服务器防御DDoS攻击的方法
作者:石六 QQ
浏览:56次 评论:0条
1.确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到的系统都没有及时打上补丁。2.确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么?谁在使用主机?哪些人可以访问主机?不然，即使黑客侵犯了系统，也很难查明。3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统――甚至是受防火墙保护的系统。4.确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权限。5.禁止内部网通过Modem连接至PSTN系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。6.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在Unix上应该将.rhost和hosts.equiv文件删除，因为不用猜口令，这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。8.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使DoS/DDOS攻击成功率很高，所以定要认真检查特权端口和非特权端口。10.检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。11.利用DDOS设备提供商的设备。遗憾的是，目前没有哪个网络可以免受DDOS攻击，但如果采取上述几项措施，能起到一定的预防作用。QQ 手机号码
文章编辑：
评论0条评论0条评论0条评论0条评论0条
第一：打开自己的文章（帖子）
第二步：鼠标点击分享按钮
???????????????【图文】DDOS攻击与防御_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
DDOS攻击与防御
上传于||文档简介
&&介绍DDOS攻击的概念与简单防御思路
大小：1.38MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢&&会员登录
&名&&称&&&密&&码&&&验证码&&&&&
&&超级搜索引擎
栏&&目&&搜索站内文章搜索站内教程搜索站内软件搜索站内新闻搜索超酷壁纸搜索影音欣赏搜索佳宾留言类&&别&&按标题(名称)按作者(来源)按内容(简介)按关键词关键词&&&站内搜索&&&网络搜索&&
&&网站资源统计
&公告：4篇&新闻：63篇&文章：2175篇&图片：11张&下载：0个&影音：0个&留言：2条&教程：224篇&链接：2个&作品：0个&订单：0个&客户：0个&专题：0个&频道：2个&当前：1人&最高：67人&会员：0个
&&热门文章TOP10
&&&&&&&&&&
&&版权及免责声明
&&本站资料文章其版权归作者本人所有，如果有任何侵犯您版权的地方，请尽快与本站联系!
>>>>DDoS攻击原理及工具介绍&
推荐给你的朋友阅读：
DDoS攻击原理及工具介绍
来源：暗月综合技术网&发表日期：& 22:12:10
进入2000年以来，网络遭受攻击事件不断发生，全球许多著名网站如yahoo、cnn、buy、ebay、fbi，包括中国的新浪网相继遭到不名身份的黑客攻击，值得注意的是，在这些攻击行为中，黑客摈弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法，取而代之的是，在一定时间内，彻底使被攻击的网络丧失正常服务功能，这种攻击手法为 DDoS，即分布式拒绝服务攻击(Distributed denial of service )。 　　 简单的讲，拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段。在早期， 拒绝服务攻击主要是针对处理能力比较弱的单机，如个人pc，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大，但在99年底，伴随着DDoS的出现，这种高端网站高枕无忧的局面不复存在，与早期的DoS攻击由单台攻击主机发起，单兵作战相较，DDoS实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为，在这种几百，几千对一的较量中， 网络服务提供商所面对的破坏力是空前巨大的。 &[转自：暗月综合技术网 ]
　　 拒绝服务攻击自问世以来，衍生了多种形式，现将两种使用较频繁的TCP-SYN flood， UDP flood做一个介绍 。TCP-SYN flood又称半开式连接攻击，每当我们进行一次标准的TCP连接(如WWW浏览，下载文件等)会有一个一个三次握手的过程，首先是请求方向服务方发送一个SYN消息，服务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后则再次向服务方发送一个ACK消息，一次成功的TCP连接由此就建立，可以进行后续工作了，　　 而TCP-SYN flood在它的实现过程中只有前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认消息后， 请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间处于等待接收请求方ACK消息的状态，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器可用TCP连接队列很快将会阻塞，系统可用资源，网络可用带宽急剧下降，无法向用户提供正常的网络服务。 &[转自：暗月综合技术网 ]
