)送足夠多數(shù)量的UDP報文就可以形成。

 

ICMP flood：原理同UDPflood，不同的是報文中裝載的是ICMP報文。

 

CC攻擊：向受害者發(fā)起大量HTTP Get/Post請求，主要請求動態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作，消耗受害者服務(wù)器有效資源，從而無法響應(yīng)正常的請求。

 

IPsweep：嚴(yán)格的說，IPsweep并不能算是正式的攻擊，IPsweep的過程只是向各個地址發(fā)送ping包等待回應(yīng)，用以探測網(wǎng)絡(luò)中存活的主機，從而為下一步的攻擊做準(zhǔn)備。

 

Portscan：一種端口掃描方式。其方法是對指定目標(biāo)的端口發(fā)送SYN報文發(fā)起TCP連接，如果主機返回的是SYN+ACK，那么表示這個端口上有相應(yīng)的服務(wù)開放，如果主機返回的是RST，那么說明這個端口沒有服務(wù)在監(jiān)聽。

 

Land：在Land攻擊中主要運用了兩種手段：IP欺騙和SYNflood。Land攻擊的原理是在IP首部將目標(biāo)主機的IP同時填寫為源地址和目的地址，然后再封裝一個SYN的TCP報文發(fā)送出去，這樣，收到報文的主機要向源地址響應(yīng)SYN并且維持一個未完成的連接，而源地址又是它本身，因此這樣循環(huán)進行下去后會最終造成主機資源耗盡無法響應(yīng)請求。

 

Smurf：Smurf攻擊是一種綜合了IP欺騙和洪泛攻擊的攻擊手段。首先，報文的內(nèi)容被構(gòu)造成需要回應(yīng)的特定請求（如ICMP request），而報文的源地址被偽造成要攻擊的目標(biāo)主機，收到該報文的主機將會對報文發(fā)起響應(yīng)（如ICMP reply），而響應(yīng)報文就會全部發(fā)送到偽造的源地址。通常情況下為了產(chǎn)生更大的報文流量，目標(biāo)地址會構(gòu)造成某個子網(wǎng)的廣播地址，這樣只要發(fā)送一個報文就能產(chǎn)生一個子網(wǎng)的流量，使攻擊的效果更加明顯。相比于傳統(tǒng)的洪泛攻擊，smurf攻擊不占據(jù)自己的帶寬，并且有利于隱藏自己的地址。

 

PING of death：正常的IP報文長度不能超過65535字節(jié)，這是由IP首部的16位長度字段決定的，收到超過65535字節(jié)的IP報文系統(tǒng)會出錯。但是由于IP分片和偏移量的存在，使得我們可以夠造出超過65535字節(jié)的IP報文。首先，13位的偏移量其最大值為8191，也就是說它所能表示最大的偏移量是65528，同時我們知道IP分片的最后一個報文是沒有偏移量的，但是每個報文有各自的報文長度。那么分片報文到達(dá)目的后需要進行重組，重組后的IP報文長度就是用最大的一個偏移量加上最后一個報文的長度，雖然偏移量限定在65528，但是單個報文長度卻可以做得很大，例如1000，那么最后得到重組的報文長度就是65528+1000=66528，超出了65535的限制，那么收到這樣的報文的主機就有可能產(chǎn)生崩潰死機等情況。

 

WinNuke：針對windows系統(tǒng)的DoS攻擊。攻擊報文中將URG置位，同時將目標(biāo)端口設(shè)為139端口，139端口是netbios協(xié)議的端口，當(dāng)這樣一份報文發(fā)送到目標(biāo)主機后，會產(chǎn)生netbios的碎片重疊，導(dǎo)致主機崩潰。

 

Ip option攻擊：IP option是IP報文首部的可選信息，其中可以帶有調(diào)試控制信息，也可以帶有一些路由信息或安全性的信息，但是事實上IP選項信息在通信中基本是不需要的，一般的路由器接收到它們后都會選擇丟棄，而IP選項如果配置錯誤——例如配置不完整，字段殘缺——收到報文的主機會出現(xiàn)錯誤。

 

TearDrop：利用IP碎片重組的攻擊。在IP報頭中的偏移量字段，它本身表示的是該分片相對于未分片的報文的數(shù)據(jù)的偏移量，假如收到的報文中，第二個分片的報文的偏移量小于它前一個報文的長度，在進行分片重組時會消耗主機巨大的資源，造成不能響應(yīng)正常的服務(wù)。

 

Targa3：向目標(biāo)主機發(fā)送長度、標(biāo)識、地址、端口等都隨機的碎片報文，令目標(biāo)主機的協(xié)議棧在處理這些不規(guī)范數(shù)據(jù)的時候產(chǎn)生崩潰，影響正常服務(wù)的提供。

 

IP欺騙：構(gòu)造數(shù)據(jù)報文時將IP首部的源地址進行修改，變成其他的IP地址，這種手段通常作為一些攻擊的輔助手段進行，隱藏自己的地址，同時將攻擊引導(dǎo)到目標(biāo)主機上，一個典型的應(yīng)用就是smurf攻擊。

 

DDOS攻擊流量多種多樣，很多DDOS攻擊不是預(yù)設(shè)防御策略所能夠防范的，一般情況下是發(fā)現(xiàn)攻擊后人為的分析攻擊包特征，針對性的進行防御。當(dāng)互聯(lián)網(wǎng)企業(yè)遭到DDoS攻擊時不要驚慌，可以通過接入墨者盾高防服務(wù)對ddos攻擊進行防護，保障服務(wù)器的正常穩(wěn)定運行。

以上內(nèi)容由四川無國界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。