文档介绍：DDoS攻击原理及防护方法论
2

———————————————————————————————— 作者：
———————————————————————————————— 日期：

个人收集整理 勿做商业用途
个人收集整理 勿做商业用途
个人收集整理 勿做商业用途
DDoS攻击原理及防护方法论(1）
从07年的爱沙尼亚DDoS信息战，到今年广西南宁30个网吧遭受到DDoS***，再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈，攻击事件明显增多,攻击流量也明显增大，形势十分严峻,超过1G的攻击流量频频出现，CNCERT/CC掌握的数据表明,最高时达到了12G，这样流量，：利用DDoS攻击手段敲诈***已经形成了一条完整的产业链！并且，攻击者实施成本极低,在网上可以随便搜索到一大堆攻击脚本、工具工具，对攻击者的技术要求也越来越低。相反的是，专业抗DDoS设备的价格十分昂贵，而且对于攻击源的追查难度极大，防护成本远远大于攻击成本。
本文将对DDoS攻击的原理做一个剖析，并提供一些解决方法。
一. DDoS攻击
什么是DDoS？DDoS是英文Distributed Denial of ²Service的缩写,意即”分布式拒绝服务”,DDoS的中文名叫分布式拒绝服务攻击,俗称***。首先，我们来了解一下相关定义。
²服务：系统提供的，用户在对其使用中会受益的功能
²拒绝服务：任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。
²拒绝服务攻击:是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低
分布式拒绝服务攻击：处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。
您所在的位置： 首页 > 网络安全 〉 专家专栏 〉
DDoS攻击原理及防护方法论（2）
http：//netsecurity。  2009-03—16 13：43  戴鹏飞  51CTO。com  我要评论(0）
摘要：本文将对DDoS攻击的原理做一个剖析，并提供一些解决方法.
标签：DDoS攻击  原理  防护
Oracle帮您准确洞察各个物流环节
二. 数据包结构
要了解DDoS的攻击原理，就要首先了解一下数据包的结构，才能知根知底，追本溯源。首先来回顾一下数据包的结构.
IP报文结构
3

个人收集整理 勿做商业用途
个人收集整理 勿做商业用途
个人收集整理 勿做商业用途
图
TCP报文结构
图
²一个TCP报头的标识（code bits）字段包含6个标志位:
²SYN：标志位用来建立连接，＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接
²FIN:表示发送端已经没有数据要求传输了,希望释放连接。
²RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包.
²URG:为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。
²ACK：，表示包中的确认号时有效的。否则，包中的确认号无效。
PSH:如果置位，接收端应尽快把数据传送给应用层, 不必等缓冲区满再发送 。
4

个人收集整理 勿做商业用途
个人收集整理 勿做商业用途
个人收集整理 勿做商业用途
UDP报文结构