　　 Udp在网络中的应用也是比较广泛的，比如DNS解析、realaudio实时音乐、网络管理、联网游戏等，基于udp的攻击种类也是比较多的，如目前在互连网上提供www、mail等服务的设备一般为使用unix操作系统的服务器，他们默认是开放一些有被恶意利用可能的udp服务的，如:echo,chargen. echo服务回显接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这两个udp服务互指，则网络可用带宽会很快耗尽。 &[转自：暗月综合技术网 ]
　　 自99年后半年开始，DDoS攻击不断在Internet出现，并在应用的过程中不断的得到完善，在Unix或nt环境上截至目前已有一系列比较成熟的软件产品，如Trinoo，TFN，TFN2K，STACHELDRATH等，他们基本核心及攻击思路是很相象的，下面就通过Trinoo对这类软件做一介绍。
　　 Trinoo是基于UDP flood的攻击软件，它向被攻击目标主机随机端口发送全零的4字节UDP包，被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降，直至不能提供正常服务甚至崩溃。
　　 Trinoo攻击功能的实现，是通过三个模块付诸实施的，
　　 1:攻击守护进程(NS) 2:攻击控制进程(MASTER) 3:客户端(NETCAT，标准TELNET程序等)，
　　 攻击守护进程NS是真正实施攻击的程序，它一般和攻击控制进程(MASTER)所在主机分离，在原始C文件ns.c编译的时候，需要加入可控制其执行的攻击控制进程MASTER所在主机IP，（只有在ns.c中的IP方可发起ns的攻击行为）编译成功后，黑客通过目前比较成熟的主机系统漏洞破解（如rpc.cmsd，rpc.ttdbserver，rpc.statd）可以方便的将大量NS植入因特网中有上述漏洞主机内。ns运行时，会首先向攻击控制进程(MASTER)所在主机的31335端口发送内容为HELLO的UDP包，标示它自身的存在，随后攻击守护进程即处于对端口27444的侦听状态，等待master攻击指令的 到来。
　　 攻击控制进程(MASTER)在收到攻击守护进程的HELLO包后，会在自己所在目录生成一个加密的名为...的可利用主机表文件， MASTER的启动是需要密码的，在正确输入默认密码gOrave后， MASTER即成功启动，它一方面侦听端口31335，等待攻击守护进程的HELLO包，另一方面侦听端口27665，等待客户端对其的连接。当客户端连接成功并发出指令时， MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。
　　 客户端不是trinoo自带的一部分，可用标准的能提供TCP连接的程序，如TELNET，NETCAT等，连接MASTER所在主机的27665端口， 输入默认密码betaalmostdone后，即完成了连接工作，进入攻击控制可操作的提示状态。 </P[1]&&&&
[作者：月上暗面&关键词：DDoS攻击,原理及工具介绍 录入：月上暗面
责编：月上暗面&阅读次数：11]
上一篇：下一篇：
【公共评论】[目前共有0条评论] [发表评论]
?暂时还没有评论第0页，共0页，共0条评论
【相关文章】[最新9条]
&& [ 11:04:02]&& [ 12:32:30]&& [ 22:12:19]&& [ 22:12:28]&& [ 22:12:37]&& [ 22:30:20]&& [ 22:36:55]&& [ 22:55:13]
【相关教程】[最新0条]
【相关新闻】[最新0条]
【相关软件】[最新0条]
COPYRIGHT &
暗月综合技术网 ALL RIGHTS RESERVED .站长：月上暗面 联系： Powered By：网络安全（3）
最近做的项目对网络安全有所要求，所以在此做个笔记。
转自：/doc/view/.html
1. DDoS攻击基础&
& & & DDoS（Distributed Denial of Service，分布式拒绝服务）攻击的主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。按照发起的方式，DDoS可以简单分为三类。
& & &&第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP
Flood和UDP Flood，现在已不常见。
& & &&第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起，例如Slowloris攻击、Hash冲突攻击等，需要特定环境机缘巧合下才能出现。
& & &&第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量，例如SYN Flood攻击、DNS Query Flood攻击，是当前的主流攻击方式。
& & &&本文将一一描述这些最常见、最具代表性攻击方式，并介绍它们的防御方案。
1.1 SYN Flood
& & &&SYN Flood是互联网上最经典的DDoS攻击方式之一，最早出现于1999年左右，雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷，能够以较小代价使目标服务器无法响应，且难以追查。
& & 标准的TCP三次握手过程如下：
& & &&&#61548; 客户端发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；
& & &&&#61548; 服务器在收到客户端的SYN报文后，将返回一个SYN&#43;ACK（即确认Acknowledgement）的报文，表示客户端的请求被接受，同时TCP初始序号自动加1；
& & &&&#61548; 客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加1。
