浅谈ddos***

转载：网界论坛

DDoS***概念：
    DoS的***方式有不少种，最基本的DoS***就是利用合理的服务请求来占用过多的服务资源，从而使合法用户没法获得服务的响应。
　DDoS***手段是在传统的DoS***基础之上产生的一类***方式。单一的DoS***通常是采用一对一方式的，当***目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增加，内存大大增长，同时也出现了千兆级别的网络，这使得DoS***的困难程度加大了——目标对恶意***包的"消化能力"增强了很多，例如你的***软件每秒钟能够发送3,000个***包，但个人主机与网络带宽每秒钟能够处理10,000个***包，这样一来***就不会产生什么效果。
     这时侯分布式的拒绝服务***手段（DDoS）就应运而生了。你理解了DoS***的话，它的原理就很简单。若是说计算机与网络的处理能力加大了10倍，用一台***机来***再也不能起做用的话，***者使用10台***机同时***呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。  
     高速普遍链接的网络给你们带来了方便，也为DDoS***创造了极为有利的条件。在低速网络时代时，***占领***用的傀儡机时，老是会优先考虑离目标网络距离近的机器，由于通过路由器的跳数少，效果好。而如今电信骨干节点之间的链接都是以G为级别的，大城市之间更能够达到2.5G的链接，这使得***能够从更远的地方或者其余城市发起，***者的傀儡机位置能够在分布在更大的范围，选择起来更灵活了。
     被DDoS***时的现象：
     * 被***主机上有大量等待的TCP链接
     * 网络中充斥着大量的无用的数据包，源地址为假
　* 制造高流量无用数据，形成网络拥塞，使受害主机没法正常和外界通信
    * 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机没法及时处理全部正常请求
    * 严重时会形成系统死机
         ***运行原理：
                 
        如图，一个比较完善的DDoS***体系分红四大部分，先来看一下最重要的第2和第3部分：它们分别用作控制和实际发起***。请注意控制机与***机的区别，对第4部分的受害者来讲，DDoS的实际***包是从第3部分***傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的***。对第2和第3部分计算机，***有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序同样运行并等待来自***的指令，一般它还会利用各类手段隐藏本身不被别人发现。在平时，这些傀儡机器并无什么异常，只是一旦***链接到它们进行控制，并发出指令的时候，***傀儡机就成为害人者去发起***了。
　***是如何组织一次DDoS***的？
    这里用“组织”这个词，是由于DDoS并不象***一台主机那样简单。通常来讲，***进行DDoS***时会通过这样的步骤：　　
   1. 搜集了解目标的状况
 

   下列状况是***很是关心的情报：

　* 被***目标主机数目、地址状况

　　* 目标主机的配置、性能

　　* 目标的带宽

　　对于DDoS***者来讲，***互联网上的某个站点，如http://www.mytarget.com，有一个重点就是肯定到底有多少台主机在支持这个站点，一个大的网站可能有不少台主机利用负载均衡技术提供同一个网站的www服务。因此事先搜集情报对DDoS***者来讲是很是重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，***同一站点的2台主机须要2台傀儡机的话，***5台主机可能就须要5台以上的傀儡机。有人说作***的傀儡机越多越好，反正无论你有多少台主机我都用尽可能多的傀儡机来攻就是了，傀儡机超过了时效果更好。

　但在实际过程当中，有不少***并不进行情报的搜集而直接进行DDoS的***，这时候***的盲目性就很大了，效果如何也要靠运气。

　　2. 占领傀儡机

　　***最感兴趣的是有下列状况的主机：

　　* 链路状态好的主机

　　* 性能好的主机

　　* 安全管理水平差的主机

　　这一部分其实是使用了另外一大类的***手段：利用形***。这是和DDoS并列的***方式。简单地说，就是占领和控制被***的主机。取得最高的管理权限，或者至少获得一个有权限完成DDoS***任务的账号。对于一个DDoS***者来讲，准备好必定数量的傀儡机是一个必要的条件，下面说一下他是如何***并占领它们的。

　　首先，***作的工做通常是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞......(简直举不胜举啊)，都是***但愿看到的扫描结果。随后就是尝试***了，具体的手段就不在这里多说了，感兴趣的话网上有不少关于这些内容的文章。

　　总之***如今占领了一台傀儡机了！而后他作什么呢？除了上面说过留后门擦脚印这些基本工做以外，他会把DDoS***用的程序上载过去，通常是利用ftp。在***机上，会有一个DDoS的发包程序，***就是利用它来向受害目标发送恶意***包的。

