DDOS专题详细讲解

1、 DDos***原理
DDOS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”,DDoS***原理大体分为如下三种:
1.经过发送大的数据包堵塞服务器带宽形成服务器线路瘫痪;
2.经过发送特殊的数据包形成服务器TCP/IP协议模块耗费CPU内存资源最终瘫痪;
3.经过标准的链接创建起链接后发送特殊的数据包形成服务器运行的网络服务软件耗费CPU内存最终瘫痪(好比WEB SERVER、FTP SERVER、 游戏服务器等)。

2、 DDoS***种类能够分为如下几种:

因为肉鸡的***能够随时更新***的数据包和***方式，因此新的***更新很是快这里咱们介绍几种常见的***的原理和分类
一、SYN变种***
发送伪造源IP的SYN数据包可是数据包不是64字节而是上千字节,这种***会形成一些防火墙处理错误致使锁死，消耗服务器CPU内存的同时还会堵塞带宽。
二、TCP混乱数据包***
发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的多是syn ,ack ,syn+ack ,syn+rst等等，会形成一些防火墙处理错误致使锁死，消耗服务器CPU内存的同时还会堵塞带宽。
三、针对UDP协议***
不少聊天室，视频音频软件，都是经过UDP数据包传输的，***者针对分析要***的网络软件协议，发送和正常数据同样的数据包，这种***很是难防御，通常防御墙经过拦截***数据包的特征码防御，可是这样会形成正常的数据包也会被拦截，
四、针对WEB Server的多链接***
经过控制大量肉鸡同时链接访问网站，形成网站没法处理瘫痪，这种***和正常访问网站是同样的，只是瞬间访问量增长几十倍甚至上百倍，有些防火墙能够经过限制每一个链接过来的IP链接数来防御，可是这样会形成正经常使用户稍微多打开几回网站也会被封
五、针对WEB Server的变种***
经过控制大量肉鸡同时链接访问网站，一点链接创建就不断开，一直发送发送一些特殊的GET访问请求形成网站数据库或者某些页面耗费大量的CPU,这样经过 限制每一个链接过来的IP链接数进行防御的方法就失效了，由于每一个肉鸡可能只创建一个或者只创建少许的链接。这种***很是难防御，后面给你们介绍防火墙的解决方案
六、针对WEB Server的变种***
经过控制大量肉鸡同时链接网站端口，可是不发送GET请求而是乱七八糟的字符，大部分防火墙分析***数据包前三个字节是GET字符而后来进行http协议 的分析，这种***，不发送GET请求就能够绕过防火墙到达服务器，通常服务器都是共享带宽的，带宽不会超过10M ,因此大量的肉鸡***数据包就会把这台服务器的共享带宽堵塞形成服务器瘫痪，这种***也很是难防御，由于若是只简单的拦截客户端发送过来没有GET字符的 数据包，会错误的封锁不少正常的数据包形成正经常使用户没法访问，后面给你们介绍防火墙的解决方案
七、针对游戏服务器的***
由于游戏服务器很是多，这里介绍最先也是影响最大的传奇游戏，传奇游戏分为登录注册端口7000,人物选择端口7100，以及游戏运行端口 7200,7300,7400等,由于游戏本身的协议设计的很是复杂，因此***的种类也花样倍出，大概有几十种之多，并且还在不断的发现新的***种类，这 里介绍目前最广泛的假人***，假人***是经过肉鸡模拟游戏客户端进行自动注册、登录、创建人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是***哪些是正常玩家。
3、DDoS防御基本方法：
一、.关闭没必要要的服务

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机没法访问共享

4.Distributed Link Tracking Server[适用局域网分布式连接]

6.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

7.Messenger[警报]

8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

9.Network DDE[为在同一台计算机或不一样计算机上运行的程序提供动态数据交换]

10.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

11.Remote Desktop Help Session Manager[管理并控制远程协助]

12.Remote Registry[使远程计算机用户修改本地注册表]

13.Routing and Remote Access[在局域网和广域往提供路由服务.***理由路由服务刺探注册信息]

14.Server[支持此计算机经过网络的文件、打印、和命名管道共享]

15.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户可以共享文件、打印和登陆到网络]

16.Telnet[容许远程用户登陆到此计算机并运行程序]

17.Terminal Services[容许用户以交互方式链接到远程计算机]

18.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

二、数据包的链接数从缺省值128或512修改成2048或更大，以加长每次处理数据包队列的长度，以缓解和消化更多数据包的链接；

三、将链接超时时间设置得较短，以保证正常数据包的链接，屏蔽非法***包

四、及时更新系统、安装补丁

五、用负载均衡技术，就是把应用业务分布到几台不一样的服务器上

六、流量牵引技术，大流量***最理想防护方法，但通常是专业硬件防火墙，价格昂贵。

4、 判断网站被DDoS了的表现形式

一、被***主机上有大量等待的TCP链接,用netstat -an命令可看到

二、ping 服务器出现丢包严重,或没法ping通.

三、CPU占用率很高，有时候甚至达到100%，严重时会出现蓝屏死机死机(这种是CC***最多见的现象).

四、链接3389时,晌应很慢或提示计算机太忙,没法接受新链接.

五、网络中充斥着大量的无用的数据包，源地址为假.

5、受到DDOS***的应急处理

一、若有富余的IP资源，能够更换一个新的IP地址，将网站域名指向该新IP；

二、停用80端口，使用如81或其它端口提供HTTP服务，将网站域名指向IP:81

6、防护DDOS的建议

一、采用高性能的网络设备

二、充足的网络带宽保证

三、安装专业抗DDOS防火墙

如：冰盾防火墙、金盾防火墙、黑洞防火墙、傲盾防火墙

7、实战配置冰盾防火墙防DDOS与CC***

测试环境：WEB服务器一台，开放80端口，IP地址：192.168.2.250，安装冰盾防火墙最新版和DDOS***监控器。DDOS服务器一台而且参于***，IP地址：192.168.2.252，DDOS压力测试软件为绉式网络DDOS压力测试2009。肉鸡一台，IP地址：192.168.2.249。

测试1、UDP***:

两台肉鸡在线

没有启用防火墙效果以下，流量达到36M，两台肉鸡产生的流量

启用防火墙，设定UDP包最大为512字节

流量就很小，几乎没有。

测试2、“TCP并发链接”***

没有启用防火墙效果以下，流量达到2.2M，两台肉鸡产生的流量，而且有大量的TCP链接

启用防火墙，而且设定相应规则

日志显示IP地址被过屏蔽，TCP链接也没有用

测试3、ICMP***:

没有启用防火墙效果以下，流量达到5.8M，两台肉鸡产生的流量，而且有大量的ICMP包

测试4、SYN***

启用防火墙效果以下，收有大量SYN网络包，没有流量。

关闭防火墙效果以下，流量一会儿就到了近3M，只一台肉鸡***。

测试5、CC***

没用启用防火墙，收到大量的SYN和ACK包，两台肉鸡流量达近12M，大量的TCP链接

启用防火墙后，恢复正常