& & &&经过这三步，TCP连接就建立完成。TCP协议为了实现可靠传输，在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的最终ACK确认报文，会一直处于SYN_RECV状态，将客户端IP加入等待列表，并重发第二步的SYN&#43;ACK报文。重发一般进行3-5次，大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面，服务器在自己发出了SYN&#43;ACK报文后，会预分配资源为即将建立的TCP连接储存信息做准备，这个资源在等待重试期间一直保留。更为重要的是，服务器资源有限，可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文，也就是拒绝新的TCP连接建立。
& & &&SYN Flood正是利用了上文中TCP协议的设定，达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文，由于伪造的IP地址几乎不可能存在，也就几乎没有设备会给服务器返回任何应答了。因此，服务器将会维持一个庞大的等待列表，不停地重试发送SYN&#43;ACK报文，同时占用着大量的资源无法释放。更为关键的是，被攻击服务器的SYN_RECV队列被恶意的数据包占满，不再接受新的SYN请求，合法用户无法完成三次握手建立起TCP连接。也就是说，这个服务器被SYN
Flood拒绝服务了。
& & &&对SYN Flood有兴趣的可以看看http://www.icylife.net/yunshu/show.php?id=367，这是我2006年写的代码，后来做过几次修改，修改了Bug，并降低了攻击性，纯做测试使用。
1.2 DNS Query Flood
& & &&作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。
& & &&UDP攻击是最容易发起海量流量的攻击手段，而且源IP随机伪造难以追查。但过滤比较容易，因为大多数IP并不提供UDP服务，直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了，取而代之的是UDP协议承载的DNS
Query Flood攻击。简单地说，越上层协议上发动的DDoS攻击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越复杂。
& & &&DNS Query Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多地消耗DNS服务器的CPU资源。
& & &&关于DNS Query Flood的代码，我在2011年7月为了测试服务器性能曾经写过一份代码，链接是http://www.icylife.net/yunshu/show.php?id=832。同样的，这份代码人为降低了攻击性，只做测试用途。
1.3 HTTP Flood
& & &&上文描述的SYN Flood、DNS Query Flood在现阶段已经能做到有效防御了，真正令各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP
Flood是针对Web服务在第七层协议发起的攻击。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。
& & &&SYN Flood和DNS Query Flood都需要攻击者以root权限控制大批量的傀儡机。收集大量root权限的傀儡机很花费时间和精力，而且在攻击过程中傀儡机会由于流量异常被管理员发现，攻击者的资源快速损耗而补充缓慢，导致攻击强度明显降低而且不可长期持续。HTTP
Flood攻击则不同，攻击者并不需要控制大批的傀儡机，取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源，花几天时间获取代理并不是难事，因此攻击容易发起而且可以长期高强度的持续。
& & &&另一方面，HTTP Flood攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关，安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作得很好的规则，换一个场景可能带来大量的误杀。
& & &&最后，HTTP Flood攻击会引起严重的连锁反应，不仅仅是直接导致被攻击的Web前端响应缓慢，还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务，增大它们的压力，甚至对日志存储服务器都带来影响。
& & &&有意思的是，HTTP Flood还有个颇有历史渊源的昵称叫做CC攻击。CC是Challenge Collapsar的缩写，而Collapsar是国内一家著名安全公司的DDoS防御设备。从目前的情况来看，不仅仅是Collapsar，所有的硬件防御设备都还在被挑战着，风险并未解除。
1.4 慢速连接攻击
& & &&提起攻击，第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之，以慢著称，以至于有些攻击目标被打死了都不知道是怎么死的，这就是慢速连接攻击，最具代表性的是rsnake发明的Slowloris。
& & &&HTTP协议规定，HTTP Request以\r\n\r\n结尾表示客户端发送结束，服务端开始处理。那么，如果永远不发送\r\n\r\n会如何？Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive，要求Web
Server保持TCP连接不要断开，随后缓慢地每隔几分钟发送一个key-value&#26684;式的数据到服务端，如a:b\r\n，导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。
& & &&很快的，Slowloris开始出现各种变种。比如POST方法向Web Server提交数据、填充一大大Content-Length但缓慢的一个字节一个字节的POST真正数据内容等等。关于Slowloris攻击，rsnake也给出了一个测试代码，参见http://ha.ckers.org/slowloris/slowloris.pl。