　　3. 实际***：

　　通过前2个阶段的精心准备以后，***就开始瞄准目标准备发射了。前面的准备作得好的话，实际***过程反而是比较简单的。就象图示里的那样，***登陆到作为控制台的傀儡机，向全部的***机发出命令：“预备~ ，瞄准~，开火!”。这时候埋伏在***机中的DDoS***程序就会响应控制台的命令，一块儿向受害主机以高速度发送大量的数据包，致使它死机或是没法响应正常的请求。***通常会以远远超出受害方处理能力的速度进行***，他们不会“怜香惜玉”。

　　老到的***者一边***，还会用各类手段来监视***的效果，在须要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入***。

　　DDoS的防范：

　　到目前为止，进行DDoS***的防护仍是比较困难的。首先，这种***的特色是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能彻底抵御住DDoS***。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000我的同时给你家里打电话，这时候你的朋友还打得进来吗？

　　不过即便它难于防范，也不是说咱们就应该逆来顺受，实际上防止DDoS并非绝对不可行的事情。互联网的使用者是各类各样的，与DDoS作斗争，不一样的角色有不一样的任务。咱们如下面几种角色为例：

　* 企业网管理员

　　* ISP、ICP管理员

　　* 骨干网络运营商

　　企业网管理员:

　　网管员作为一个企业内部网的管理者，每每也是安全员、守护神。在他维护的网络中有一些服务器须要向外提供WWW服务，于是不可避免地成为DDoS的***目标，他该如何作呢？能够从主机与网络设备两个角度去考虑。

　　主机上的设置：

　　几乎全部的主机平台都有抵御DoS的设置，总结一下，基本的有几种：

　　* 关闭没必要要的服务

　　* 限制同时打开的Syn半链接数目

　　* 缩短Syn半链接的time out 时间

　　* 及时更新系统补丁

　　网络设备上的设置：

　　企业网的网络设备能够从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来讲是否值得。

　　防火墙：

　　* 禁止对主机的非开放服务的访问

　　* 限制同时打开的SYN最大链接数

　　* 限制特定IP地址的访问

　　* 启用防火墙的防DDoS的属性

　　* 严格限制对外开放的服务器的向外访问

　　第五项主要是防止本身的服务器被当作工具去害人。

　　路由器：

　　以Cisco路由器为例

　　* Cisco Express Forwarding（CEF）

　　* 使用 unicast reverse-path

　　* 访问控制列表（ACL）过滤

　　* 设置SYN数据包流量速率

　　* 升级版本太低的ISO

　　* 为路由器创建log server

　　其中使用CEF和Unicast设置时要特别注意，使用不当会形成路由器工做效率严重降低，升级IOS也应谨慎。路由器是网络的核心设备，与你们分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可让这个配置先跑一段时间（三五天的就随意啦），以为可行后再保存配置到startup config；而若是不满意想恢复原来的配置，用copy start run就好了。 　　ISP / ICP管理员：

ISP / ICP为不少中小型企业提供了各类规模的主机托管业务，因此在防DDoS时，除了与企业网管理员同样的手段外，还要特别注意本身管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性广泛是不好的，有的连基本的补丁都没有打就赤膊上阵了，成为***最喜欢的"肉鸡"，由于无论这台机器***怎么用都不会有被发现的危险，它的安全管理太差了；还没必要说托管的主机都是高性能、高带宽的——简直就是为DDoS定制的。而作为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际状况时，有不少客户与本身的托管主机服务商配合得不是很好，形成ISP管理员明知本身负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又是买方市场，ISP还不敢得罪客户，怎么办？我们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机更安全一些，被别人告状的可能性也小一些。

　　骨干网络运营商：

　　他们提供了互联网存在的物理基础。若是骨干网络运营商能够很好地合做的话，DDoS***能够很好地被预防。在2000年yahoo等知名网站被***后，美国的网络安全研究机构提出了骨干运营商联手来解决DDoS***的方案。其实方法很简单，就是每家运营商在本身的出口路由器上进行源IP地址的验证，若是在本身的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法能够阻止***利用伪造的源IP来进行DDoS***。不过一样，这样作会下降路由器的效率，这也是骨干运营商很是关注的问题，因此这种作法真正采用起来还很困难。

　　对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前咱们至少能够作到把本身的网络与主机维护好，首先不让本身的主机成为别人利用的对象去***别人；其次，在受到***的时候，要尽可能地保存证据，以便过后追查，一个良好的网络和日志系统是必要的。不管DDoS的防护向何处发展，这都将是一个社会工程，须要IT界的同行们来一块儿关注，通力合做。