DoS攻擊及解決方案

1、一、DDoS攻擊概念DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使服務(wù)器無(wú)法處理合法用戶的指令。長(zhǎng)沙美德高防DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高,它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了 - 目標(biāo)對(duì)惡意攻擊包的消化能力加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處

2、理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。這時(shí)候分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡(jiǎn)單。如果說(shuō)計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話，攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢？用100臺(tái)呢？DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)?lái)了方便，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的，大城市之間更可

3、以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了。二、闡述DDOS的產(chǎn)生及原理DDOS 最早可追述到1996年最初，在中國(guó)2002年開始頻繁出現(xiàn)，2003年已經(jīng)初具規(guī)模。近幾年由于寬帶的普及，很多網(wǎng)站開始盈利，其中很多非法網(wǎng)站利潤(rùn)巨大，造成同行之間互相攻擊，還有一部分人利用網(wǎng)絡(luò)攻擊來(lái)敲詐錢財(cái)。同時(shí)windows平臺(tái)的漏洞大量的被公布，流氓軟件，病毒，木馬大量充斥著網(wǎng)絡(luò)，有些懂技術(shù)的人可以很容易非法入侵控制大量的個(gè)人計(jì)算機(jī)來(lái)發(fā)起DDOS攻擊從中謀利。攻擊已經(jīng)成為互聯(lián)網(wǎng)上的一種最直接的競(jìng)爭(zhēng)方式，而且收入非常高，利益的驅(qū)使下

4、，攻擊已經(jīng)演變成非常完善的產(chǎn)業(yè)鏈。通過(guò)在大流量網(wǎng)站的網(wǎng)頁(yè)里注入病毒木馬，木馬可以通過(guò)windows平臺(tái)的漏洞感染瀏覽網(wǎng)站的人，一旦中了木馬，這臺(tái)計(jì)算機(jī)就會(huì)被后臺(tái)操作的人控制，這臺(tái)計(jì)算機(jī)也就成了所謂的肉雞，每天都有人專門收集肉雞然后以幾毛到幾塊的一只的價(jià)格出售，因?yàn)槔嫘枰舻娜司蜁?huì)購(gòu)買，然后遙控這些肉雞攻擊服務(wù)器。攻擊原理：通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡(jiǎn)寫就是拒絕服務(wù)，而

5、DDoS就是Distributed Denial of Service的簡(jiǎn)寫就是分布式拒絕服務(wù),而DRDoS就是Distributed Reflection Denial of Service的簡(jiǎn)寫,這是分布反射式拒絕服務(wù)的意思。不過(guò)這3中攻擊方法最厲害的還是DDoS，那個(gè)DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進(jìn)行攻擊的，所以對(duì)它們的防御辦法都是差不多的。DoS攻擊是最早出現(xiàn)的，它的攻擊方法說(shuō)白了就是單挑，是比誰(shuí)的機(jī)器性能好、速度快。但是現(xiàn)在的科技飛速發(fā)展，一般的網(wǎng)站主機(jī)都有十幾臺(tái)主機(jī)

6、，而且各個(gè)主機(jī)的處理能力、內(nèi)存大小和網(wǎng)絡(luò)速度都有飛速的發(fā)展，有的網(wǎng)絡(luò)帶寬甚至超過(guò)了千兆級(jí)別。這樣我們的一對(duì)一單挑式攻擊就沒(méi)有什么作用了，搞不好自己的機(jī)子就會(huì)死掉。舉個(gè)這樣的攻擊例子，假如你的機(jī)器每秒能夠發(fā)送10個(gè)攻擊用的數(shù)據(jù)包，而被你攻擊的機(jī)器(性能、網(wǎng)絡(luò)帶寬都是頂尖的)每秒能夠接受并處理100攻擊數(shù)據(jù)包，那樣的話，你的攻擊就什么用處都沒(méi)有了，而且非常有死機(jī)的可能。要知道，你若是發(fā)送這種1Vs1的攻擊，你的機(jī)器的CPU占用率是90%以上的三、DOS的攻擊方式。l 黑客們發(fā)起DOS攻擊最常用的還是通過(guò)讓別人的計(jì)算機(jī)感染“波特”而成為自己的傀儡。l “波特（Bot）”是一種難以察覺的自動(dòng)代理程序，

7、當(dāng)接到黑客指令后，它會(huì)讓該計(jì)算機(jī)自動(dòng)建立與目標(biāo)網(wǎng)站的連接。l “僵尸”與“趕尸人”有人把感染了“波特”的計(jì)算機(jī)形象地稱為“僵尸”，因?yàn)檫@些計(jì)算機(jī)就如同傳說(shuō)中的僵尸一樣，被“趕尸人”-黑客所控制。l 通常將受到黑客集中控制的數(shù)量龐大的一群計(jì)算機(jī)稱為“波特網(wǎng)（BotNet）”又稱“僵尸網(wǎng)絡(luò)”。最常見的Dos攻擊方式：a 帶寬攻擊 （ping數(shù)據(jù)包攻擊） b 連通性攻擊 （打電話的例子）被DDos攻擊時(shí)的現(xiàn)象：a.被攻擊主機(jī)上有大量等待人TCP連接 b.網(wǎng)絡(luò)中充斥著大量的無(wú)用人數(shù)據(jù)包，源地址為假 c.制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊 d.利用受害主機(jī)提供人服務(wù)或傳輸協(xié)議

