DDoS攻击原理及防护方法论DDoS攻击原理及防护方法论.doc

DDoS攻击原理及防护方法论(1)从07年的爱沙尼亚DDoS信息战，到今年广西南宁30个网吧遭受到DDoS勒索，再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈，攻击事件明显增多，攻击流量也明显增大，形势十分严峻，超过1G的攻击流量频频出现，CNCERT/CC掌握的数据表明，最高时达到了12G，这样流量，甚至连专业的机房都无法抵挡。更为严峻的是：利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链！并且，攻击者实施成本极低，在网上可以随便有哪些信誉好的足球投注网站到一大堆攻击脚本、工具工具，对攻击者的技术要求也越来越低。相反的是，专业抗DDoS设备的价格十分昂贵，而且对于攻击源的追查难度极大，防护成本远远大于攻击成本。 本文将对DDoS攻击的原理做一个剖析，并提供一些解决方法。 一. DDoS攻击 什么是DDoS？DDoS是英文Distributed Denial of Service的缩写，意即分布式拒绝服务,DDoS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。首先，我们来了解一下相关定义。 服务：系统提供的，用户在对其使用中会受益的功能 拒绝服务：任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。 拒绝服务攻击：是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低 分布式拒绝服务攻击：处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。 您所在的位置： 首页 网络安全 专家专栏 DDoS攻击原理及防护方法论(2) ?2009-03-16 13:43 ?戴鹏飞 ?51CTO.com ?我要评论(0) 摘要：本文将对DDoS攻击的原理做一个剖析，并提供一些解决方法。 标签：DDoS攻击??原理??防护 Oracle帮您准确洞察各个物流环节 二. 数据包结构 要了解DDoS的攻击原理，就要首先了解一下数据包的结构，才能知根知底，追本溯源。首先来回顾一下数据包的结构。 2.1 IP报文结构 图 2.2 TCP报文结构 图 一个TCP报头的标识（code bits）字段包含6个标志位： SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接 FIN：表示发送端已经没有数据要求传输了，希望释放连接。 RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。 URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。 ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。 PSH：如果置位，接收端应尽快把数据传送给应用层, 不必等缓冲区满再发送 。 2.3 UDP报文结构 图 2.4 ICMP报文结构 图 图 三. DDoS攻击方式 3.1 SYN Flood攻击 SYN-Flood攻击是当前网络上最为常见的DDoS攻击，也是最为经典的拒绝服务攻击，它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现，但至今仍然显示出强大的生命力。很多操作系统，甚至防火墙、路由器都无法有效地防御这种攻击，而且由于它可以方便地伪造源地址，追查起来非常困难。它的数据包特征通常是，源发送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回复。 3.1.1 原理 例如，攻击者首先伪造地址对服务器发起SYN请求（我可以建立连接吗？），服务器就会回应一个ACK+SYN（可以+请确认）。而真实的IP会认为，我没有发送请求，不作回应。服务器没有收到回应，会重试3-5次并且等待一个SYN Time（一般30秒-2分钟）后，丢弃这个连接。 如果攻击者大量发送这种伪造源地址的SYN请求，服务器端将会消耗非常多的资源来处理这种半连接，保存遍历会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。最后的结果是服务器无暇理睬正常的连接请求—拒绝服务。在服务器上用netstat –an命令查看SYN_RECV状态的话，就可以看到： 图 如果我们抓包来看： 图 可以看到大量的SYN包没有ACK回应。 3.1.2 SYN Flood防护 目前市面