DDoS攻击方式是什么？DDoS攻击可以彻底解决吗？

     DDoS攻击的方式是在传统的DoS攻击基础之上所产生的一类攻击方式。单一的DoS攻击通常是一对一的攻击方式，当攻击目标的CPU速度低、内存小或者网络带宽小等等各项性能指标不高，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存磁盘大大增加，网络带宽也增加迅速，这使得DoS攻击的困难程度加大了。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。DDoS就是利用更多的傀儡机来发起进攻，比从前更大的规模来进攻受害者。DDOS攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一，给网络社会带来了极大的危害。同时，拒绝服务攻击也将是未来信息战的重要手段之一。
 

 

分布式拒绝服务(DDoS)攻击中的分布式的意思是借助于客户/服务器（C/S）技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，使用各自方式将被控代理程序安装在Internet上的许多计算机（通常所说的‘肉鸡’）上，在一个设定的时间点上主控程序将与大量代理程序通讯，激活代理程序，代理程序收到指令时就发动攻击。就目前的技术而讲，主控程序能在几秒钟内激活成百上千次代理程序的运行，按照攻击者发出的指令进行攻击。大多数代理程序发出的攻击流量从被攻击者的角度来看与正常流量差别不明显，这就造成防范DDOS攻击十分的困难。
 

 

上面讲了DDOS攻击方式是什么，下面讲一下常见的DDOS攻击的攻击原理。

 

Syn flood：利用了TCP三次握手中的弱点。具体的方法是：攻击主机向目标主机发出SYN报文发起TCP连接，但是攻击主机并不回复最后一个ack报文，使得TCP握手无法完成，而目标主机在TCP握手中需要分配资源维持这些未完成的连接，当这样的连接到达一定数目后，目标主机就无法再响应其他的连接请求。构造出Synflood报文比较容易，只要将syn位置1，然后连接目标主机的某个可用服务的端口即可。

 

Udp flood：由于UDP协议是无连接的，因此它不可能占用目标主机的连接数，而只是通过发送大量UDP报文占用目标主机的带宽。通常情况下可以认为这是一种自杀式的攻击，因为在发送报文的过程中，不仅目标主机带宽被占用，发包主机的带宽也会收到严重的影响。构造udpflood报文不需要很特殊的置位，只要在同一时间内发送足够多数量的UDP报文就可以形成。

 

ICMP flood：原理同UDPflood，不同的是报文中装载的是ICMP报文。

 

CC攻击：向受害者发起大量HTTP Get/Post请求，主要请求动态页面，涉及到数据库访问操作，消耗受害者服务器有效资源，从而无法响应正常的请求。

 

IPsweep：严格的说，IPsweep并不能算是正式的攻击，IPsweep的过程只是向各个地址发送ping包等待回应，用以探测网络中存活的主机，从而为下一步的攻击做准备。

 

Portscan：一种端口扫描方式。其方法是对指定目标的端口发送SYN报文发起TCP连接，如果主机返回的是SYN+ACK，那么表示这个端口上有相应的服务开放，如果主机返回的是RST，那么说明这个端口没有服务在监听。

 

Land：在Land攻击中主要运用了两种手段：IP欺骗和SYNflood。Land攻击的原理是在IP首部将目标主机的IP同时填写为源地址和目的地址，然后再封装一个SYN的TCP报文发送出去，这样，收到报文的主机要向源地址响应SYN并且维持一个未完成的连接，而源地址又是它本身，因此这样循环进行下去后会最终造成主机资源耗尽无法响应请求。

 

Smurf：Smurf攻击是一种综合了IP欺骗和洪泛攻击的攻击手段。首先，报文的内容被构造成需要回应的特定请求（如ICMP request），而报文的源地址被伪造成要攻击的目标主机，收到该报文的主机将会对报文发起响应（如ICMP reply），而响应报文就会全部发送到伪造的源地址。通常情况下为了产生更大的报文流量，目标地址会构造成某个子网的广播地址，这样只要发送一个报文就能产生一个子网的流量，使攻击的效果更加明显。相比于传统的洪泛攻击，smurf攻击不占据自己的带宽，并且有利于隐藏自己的地址。

 

PING of death：正常的IP报文长度不能超过65535字节，这是由IP首部的16位长度字段决定的，收到超过65535字节的IP报文系统会出错。但是由于IP分片和偏移量的存在，使得我们可以够造出超过65535字节的IP报文。首先，13位的偏移量其最大值为8191，也就是说它所能表示最大的偏移量是65528，同时我们知道IP分片的最后一个报文是没有偏移量的，但是每个报文有各自的报文长度。那么分片报文到达目的后需要进行重组，重组后的IP报文长度就是用最大的一个偏移量加上最后一个报文的长度，虽然偏移量限定在65528，但是单个报文长度却可以做得很大，例如1000，那么最后得到重组的报文长度就是65528+1000=66528，超出了65535的限制，那么收到这样的报文的主机就有可能产生崩溃死机等情况。

 

WinNuke：针对windows系统的DoS攻击。攻击报文中将URG置位，同时将目标端口设为139端口，139端口是netbios协议的端口，当这样一份报文发送到目标主机后，会产生netbios的碎片重叠，导致主机崩溃。

 

Ip option攻击：IP option是IP报文首部的可选信息，其中可以带有调试控制信息，也可以带有一些路由信息或安全性的信息，但是事实上IP选项信息在通信中基本是不需要的，一般的路由器接收到它们后都会选择丢弃，而IP选项如果配置错误——例如配置不完整，字段残缺——收到报文的主机会出现错误。

 

TearDrop：利用IP碎片重组的攻击。在IP报头中的偏移量字段，它本身表示的是该分片相对于未分片的报文的数据的偏移量，假如收到的报文中，第二个分片的报文的偏移量小于它前一个报文的长度，在进行分片重组时会消耗主机巨大的资源，造成不能响应正常的服务。

 

Targa3：向目标主机发送长度、标识、地址、端口等都随机的碎片报文，令目标主机的协议栈在处理这些不规范数据的时候产生崩溃，影响正常服务的提供。

 

IP欺骗：构造数据报文时将IP首部的源地址进行修改，变成其他的IP地址，这种手段通常作为一些攻击的辅助手段进行，隐藏自己的地址，同时将攻击引导到目标主机上，一个典型的应用就是smurf攻击。

 

DDOS攻击流量多种多样，很多DDOS攻击不是预设防御策略所能够防范的，一般情况下是发现攻击后人为的分析攻击包特征，针对性的进行防御。当互联网企业遭到DDoS攻击时不要惊慌，可以通过接入墨者盾高防服务对ddos攻击进行防护，保障服务器的正常稳定运行。

以上内容由四川无国界(www.uvsec.com) 整理编辑——专业从事网络信息安全培训与IT风险管理咨询服务。