计算机网络知识讲解(19)

DDoS是什么？

DDoS英文全称Distributed Denial of Service，中文含义为“分布式拒绝服务”，是一种基于DoS的特殊形式的拒绝服务攻击，主要瞄准例如商业公司、搜索引擎和政府部门等比较大的网站站点或者服务器。DDoS攻击通过多台受控机器向某一指定机器进行攻击，来势迅猛令人难以防备，同时具有较大的破坏性。

DDos

DDoS攻击通过大量合法的请求占用大量网络资源，以达到服务器瘫痪网络的目的，通过使网络过载来干扰甚至阻断正常的网络通讯；还可以向服务器提交大量请求，使服务器超负荷；或阻断某一用户访问服务器；甚至阻断某服务与特定系统或个人的通讯，达到破坏的作用。

通俗的说，DDoS攻击就指向一台性能与网络宽带有限的服务器短期发动大量的访问请求，直到服务器或者宽带承受极限，从而导致后期服务器无法正常运行的目的。

DDoS攻击的形式攻击种类

DDoS攻击通常分成两种形式：带宽消耗型以及资源消耗型。带宽消耗型的明显特征就是大量的不明数据报文流向受害主机，受害主机的网络接入带宽被耗尽。资源消耗型的特征为受害主机的系统资源(存储资源和计算资源)被大量占用，甚至发生死机。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源，两者可能单独发生，也可能同时发生。以达到瘫痪网络以及系统的目的，往往在一瞬间DDoS带来的性能、带宽压力等于正常业务量的数万倍甚至数十万倍，面对这种情况，一般企业根本无力回天。

1 带宽消耗攻击

DDoS带宽消耗攻击主要为直接洪流攻击。 直接洪流攻击采取了简单自然的攻击方式，它利用了攻击方的资源优势，当大量代理发出的攻击流汇聚于目标时，足以耗尽其 Internet 接入带宽。通常用于发送的攻击报文类型有：TCP报文(可含TCP SYN报文)，UDP报文，ICMP报文，三者可以单独使用，也可同时使用。

1.1 TCP洪流攻击

在早期的DoS攻击中，攻击者只发送TCP SYN报文，以消耗目标的系统资源。而在 DDoS 攻击中，由于攻击者拥有更多的攻击资源，所以攻击者在大量发送TCP SYN报文的同时，还发送ACK, FIN, RST报文以及其他 TCP 普通数据报文，这称为 TCP 洪流攻击。该攻击在消耗系统资源(主要由 SYN，RST 报文导致)的同时，还能拥塞受害者的网络接入带宽。由于TCP协议为TCP/IP协议中的基础协议，是许多重要应用层服务(如WEB 服务，FTP 服务等)的基础，所以TCP洪流攻击能对服务器的服务性能造成致命的影响。据研究统计，大多数DDoS攻击通过TCP洪流攻击实现。

1.2UDP 洪流攻击

用户数据报协议(UDP)是一个无连接协议。当数据包经由UDP协议发送时，发送双方无需通过三次握手建立连接， 接收方必须接收处理该数据包。因此大量的发往受害主机 UDP 报文能使网络饱和。在一起UDP 洪流攻击中，UDP 报文发往受害系统的随机或指定端口。通常，UDP洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。如果受害系统在某个被攻击端口没有运行服务，它将用 ICMP 报文回应一个“目标端口不可达”消息。通常，攻击中的DDoS工具会伪造攻击包的源IP地址。这有助于隐藏代理的身份，同时能确保来自受害主机的回应消息不会返回到代理。UDP洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此，有时连接到受害系统周边网络的主机也会遭遇网络连接问题。

1.3 ICMP洪流攻击

Internet 控制报文协议传递差错报文及其它网络管理消息，它被用于定位网络设备，确定源到端的跳数或往返时间等。一个典型的运用就是 Ping 程序，其使用 ICMP_ECHO REQEST 报文，用户可以向目标发送一个请求消息，并收到一个带往返时间的回应消息。ICMP 洪流攻击就是通过代理向受害主机发送大量ICMP_ECHO_ REQEST)报文。这些报文涌往目标并使其回应报文，两者合起来的流量将使受害主机网络带宽饱和。与UDP洪流攻击一样，ICMP洪流攻击通常也伪造源IP地址。

2 系统资源消耗攻击

DDoS系统资源消耗攻击包括恶意误用 TCP/IP 协议通信和发送畸形报文两种攻击方式。两者都能起到占用系统资源的效果。具体有以下几种：

TCP SYN攻击，是DDoS攻击中最常见的攻击手段之一。只不过在 DDoS 方式下，它的攻击强度得到了成百上千倍的增加。

TCP PSH+ACK 攻击。在 TCP 协议中，到达目的地的报文将进入 TCP栈的缓冲区，直到缓冲区满了，报文才被转送给接收系统。此举是为了使系统清空缓冲区的次数达到最小。然而，发送者可通过发送 PSH 标志为 1 的TCP 报文来起强制要求接受系统将缓冲区的内容清除。TCP PUSH+ACK 攻击与 TCP SYN 攻击一样目的在于耗尽受害系统的资源。当代理向受害主机发送PSH和ACK标志设为1的TCP报文时， 这些报文将使接收系统清除所有 TCP 缓冲区的数据(不管缓冲区是满的还是非满)，并回应一个确认消息。如果这个过程被大量代理重复，系统将无法处理大量的流入报文。 畸形报文攻击。顾名思义，畸形报文攻击指的是攻击者指使代理向受害主机发送错误成型的IP报文以使其崩溃。有两种畸形报文攻击方式。一种是IP 地址攻击，攻击报文拥有相同的源 IP 和目的 IP 地址。它能迷惑受害主机的操作系统，并使其消耗大量的处理能力。另一个是IP报文可选段攻击。攻击报文随机选取IP报文的可选段并将其所有的服务比特值设为1。对此，受害系统不得不花费额外的处理时间来分析数据包。当发动攻击的代理足够多时，受害系统将失去处理能力。

3 应用层攻击

典型如国内流行的传奇假人攻击，这种攻击利用傀儡机，模拟了传奇服务器的数据流，能够完成普通传奇戏服务器的注册、登陆等功能，使得服务器运行的传奇游戏内出现大量的假人，影响了正常玩家的登陆和游戏，严重时完全无法登陆。

DDoS攻击的主要原因商业竞争，所谓没有买卖就没有伤害，做为迄今为止全球范围内尚无法完全攻克的互联网顽疾之一，自互联网诞生之初就已存在，并随着互联网的发展愈演愈烈。

GDCA致力于网络信息安全，已通过WebTrust 的国际认证，是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议，并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。GDCA一直以“构建网络信任体系，服务现代数字生活”的宗旨，致力于提供全球化的数字证书认证服务。其自主品牌——信鉴易 TrustAUTH SSL证书：包括 OVSSL、EVSSL、代码签名证书等。为涉足互联网的企业打造更安全的生态环境，建立更具公信力的企业网站形象。