DDoS

什么是DDoS攻击
DDoS是英文Distributed Denial of Service的缩写，中文意思是“分布式拒绝服务”。那什么又是拒绝服务呢？用户能够这样理解，凡是能致使合法用户不能进行正常的网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的很是明确，就是要阻止合法用户对正常网络资源的访问。
DDoS攻击主要是经过不少“傀儡主机”向远程计算机发送大量看似合法的数据包，从而形成网络阻塞或服务器资源耗尽而致使拒绝服务。分布式拒绝服务攻击一旦被实施，攻击数据包就会犹如洪水般涌向远程计算机，从而把合法的数据包淹没，致使合法用户没法正常地访问服务器的网络资源。所以，分布式拒绝服务也被称之为“洪水攻击”。DDoS的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包致使网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而没法到达主机；另外一种为资源耗尽攻击，主要是针对服务器主机进行的攻击，即经过大量的攻击包致使主机的内存被耗尽，或是CPU被内核及应用程序占完而形成没法提供网络服务。
DDoS的攻击类型
DDoS的攻击类型目前主要包括三种方式，即TCP-SYN Flood攻击、UDP Flood攻击以及提交脚本攻击。
TCP-SYN Flood攻击又称半开式链接攻击，每当咱们进行一次标准的TCP链接，都会有一个三次握手的过程，而TCP-SYN Flood在它的实现过程当中只有前两个步骤。这样，服务方会在必定时间处于等待接收请求方ASK消息的状态。因为一台服务器可用的TCP链接是有限的，若是恶意攻击方快速连续地发送此类链接请求，则服务器可用TCP链接队列很快将会阻塞，系统资源和可用带宽急剧降低，没法提供正常的网络服务，从而形成拒绝服务。
UDP Flood攻击在网络中的应用也是比较普遍的，基于UDP的攻击种类也是比较多的，如目前在互联网上提供网页、邮件等服务的设备通常是使用UNIX操做系统的服务器，它们默认是开放一些有被恶意利用可能的UDP服务。若是恶意攻击者将UDP服务互指，则网络可用带宽会很快耗尽形成拒绝服务。
提交脚本攻击主要是针对存在ASP、PHP、CGI等脚本程序，并调用MSSQL、MYSQL、ACCESS等数据库的网站系统设计的。首先是和服务器创建正常的TCP链接，并不断地向数据库提交注册、查询、刷新等消耗资源的命令，最终将服务器的资源消耗掉从而致使拒绝服务。
防范DDoS的三条军规
1.检查并修补系统漏洞
及早发现当前系统可能存在的攻击漏洞，及时安装系统的补丁程序。对一些重要的信息（例如系统配置信息）创建和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。经过这样一系列的举措能够把攻击者的可乘之机下降到最小。
2.删除多余的网络服务
在网络管理方面，要常常检查系统的物理环境，禁止那些没必要要的网络服务。创建边界安全界限，确保输出的包受到正确限制。常常检测系统配置信息，并注意查看天天的安全日志。若是你是一个单机用户，可去掉多余不用的网络协议，彻底禁止NetBIOS服务，从而堵上这个危险的“漏洞”。
3. 本身定制防火墙规则
利用网络安全设备（例如：硬件防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉全部可能的伪造数据包，这种方法适合全部Windows操做系统的用户。以天网我的防火墙为例，新建一条空规则，规定以下：“数据包方向”设置为“接收”，“对方IP地址”设置为“任何”，“协议”设置为“TCP”，“本地端口”设置为“139到139”，“对方端口”设置为“0到0”，在“标志位”中选上“SYN标志”，“动做”选择“拦截”，保存便可。另外，其余危险的端口也能够用该方法进行设置。

##############################################################################

DDOS网络攻击是咱们最多见的问题了，要防止 DDOS网络攻击，首先就要了解其攻击的方式。

1. Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN  ACK后并不回应，这样，目的主机就为这些源主机创建了大量的链接队列，并且因为没有收到ACK一直维护着这些队列，形成了资源的大量消耗而不能向正常请求提供服务。