2. DDoS攻击进阶
2.1 混合攻击
& & &&以上介绍了几种基础的攻击手段，其中任意一种都可以用来攻击网络，甚至击垮阿里、百度、腾讯这种巨型网站。但这些并不是全部，不同层次的攻击者能够发起完全不同的DDoS攻击，运用之妙，存乎一心。
& & &&高级攻击者从来不会使用单一的手段进行攻击，而是根据目标环境灵活组合。普通的SYN Flood容易被流量清洗设备通过反向探测、SYN Cookie等技术手段过滤掉，但如果在SYN
Flood中混入SYN&#43;ACK数据包，使每一个伪造的SYN数据包都有一个与之对应的伪造的客户端确认报文，这里的对应是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一个主机同一个TCP Flow的特征，流量清洗设备的反向探测和SYN Cookie性能压力将会显著增大。其实SYN数据报文配合其他各种标志位，都有特殊的攻击效果，这里不一一介绍。对DNS Query Flood而言，也有独特的技巧。
& & &&首先，DNS可以分为普通DNS和授权域DNS，攻击普通DNS，IP地址需要随机伪造，并且指明服务器要求做递归解析；但攻击授权域DNS，伪造的源IP地址则不应该是纯随机的，而应该是事先收集的全球各地ISP的DNS地址，这样才能达到最大攻击效果，使流量清洗设备处于添加IP黑名单还是不添加IP黑名单的尴尬处境。添加会导致大量误杀，不添加黑名单则每个报文都需要反向探测从而加大性能压力。
& & &&另一方面，前面提到，为了加大清洗设备的压力不命中缓存而需要随机化请求的域名，但需要注意的是，待解析域名必须在伪造中带有一定的规律性，比如说只伪造域名的某一部分而固化一部分，用来突破清洗设备设置的白名单。道理很简单，腾讯的服务器可以只解析腾讯的域名，完全随机的域名可能会直接被丢弃，需要固化。但如果完全固定，也很容易直接被丢弃，因此又需要伪造一部分。
& & &&其次，对DNS的攻击不应该只着重于UDP端口，根据DNS协议，TCP端口也是标准服务。在攻击时，可以UDP和TCP攻击同时进行。
& & &&HTTP Flood的着重点，在于突破前端的cache，通过HTTP头中的字段设置直接到达Web Server本身。另外，HTTP Flood对目标的选取也非常关键，一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标，这是非常正确的，可以消耗服务器尽可能多的资源。但这种攻击容易被清洗设备通过人机识别的方式识别出来，那么如何解决这个问题？很简单，尽量选择正常用户也通过APP访问的页面，一般来说就是各种Web
API。正常用户和恶意流量都是来源于APP，人机差别很小，基本融为一体难以区分。
& & &&之类的慢速攻击，是通过巧妙的手段占住连接不释放达到攻击的目的，但这也是双刃剑，每一个TCP连接既存在于服务端也存在于自身，自身也需要消耗资源维持TCP状态，因此连接不能保持太多。如果可以解决这一点，攻击性会得到极大增强，也就是说Slowloris可以通过stateless的方式发动攻击，在客户端通过嗅探捕获TCP的序列号和确认维护TCP连接，系统内核无需关注TCP的各种状态变迁，一台笔记本即可产生多达65535个TCP连接。
& & &&前面描述的，都是技术层面的攻击增强。在人的方面，还可以有一些别的手段。如果SYN Flood发出大量数据包正面强攻，再辅之以Slowloris慢速连接，多少人能够发现其中的秘密？即使服务器宕机了也许还只发现了SYN攻击想去加强TCP层清洗而忽视了应用层的行为。种种攻击都可以互相配合，达到最大的效果。攻击时间的选择，也是一大关键，比如说选择维护人员吃午饭时、维护人员下班堵在路上或者在地铁里无线上网卡都没有信号时、目标企业在举行大规模活动流量飙升时等。
& & &&这里描述的只是纯粹的攻击行为，因此不提供代码，也不做深入介绍。
2.2 来自P2P网络的攻击
& & &&前面的攻击方式，多多少少都需要一些傀儡机，即使是HTTP Flood也需要搜索大量的匿名代理。如果有一种攻击，只需要发出一些指令，就有机器自动上来执行，才是完美的方案。这种攻击已经出现了，那就是来自P2P网络的攻击。
& & &&大家都知道，互联网上的P2P用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据，使成千上万的真实IP地址连接过来，没有哪个设备能够支撑住。拿BT下载来说，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但这只是基础攻击。
& & &&高级P2P攻击，是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器，然后推送给其他需要下载相同资源的用户，这样，一个链接就发布出去。通过协议逆向，攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去，瞬间就可以传遍整个P2P网络。更为恐怖的是，这种攻击是无法停止的，即使是攻击者自身也无法停止，攻击一直持续到P2P官方发现问题更新服务器且下载用户重启下载软件时为止。
& & &&限于篇幅，DDoS攻击的介绍就写这么多，而且我也不愿意对这个做更进一步的阐述了——理解防御这么多已经够用了。
总的来说，DDoS攻击可以很灵巧，可以很优美。运用之妙，存乎一心。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：243629次
积分：3417
积分：3417
排名：第7840名
原创：60篇
转载：206篇
评论：17条
(3)(3)(1)(1)(3)(2)(5)(2)(1)(2)(12)(6)(3)(3)(16)(31)(9)(21)(6)(19)(7)(3)(5)(12)(56)(42)