文档介绍:DDoS 攻击原理及防护方法论(1) 从 07 年的爱沙尼亚 DDoS 信息战, 到今年广西南宁 30 个网吧遭受到 DDoS ***, 再到新浪网遭受 DDoS 攻击无法提供对外服务 500 多分钟。 DDoS 愈演愈烈, 攻击事件明显增多, 攻击流量也明显增大,形势十分严峻,超过 1G 的攻击流量频频出现, 掌握的数据表明,最高时达到了 12G ,这样流量,甚至连专业的机房都无法抵挡。更为严峻的是: 利用 DDoS 攻击手段敲诈***已经形成了一条完整的产业链!并且,攻击者实施成本极低, 在网上可以随便搜索到一大堆攻击脚本、工具工具, 对攻击者的技术要求也越来越低。相反的是, 专业抗 DDoS 设备的价格十分昂贵, 而且对于攻击源的追查难度极大, 防护成本远远大于攻击成本。本文将对 DDoS 攻击的原理做一个剖析,并提供一些解决方法。一. DDoS 攻击什么是 DDoS ? DDoS 是英文 Distributed Denial of ? Service 的缩写, 意即" 分布式拒绝服务",DDoS 的中文名叫分布式拒绝服务攻击,俗称***。首先,我们来了解一下相关定义。?服务:系统提供的,用户在对其使用中会受益的功能?拒绝服务:任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。?拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低分布式拒绝服务攻击:处于不同位置的多个攻击者同时向一个或者数个目标发起攻击, 或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。您所在的位置: 首页>网络安全>专家专栏> DDoS 攻击原理及防护方法论(2) http://netsecurity. 2009-03-16 13:43 戴鹏飞 我要评论(0) ?摘要: 本文将对 DDoS 攻击的原理做一个剖析,并提供一些解决方法。?标签: DDoS 攻击原理防护? Oracle 帮您准确洞察各个物流环节二. 数据包结构要了解 DDoS 的攻击原理, 就要首先了解一下数据包的结构, 才能知根知底, 追本溯源。首先来回顾一下数据包的结构。 IP 报文结构图 TCP 报文结构图?一个 TCP 报头的标识( code bits )字段包含 6 个标志位: ? SYN : 标志位用来建立连接, 让连接双方同步序列号。如果 SYN =1而 ACK=0 , 则表示该数据包为连接请求,如果 SYN=1 而 ACK=1 则表示接受连接? FIN :表示发送端已经没有数据要求传输了,希望释放连接。? RST : 用来复位一个连接。 RST 标志置位的数据包称为复位包。一般情况下, 如果 TC P 收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。? URG :为紧急数据标志。如果它为 1 ,表示本数据包中包含紧急数据。此时紧急数据指针有效。? ACK :为确认标志位。如果为 1 ,表示包中的确认号时有效的。否则,包中的确认号无效。 PSH :如果置位,接收端应尽快把数据传送给应用层, 不必等缓冲区满再发送。 UDP 报文结构图 ICMP 报文结构图图三. DDoS 攻击方式 SYN Flood 攻击 SYN-Flood 攻击是当前网络上最为常见的 DDoS 攻击,也是最为经典的拒绝服务攻击, 它利用了 TCP 协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文, 就可能造成目标服务器中的半开连接队列被占满, 从而阻止其他合法用户进行访问。这种攻击早在 1996 年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击, 而且由于它可以方便地伪造源地址, 追查起来非常困难。它的数据包特征通常是,源发送了大量的 SYN 包,并且缺少三次握手的最后一步握手 ACK 回复。 原理例如,攻击者首先伪造地址对服务器发起 SYN 请求(我可以建立连接吗?),服务器就会回应一个 ACK+SYN ( 可以+ 请确认)。而真实的 IP 会认为, 我没有发送请求, 不作回应。服务器没有收到回应,会重试 3-5 次并且等待一个 SYN Time (一般 30秒-2 分钟)后, 丢弃这个连接。如果攻击者大量发送这种伪造源地址的 SYN 请求,服务器端将会消耗非常多的资源来处理这种半连接,保存遍历会消耗非常多的 CPU 时间和内存,何况还要不断对这个列表中的 IP 进行 SYN+ACK 的重试。最后的结果是服务器无暇理睬正常的连接请求—拒绝服务。 stat – an 命