2. Smurf：该攻击向一个子网的广播地址发一个带有特定请求(如 ICMP回应请求)的包，而且将源地址假装成想要攻击的主机地址。子网上全部主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

3. Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，而后将该包经过 IP欺骗的方式发送给被攻击主机，这种包能够形成被攻击主机因试图与本身创建链接而陷入死循环，从而很大程度地下降了系统性能。

4. Ping of Death：根据 TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，可是一个包分红的多个片断的叠加却能作到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会形成主机的宕机。

5. Teardrop：IP数据包在网络传递时，数据包能够分红更小的片断。攻击者能够经过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段， TCP/IP堆栈会分配超乎寻常的巨大资源，从而形成系统资源的缺少甚至机器的从新启动。

6. PingSweep：使用 ICMP Echo轮询多个主机。

7. Pingflood: 该攻击在短期内向目的主机发送大量 ping包，形成网络堵塞或主机资源耗尽。

网络攻击方面的术语解释2008-02-14 17:55DDOS： DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。DoS的攻击方式有不少种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户没法获得服务的响应。被攻击主机上有大量等待的TCP链接，网络中充斥着大量的无用的数据包，源地址为假，制造高流量无用数据，形成网络拥塞，使受害主机没法正常和外界通信，利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机没法及时处理全部正常请求，严重时会形成系统死机。

Worm：网络蠕虫病毒，为了尽可能减小蠕虫病毒在网络上的传播，如今经常配置 ACL,把已知的蠕虫病毒经常使用的一些端口给封掉。蠕虫也在计算机与计算机之间自我复制，但蠕虫病毒可自动完成复制过程，由于它接管了计算机中传输文件或信息的功能。一旦计算机感染蠕虫病毒，蠕虫便可独自传播。但最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的全部联系人发送本身的副本，联系人的计算机也将执行一样的操做，结果形成多米诺效应(网络通讯负担沉重)，业务网络和整个  Internet 的速度都将减慢。

IP Spoof：即IP 电子欺骗，咱们能够说是一台主机设备冒充另一台主机的IP地址，与其它设备通讯，从而达到某种目的技术。在TCP三次握手过程当中实现，黑客主机能够伪装TRUST的ip向TARget发送请求链接报文，target响应(在这个过程当中，黑客主机必须使用DDOS等拒绝服务攻击使trust主机没法接受target的包，而同时黑客主机又必须猜想target发送的响应包的内容以便向target发送确认报文，与target创建链接)。

SYN Flood：是当前最流行的DoS(拒绝服务攻击)与 DdoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP链接请求，从而使得被攻击方资源耗尽( CPU满负荷或内存不足)的攻击方式。发生在Tcp链接握手过程。

Social Engineering：社会工程攻击是一种利用"社会工程学"来实施的网络攻击行为。最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的表明应用。

Honeybot： 僵尸网络跟踪工具。HoneyBOT是一款可以在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序，能够捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本，是AtomicSfotwareSolutions公司的产品。

ShellCode：Shellcode实际是一段代码(也能够是填充数据)，是用来发送到服务器利用特定漏洞的代码，通常能够获取权限。另外，Shellcode通常是做为数据发送给受攻击服务的。

Brute Attack：蛮力攻击就是咱们常说的穷举法。

#####################################################

就攻击常识而言，若是冰盾DDOS攻击监控器出现了如下状况就是遭到了DDOS攻击：  1. SYN数量大于100则是遭到了SYNFlood式的DDOS攻击。  2. ACK数量大于500则遭受了ACKFlood式的DDOS攻击(下载站正常状况下也可能会达到1000个以上)。  3. ICMP数量大于50则可能遭到了ICMPFlood式的DDOS攻击。  4. UDP数量不多而带宽占用很大，则可能遭到了UDPFlood攻击。  5. CPU占用率大于80%，而且主要被MSSQLServer或MySQL数据库进程占用了则可能遭到了CC类的DDOS攻击。  以上DDOS攻击都会致使网站没法访问、网络缓慢断线等被攻击的现象。