文档介绍：DDOS 攻击原理 DDoS 攻击全面解析-- 《网络安全杂志 2007 年9 月》北京傲盾软件有限责任公司技术总监李军一、前言 DDOS 全名是 Distribution Denial of Service ( 分布式拒绝服务攻击), 很多 DOS 攻击源一起攻击某台服务器就组成了 DDOS 攻击. 在中国,DDOS 最早可追溯到 199 6年,200 2 年开发频繁出现,200 3 年已经初具规模. 当时网络带宽普遍比较小, 攻击量一般都不会超过 100M, 国内几乎没有防护的方法和产品. 而且攻击源 IP 都是伪造的, 无法找到攻击源. 一个硬件配置很好的网站, 每秒几兆的攻击量就可以完全瘫痪, 破坏力相当惊人. 由于开发防护产品需要接管网络底层控制, 和分析处理 TCP/IP 协议要求较高的技术门槛,当时在国内的众多安全厂商里面, 只有傲盾和黑洞两家推出了专门防护 DDOS 攻击的产品。 DDOS 攻击经过黑客多年的不断的技术积累到今天已经变化多种多样攻击形势, 攻击内容和以前有了很大的改变,新的变种攻击也几乎每月都会有, 这篇文章会彻底分析攻击原理, 通过攻击案例具体分析实际攻击,力图让读者从中找到解决针对自己网络的有效解决办法。二、 DDoS 攻击原理我们先来研究最常见的 SYN 攻击, SYN 攻击属于 DOS Denial of Servi c 攻击的一种,它利用 TCP 协议缺陷,通过发送大量的半连接请求,耗费 CPU 和内存资源。 TCP 协议建立连接的时候需要双方相互确认信息, 来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以 TCP 协议采用三次握手建立一个连接。第一次握手:建立连接时,客户端发送 syn 包到服务器, 并进入 SYN_SEND 状态, 等待服务器确认; 第二次握手: 服务器收到 syn 包, 确认客户的 SYN 同时自己也发送一个 SYN 包即 SYN+ACK 包,此时服务器进入 SYN_RECV 状态. 第三次握手:客户端收到服务器的 SYN + ACK 包,向服务器发送确认包 ACK 此包发送完毕, 客户端和服务器进入 ESTABLISHED 状态, 完成三次握手。 SYN 攻击利用 TCP 协议三次握手的原理,大量发送伪造源 IP的 SYN 包, 也就是伪造第一次握手数据包,服务器每接收到一个 SYN 包就会为这个连接信息分配核心内存并放入半连接队列, 如果短时间内接收到的 SYN 太多, 半连接队列就会溢出, 操作系统会把这个连接信息丢弃造成不能连接, 当攻击的 SYN 包超过半连接队列的最大值时, 正常的客户发送 SYN 数据包请求连接就会被服务器丢弃. 每种操作系统半连接队列大小不一样, 所以抵御 SYN 攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢,答案是不能,每种操作系统都有方法来调整 TCP 模块的半连接队列最大数,例如 Win2000 操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 里 TcpMaxHalfOpen , TcpMaxHalfOpenRetried , Linux 操作系统用变量 tcp_max_syn_backlog 来定义半连接队列的最大数。但是每建立一