8、上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求 e.嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)攻擊的步驟:l 搜集了解目標(biāo)的情況（被攻擊目標(biāo)主機(jī)數(shù)目、地址情況；目標(biāo)主機(jī)的配置、性能；目標(biāo)的帶寬）l 占領(lǐng)傀儡機(jī)(鏈路狀態(tài)好的主機(jī)；性能好的主機(jī)；安全管理水平差的主機(jī))實(shí)際攻擊a:黑客登陸到作為控制臺(tái)的傀儡機(jī)，向所有的攻擊機(jī)發(fā)出命令：“預(yù)備，瞄準(zhǔn)，開火！”。b:這時(shí)候埋伏在攻擊機(jī)中的DDOS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求案例: (一)21:30:38 NAT exceeded 192.168.0.10121:30:32 NA

9、T exceeded 192.168.0.10121:30:29 NAT exceeded 192.168.0.10121:30:25 NAT exceeded 192.168.0.10121:30:21 NAT exceeded 192.168.0.10121:30:17 NAT exceeded 192.168.0.10121:30:13 NAT exceeded 192.168.0.10121:30:09 NAT exceeded 192.168.0.10121:30:05 NAT exceeded 192.168.0.10121:30:01 NAT exceeded 192.168.0

10、.10121:29:57 NAT exceeded 192.168.0.10121:29:53 NAT exceeded 192.168.0.10121:29:49 NAT exceeded 192.168.0.10121:29:45 NAT exceeded 192.168.0.10121:29:41 NAT exceeded 192.168.0.10121:29:37 NAT exceeded 192.168.0.10121:29:33 NAT exceeded 192.168.0.10121:29:29 NAT exceeded 192.168.0.10121:29:25 NAT exc

11、eeded 192.168.0.10121:29:21 NAT exceeded 192.168.0.10121:29:17 NAT exceeded 192.168.0.10121:29:13 NAT exceeded 192.168.0.10121:29:09 NAT exceeded 192.168.0.10121:29:05 NAT exceeded 192.168.0.10121:29:01 NAT exceeded 192.168.0.10121:28:57 NAT exceeded 192.168.0.10121:28:53 NAT exceeded 192.168.0.1012

12、1:28:49 NAT exceeded 192.168.0.10121:28:45 NAT exceeded 192.168.0.10121:28:41 NAT exceeded 192.168.0.10121:28:37 NAT exceeded 192.168.0.10121:28:33 NAT exceeded 192.168.0(二)IP地址 當(dāng)前連接數(shù) 超限次數(shù)192.168.0.101 231 701976 192.168.0.110 87 198491(三)ID 內(nèi)網(wǎng)地址 內(nèi)網(wǎng)端口 協(xié)議 外網(wǎng)地址 外網(wǎng)端口 上傳包 下載包 NAT地址 NAT端口 661 192.168.0.1

13、01 0 I 128.0.7.244 82 1 0 61.174.209.82 82 662 192.168.0.101 0 I 0.3.135.217 81 1 0 61.174.209.82 81 663 192.168.0.101 0 I 128.0.7.245 59 1 0 61.174.209.82 59 664 192.168.0.101 0 I 0.3.135.218 58 1 0 61.174.209.82 58 665 192.168.0.101 0 I 128.0.7.246 49 1 0 61.174.209.82 49 666 192.168.0.101 0 I 0.3

14、.135.219 48 1 0 61.174.209.82 48 667 192.168.0.101 0 I 128.0.7.247 45 1 0 61.174.209.82 45 668 192.168.0.101 0 I 0.3.135.220 44 1 0 61.174.209.82 44 669 192.168.0.101 0 I 128.0.7.248 43 1 0 61.174.209.82 43 670 192.168.0.101 0 I 0.3.135.221 36 1 0 61.174.209.82 36 671 192.168.0.101 0 I 128.0.7.249 3

15、5 1 0 61.174.209.82 35 672 192.168.0.101 0 I 0.3.135.222 24 1 0 61.174.209.82 24 673 192.168.0.101 0 I 128.0.7.250 23 1 0 61.174.209.82 23 674 192.168.0.101 0 I 0.3.135.223 16 1 0 61.174.209.82 16 675 192.168.0.101 0 I 128.0.7.251 15 1 0 61.174.209.82 15 676 192.168.0.101 0 I 0.3.135.224 13 1 0 61.174.209.82 13 677 192.168.0.101 0 I 128.0.7.