DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務(wù)，而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務(wù),而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務(wù)的意思。 內(nèi)容來自www.qq-team.cn

　　不過這3中攻擊方法最厲害的還是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，所以對它們的防御辦法都是差不多的。 縱橫數(shù)據(jù)

　　DoS攻擊是最早出現(xiàn)的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。但是現(xiàn)在的科技飛速發(fā)展，一般的網(wǎng)站主機都有十幾臺主機，而且各個主機的處理能力、內(nèi)存大小和網(wǎng)絡(luò)速度都有飛速的發(fā)展，有的網(wǎng)絡(luò)帶寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什么作用了，搞不好自己的機子就會死掉。舉個這樣的攻擊例子，假如你的機器每秒能夠發(fā)送10個攻擊用的數(shù)據(jù)包，而被你攻擊的機器(性能、網(wǎng)絡(luò)帶寬都是頂尖的)每秒能夠接受并處理100攻擊數(shù)據(jù)包，那樣的話，你的攻擊就什么用處都沒有了，而且非常有死機的可能。要知道，你若是發(fā)送這種1Vs1的攻擊，你的機器的CPU占用率是90%以上的，你的機器要是配置不夠高的話，那你就死定了。 內(nèi)容來自www.qq-team.cn

　　不過，科技在發(fā)展，黑客的技術(shù)也在發(fā)展。正所謂道高一尺，魔高一仗。經(jīng)過無數(shù)次當(dāng)機，黑客們終于又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說白了就是群毆，用好多的機器對目標機器一起發(fā)動DoS攻擊，但這不是很多黑客一起參與的，這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器，他是通過他的機器在網(wǎng)絡(luò)上占領(lǐng)很多的“肉雞”，并且控制這些“肉雞”來發(fā)動DDoS攻擊，要不然怎么叫做分布式呢。還是剛才的那個例子，你的機器每秒能發(fā)送10攻擊數(shù)據(jù)包，而被攻擊的機器每秒能夠接受100的數(shù)據(jù)包，這樣你的攻擊肯定不會起作用，而你再用10臺或更多的機器來對被攻擊目標的機器進行攻擊的話，嘿嘿!結(jié)果我就不說了。 內(nèi)容來自縱橫數(shù)據(jù)

　　DRDoS分布反射式拒絕服務(wù)攻擊這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在攻擊之前占領(lǐng)大量的“肉雞”。它的攻擊原理和Smurf攻擊原理相近，不過DRDoS是可以在廣域網(wǎng)上進行的，而Smurf攻擊是在局域網(wǎng)進行的。它的作用原理是基于廣播地址與回應(yīng)請求的。一臺計算機向另一臺計算機發(fā)送一些特殊的數(shù)據(jù)包如ping請求時，會接到它的回應(yīng);如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請求包，實際上會到達網(wǎng)絡(luò)上所有的計算機，這時就會得到所有計算機的回應(yīng)。這些回應(yīng)是需要被接收的計算機處理的，每處理一個就要占用一份系統(tǒng)資源，如果同時接到網(wǎng)絡(luò)上所有計算機的回應(yīng)，接收方的系統(tǒng)是有可能吃不消的，就象遭到了DDoS攻擊一樣。不過是沒有人笨到自己攻擊自己，不過這種方法被黑客加以改進就具有很大的威力了。黑客向廣播地址發(fā)送請求包，所有的計算機得到請求后，卻不會把回應(yīng)發(fā)到黑客那里，而是發(fā)到被攻擊主機。這是因為黑客冒充了被攻擊主機。黑客發(fā)送請求包所用的軟件是可以偽造源地址的，接到偽造數(shù)據(jù)包的主機會根據(jù)源地址把回應(yīng)發(fā)出去，這當(dāng)然就是被攻擊主機的地址。黑客同時還會把發(fā)送請求包的時間間隔減小，這樣在短時間能發(fā)出大量的請求包，使被攻擊主機接到從被欺騙計算機那里傳來的洪水般的回應(yīng)，就像遭到了DDoS攻擊導(dǎo)致系統(tǒng)崩潰。駭客借助了網(wǎng)絡(luò)中所有計算機來攻擊受害者，而不需要事先去占領(lǐng)這些被欺騙的主機，這就是Smurf攻擊。而DRDoS攻擊正是這個原理，黑客同樣利用特殊的發(fā)包工具，首先把偽造了源地址的SYN連接請求包發(fā)送到那些被欺騙的計算機上，根據(jù)TCP三次握手的規(guī)則，這些計算機會向源IP發(fā)出SYN+ACK或RST包來響應(yīng)這個請求。同Smurf攻擊一樣，黑客所發(fā)送的請求包的源IP地址是被攻擊主機的地址，這樣受欺騙的主機就都會把回應(yīng)發(fā)到被攻擊主機處，造成被攻擊主機忙于處理這些回應(yīng)而癱瘓。 內(nèi)容來自縱橫數(shù)據(jù)
縱橫數(shù)據(jù)

　　解釋: 縱橫數(shù)據(jù)

　　SYN:(Synchronize sequence numbers)用來建立連接，在連接請求中，SYN=1，ACK=0，連接響應(yīng)時，SYN=1，ACK=1。即，SYN和ACK來區(qū)分Connection Request和Connection Accepted。 縱橫數(shù)據(jù)

　　RST:(Reset the connection)用于復(fù)位因某種原因引起出現(xiàn)的錯誤連接，也用來拒絕非法數(shù)據(jù)和請求。如果接收到RST位時候，通常發(fā)生了某些錯誤。 縱橫數(shù)據(jù)

