DDoS攻击介绍

DDOS攻击什么是DDoSDistributedDDoS和DoS的区别是什么？DenialofService分布式拒绝服务（攻击）通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的服务器超载堵塞带宽阻断用户访问干扰正常业务谁面临DDoS攻击•任何网络可达的服务或设备。•门户网站、政府网站、网游、网吧、证券、银行、IM、P2P…•DNS、城域网、骨干网、企业网、路由交换设备DDoS的巨大破坏性政府网站无法访问DNS根服务器瘫痪，无法解析域名ISP链路堵塞，用户无法上网邮件服务器瘫痪军事指挥系统瘫痪网银系统瘫痪，无法支付论坛无法访问网游大面积掉线运营商各类服务瘫痪服务器被打的惨状•服务不可访问，连不上•服务卡、慢•游戏掉线•服务器连接数多•出口带宽堵死•客户流失••#netstat-an|grepSYN……192.168.0.183.9127.0.0.79.180100246560SYN_RCVD192.168.0.183.13127.0.0.79.180100246560SYN_RCVD192.168.0.183.19127.0.0.79.180100246560SYN_RCVD192.168.0.183.21127.0.0.79.180100246560SYN_RCVD192.168.0.183.22127.0.0.79.180100246560SYN_RCVD192.168.0.183.23127.0.0.79.180100246560SYN_RCVD192.168.0.183.25127.0.0.79.180100246560SYN_RCVD192.168.0.183.37127.0.0.79.180100246560SYN_RCVD192.168.0.183.53127.0.0.79.180100246560SYN_RCVD•#netstat-an|grepSYN|wc-l5273•或者Established，finwait等数量非常多简单粗暴的大流量DDoS攻击流量主要来源：测试仪高性能服务器+发包软件IDC机房流量特点：简单的SYN、UDP、ICMPFlood源IP地址固定或随机不能完成三次握手流量大防御方式：ACL传统的反向探测干掉假IP专打应用层的DDoS中、小型真实源IP攻击：肉鸡网络代理服务器攻击特点：可完成三次握手主要针对HTTP业务100M流量防御方法：SYN-Cookie应用层数据验证特征包过滤以下是本站今日提供最新最快代理服务器列表最新高速代理列表最新最快50个HTTP代理列表最新Socks4代理列表最新Socks5代理列表最新超级匿名代理列表最新匿名代理列表最新透明代理列表今日最新国家代理列表:电信网通教育网移动铁通美国韩国香港台湾英国德国日本加拿大今日最新端口代理列表:80813128800080801080444威力巨大的僵尸网络mbehringISPCPEInternetZombie(僵尸)Master(主攻手)发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备Hacker(黑客)骨干级链路级应用级DDOS分类拥塞带宽UDP、ICMP、DNS反射、NTP反射消耗性能SYN、ACK、连接耗尽、HTTPGET、DNSqueryflood、慢速攻击SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手过程正常TCP会话与SYNFlood攻击SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理SYN_RECV状态半开连接队列−遍历，消耗CPU和内存−SYN|ACK重试−SYNTimeout：30秒~2分钟无暇理睬正常的连接请求，造成拒绝服务危害SYNFlood攻击现象此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址，而syn包的源地址为大量的随机生成的虚假地址。在目标主机上使用netstat–an命令可以看到大量syn连接，处于syn_received状态windows系统使用netstat-an|findSYN_RECEIVEDlinux系统使用netstat-an|wc-l|grepESTACKFlood攻击与防护•发送大量的ACK包冲击设备•服务器回应ACK/RST包，消耗资源•正常连接ack包承载数据传输•有时也会导致带宽阻塞ACKFlood攻击受害者ACKCC（httpgetflood）攻击者受害者(WebServer)正常HTTPGet请求正常HTTPGetFlood正常用户攻击表象•利用代理服务器向受害者发起大量HTTPGet请求•主要请求动态页面，涉及到数据库访问操作•数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理CC攻击现象httpGetFlood攻击，也是会建立大量连接，不过其每个连接都会发送URLGET请求,请求发送完后连接会断掉。向目标主机发送请求，消耗web应用程序的资源，使得目标主机无法系统资源严重不足。UDP攻击UDP攻击一般是大包攻击，主要是拥塞出口带宽ConnectionFlood攻击者受害者大量tcpconnect这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect•利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接•服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应•消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理ConnectionFlood攻击现象普通的连接耗尽攻击的攻击方式为攻击主机向目标主机发起大量的空连接，一定时间后再断开连接，占用正常的连接数，导致目标主机无法正常对外提供服务。在目标主机上执行netstat–an命令可以看到大量的连接DNSQueryFlood反射放大攻击攻击者被攻击者放大网络源IP=被攻击者的IP目的IP=放大网络（DNS服务器、NTP服务器）DNS请求NTP请求SSDP请求DoS攻击•采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常主机的回应报文达到攻击受害者的目的。NTP,DNS反射攻击等•攻击者既需要掌握Botnet，也需要准备大量的存活跳板机，比如开放DNS服务器•反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御反射攻击原理DDOS举例—慢速攻击正常tcpconnect攻击者受害者HTTP连接，指定POST内容长度为1000每个连接都在发报文，不能中断不能建立正常的连接HTTPPOST请求连接1，每10秒发送1个字节正常用户正常HTTP请求HTTPPOST请求连接2，每10秒发送1个字节HTTPPOST请求连接3，每10秒发送1个字节HTTPPOST请求连接4，每10秒发送1个字节•利用一些协议的缺陷，发动看似很慢速的攻击，由于流量很小不易被检测到，达到拒绝服务的攻击目的，比如httppost慢速攻击，SSL慢速攻击等。最出名的慢速攻击莫过于匿名组织的Slowloris•Slowloris以极低的速度往服务器发送HTTP请求，由于WebServer对于并发的连接数都有一定的上限，因此若是恶意地占用住这些连接不释放，那么WebServer的所有连接都将被恶意连接占用，从而无法接受新的请求，导致拒绝服务。慢速攻击原理谢谢！