一;dos攻擊概念

DoS：是Denial of Service的簡稱，即拒絕服務，不是DOS操作系統，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。

　　DDOS：分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助於客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

下面的圖片是TCP的通信的三次握手，如果說攻擊端，發送完第一次握手的數據後，然後就“消失”了，那麽服務器就會不斷的發送第二次握手的數據，可是攻擊端的人找不到了。於是，服務器的資源大量被消耗，直到死機為止。

事實上DOS的攻擊方式有很多種，比如下面的常見的：

　　1、SYN FLOOD　　利用服務器的連接緩沖區（Backlog Queue），利用特殊的程序，設置TCP的Header，向服務器端不斷地成倍發送只有SYN標誌的TCP連接請求。當服務器接收的時候，都認為是沒有建立起來的連接請求，於是為這些請求建立會話，排到緩沖區隊列中。 　　如果你的SYN請求超過了服務器能容納的限度，緩沖區隊列滿，那麽服務器就不再接收新的請求了。其他合法用戶的連接都被拒絕掉。可以持續你的SYN請求發送，直到緩沖區中都是你的只有SYN標記的請求。 　　

2、IP欺騙DOS攻擊　　這種攻擊利用RST位來實現。假設現在有一個合法用戶(1.1.1.1)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1.1.1.1，並向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據後，認為從1.1.1.1發送的連接有錯誤，就會清空緩沖區中建立好的連接。這時，如果合法用戶1.1.1.1再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就必須從新開始建立連接。 　　攻擊時，偽造大量的IP地址，向目標發送RST數據，使服務器不對合法用戶服務。 　　 　

　3、帶寬DOS攻擊　　如果你的連接帶寬足夠大而服務器又不是很大，你可以發送請求，來消耗服務器的緩沖區消耗服務器的帶寬。這種攻擊就是人多力量大了，配合上SYN一起實施DOS，威力巨大。不過是初級DOS攻擊。

　　4、自身消耗的DOS攻擊　　這是一種老式的攻擊手法。說老式，是因為老式的系統有這樣的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他過時的系統。　　這種DOS攻擊就是把請求客戶端IP和端口弄成主機的IP端口相同，發送給主機。使得主機給自己發送TCP請求和連接。這種主機的漏洞會很快把資源消耗光。直接導致當機。這中偽裝對一些身份認證系統還是威脅巨大的。

　　上面這些實施DOS攻擊的手段最主要的就是構造需要的TCP數據，充分利用TCP協議。這些攻擊方法都是建立在TCP基礎上的。還有其他的DOS攻擊手段。 　　 　

　5、塞滿服務器的硬盤　　通常，如果服務器可以沒有限制地執行寫操作，那麽都能成為塞滿硬盤造成DOS攻擊的途徑，比如： 　　發送垃圾郵件。

一般公司的服務器可能把郵件服務器和WEB服務器都放在一起。破壞者可以發送大量的垃圾郵件，這些郵件可能都塞在一個郵件隊列中或者就是壞郵件隊列中，直到郵箱被撐破或者把硬盤塞滿。 讓日誌記錄滿。入侵者可以構造大量的錯誤信息發送出來，服務器記錄這些錯誤，可能就造成日誌文件非常龐大，甚至會塞滿硬盤。同時會讓管理員痛苦地面對大量的日誌，甚至就不能發現入侵者真正的入侵途徑。　　向匿名FTP塞垃圾文件。這樣也可以塞滿硬盤空間。 　　

二：DDoS防禦

對於DDOS防禦的理解
　　對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麽絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。

　　DDoS防禦的方法：

　　1、采用高性能的網絡設備

　　首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

　　2、盡量避免NAT的使用

　　無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

　　3、充足的網絡帶寬保證

　　網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什麽措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。但需要註意的是，主機上的網卡是1000M的並不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

　　4、升級主機服務器硬件

　　在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有誌強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

　　5、把網站做成靜態頁面

　　大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數據庫調用腳本還是可以的，此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。

　　6、增強操作系統的TCP/IP棧

　　Win2000和Win2003作為服務器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵禦數百個，具體怎麽開啟，自己去看微軟的文章吧！《強化 TCP/IP 堆棧安全》。

　　也許有的人會問，那我用的是Linux和FreeBSD怎麽辦？很簡單，按照這篇文章去做吧！《SYN Cookies》。

　　7、安裝專業抗DDOS防火墻

三：DDOS應付方法

　　DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規方法。

　　（1）定期掃描

　　要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。

　　（2）在骨幹節點配置防火墻

　　防火墻本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

　　（3）用足夠的機器承受黑客攻擊

　　這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網絡實際運行情況不相符。

　　（4）充分利用網絡設備保護網絡資源

　　所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麽損失。若其他服務器死掉，其中的數據會丟失，而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。

　　（5）過濾不必要的服務和端口

　　過濾不必要的服務和端口，即在路由器上過濾假IP……只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那麽只開放80而將其他所有端口關閉或在防火墻上做阻止策略。

　　（6）檢查訪問者的來源

　　使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助於提高網絡安全性。

　　（7）過濾所有RFC1918 IP地址

　　RFC1918 IP地址是內部網的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網段的固定的IP地址，而是Internet內部保留的區域性IP地址，應該把它們過濾掉。此方法並不是過濾內部員工的訪問，而是將攻擊時--的大量虛假內部IP過濾，這樣也可以減輕DdoS的攻擊。

　　（8）限制SYN/ICMP流量

　　用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法，雖然目前該方法對於DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

本文出自 “大東” 博客，轉載請與作者聯系！

DDOS攻擊