　　ACK:(Acknowledgment field significant)置1時表示確認號(Acknowledgment Number)為合法，為0的時候表示數(shù)據(jù)段不包含確認信息，確認號被忽略。 內(nèi)容來自縱橫數(shù)據(jù)

　　TCP三次握手: 縱橫數(shù)據(jù)提供技術(shù)支持

　　假設(shè)我們要準備建立連接，服務(wù)器正處于正常的接聽狀態(tài)。 內(nèi)容來自www.qq-team.cn

　　第一步:我們也就是客戶端發(fā)送一個帶SYN位的請求，向服務(wù)器表示需要連接，假設(shè)請求包的序列號為10，那么則為:SYN=10，ACK=0，然后等待服務(wù)器的回應(yīng)。 縱橫數(shù)據(jù)提供技術(shù)支持

　　第二步:服務(wù)器接收到這樣的請求包后，查看是否在接聽的是指定的端口，如果不是就發(fā)送RST=1回應(yīng)，拒絕建立連接。如果接收請求包，那么服務(wù)器發(fā)送確認回應(yīng)，SYN為服務(wù)器的一個內(nèi)碼，假設(shè)為100，ACK位則是客戶端的請求序號加1，本例中發(fā)送的數(shù)據(jù)是:SYN=100，ACK=11，用這樣的數(shù)據(jù)回應(yīng)給我們。向我們表示，服務(wù)器連接已經(jīng)準備好了，等待我們的確認。這時我們接收到回應(yīng)后，分析得到的信息，準備發(fā)送確認連接信號到服務(wù)器。 縱橫數(shù)據(jù)

　　第三步:我們發(fā)送確認建立連接的信息給服務(wù)器。確認信息的SYN位是服務(wù)器發(fā)送的ACK位，ACK位是服務(wù)器發(fā)送的SYN位加1。即:SYN=11，ACK=101。 縱橫數(shù)據(jù)提供技術(shù)支持
　　這樣我們的連接就建立起來了。 內(nèi)容來自www.qq-team.cn

　　DDoS究竟如何攻擊?目前最流行也是最好用的攻擊方法就是使用SYN-Flood進行攻擊，SYN-Flood也就是SYN洪水攻擊。SYN-Flood不會完成TCP三次握手的第三步，也就是不發(fā)送確認連接的信息給服務(wù)器。這樣，服務(wù)器無法完成第三次握手，但服務(wù)器不會立即放棄，服務(wù)器會不停的重試并等待一定的時間后放棄這個未完成的連接，這段時間叫做SYN timeout，這段時間大約30秒-2分鐘左右。若是一個用戶在連接時出現(xiàn)問題導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么大不了的問題，但是若有人用特殊的軟件大量模擬這種情況，那后果就可想而知了。一個服務(wù)器若是處理這些大量的半連接信息而消耗大量的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，這樣服務(wù)器就不會再有空余去處理普通用戶的正常請求(因為客戶的正常請求比率很小)。這樣這個服務(wù)器就無法工作了，這種攻擊就叫做:SYN-Flood攻擊。 內(nèi)容來自縱橫數(shù)據(jù)

　　到目前為止，進行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。不過這不等于我們就沒有辦法阻擋DDoS攻擊，我們可以盡力來減少DDoS的攻擊。下面就是一些防御方法: 內(nèi)容來自www.qq-team.cn

1、確保服務(wù)器的系統(tǒng)文件是最新的版本，并及時更新系統(tǒng)補丁。 內(nèi)容來自縱橫數(shù)據(jù)

2、關(guān)閉不必要的服務(wù)。 內(nèi)容來自縱橫數(shù)據(jù)
3、限制同時打開的SYN半連接數(shù)目。 縱橫數(shù)據(jù)提供技術(shù)支持

4、縮短SYN半連接的time out 時間。 copyright www.qq-team.cn

5、正確設(shè)置防火墻 縱橫數(shù)據(jù)

禁止對主機的非開放服務(wù)的訪問 內(nèi)容來自縱橫數(shù)據(jù)
限制特定IP地址的訪問 內(nèi)容來自縱橫數(shù)據(jù)

啟用防火墻的防DDoS的屬性 copyright www.qq-team.cn

嚴格限制對外開放的服務(wù)器的向外訪問 縱橫數(shù)據(jù)
運行端口映射程序禍端口掃描程序，要認真檢查特權(quán)端口和非特權(quán)端口。 縱橫數(shù)據(jù)

6、認真檢查網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更，那這臺機器就可 　 能遭到了攻擊。 copyright www.qq-team.cn

7、限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會給黑客截取系統(tǒng)文件的機會，主機的信息暴露給黑客， 　 無疑是給了對方入侵的機會。 縱橫數(shù)據(jù)提供技術(shù)支持
8、路由器 內(nèi)容來自縱橫數(shù)據(jù)

以Cisco路由器為例 縱橫數(shù)據(jù)提供技術(shù)支持
Cisco Express Forwarding(CEF) 縱橫數(shù)據(jù)

使用 unicast reverse-path 縱橫數(shù)據(jù)

訪問控制列表(ACL)過濾 縱橫數(shù)據(jù)提供技術(shù)支持

設(shè)置SYN數(shù)據(jù)包流量速率 內(nèi)容來自www.qq-team.cn

升級版本過低的ISO 縱橫數(shù)據(jù)提供技術(shù)支持

為路由器建立log server copyright www.qq-team.cn

能夠了解DDoS攻擊的原理，對我們防御的措施在加以改進，我們就可以擋住一部分的DDoS攻擊，知己知彼，百戰(zhàn)不殆嘛。