如何防御ddos攻击

一、阻断服务(denial of service)

在探讨 ddos 之前我们需要先对 dos 有所了解，dos泛指黑客试图妨碍正常使用者使用网络上的服务，例如剪断大楼的电话线路造成用户无法通话。而以网络来说，由于频宽、网络设备和服务器主机等处理的能力都有其限制，因此当黑客产生过量的网络封包使得设备处理不及，即可让正常的使用者无法正常使用该服务。例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 adsl 使用者，则受害者就会发现他要连的网站连不上或是反应十分缓慢。

dos 攻击并非入侵主机也不能窃取机器上的资料，但是一样会造成攻击目标的伤害，如果攻击目标是个电子商务网站就会造成顾客无法到该网站购物。

二、分布式阻断服务(d**tributed denial of service)

ddos 则是 dos 的特例，黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。黑客预先入侵大量主机以后，在被害主机上安装 ddos 攻击程控被害主机对攻击目标展开攻击；有些 ddos 工具采用多层次的架构，甚至可以一次控制高达上千台电脑展开攻击，利用这样的方式可以有效产生极大的网络流量以瘫痪攻击目标。早在2000年就发生过针对yahoo, ebay, buy.com 和 cnn 等知名网站的ddos攻击，阻止了合法的网络流量长达数个小时。

ddos 攻击程序的分类，可以依照几种方式分类，以自动化程度可分为手动、半自动与自动攻击。早期的 ddos 攻击程序多半属于手动攻击，黑客手动寻找可入侵的计算机入侵并植入攻击程序，再下指令攻击目标；半自动的攻击程序则多半具有 handler 控制攻击用的agent 程序，黑客散布自动化的入侵工具植入 agent 程序，然后使用 handler 控制所有agents 对目标发动 ddos 攻击；自动攻击更进一步自动化整个攻击程序，将攻击的目标、时间和方式都事先写在攻击程序里，黑客散布攻击程序以后就会自动扫描可入侵的主机植入 agent 并在预定的时间对指定目标发起攻击，例如近期的 w32/blaster 网虫即属于此类。

若以攻击的弱点分类则可以分为协议攻击和**攻击两种。协议攻击是指黑客利用某个网络协议设计上的弱点或执行上的 bug 消耗大量资源，例如 tcp syn 攻击、对认证伺服器的攻击等；**攻击则是黑客使用大量正常的联机消耗被害目标的资源，由于黑客会准备多台主机发起 ddos 攻击目标，只要单位时间内攻击方发出的网络流量高于目标所能处理速度，即可消耗掉目标的处理能力而使得正常的使用者无法使用服务。

若以攻击频率区分则可分成持续攻击和变动频率攻击两种。持续攻击是当攻击指令下达以后，攻击主机就全力持续攻击，因此会瞬间产生大量流量阻断目标的服务，也因此很容易被侦测到；变动频率攻击则较为谨慎，攻击的频率可能从慢速渐渐增加或频率高低变化，利用这样的方式延缓攻击被侦测的时间。

三、从 ddos 攻击下存活

那么当遭受 ddos 攻击的时候要如何设法存活并继续提供正常服务呢？由先前的介绍可以知道，若黑客攻击规模远高于你的网络频宽、设备或主机所能处理的能力，其实是很难以抵抗攻击的，但仍然有一些方法可以减轻攻击所造成的影响。

首先是调查攻击来源，由于黑客经由入侵机器进行攻击，因此你可能无法查出黑客是由哪里发动攻击，我们必须一步一步从被攻击目标往回推，先调查攻击是由管辖网络的哪些边界路由器进来，上一步是外界哪台路由器，连络这些路由器的管理者(可能是某个**p或电信公司)并寻求他们协助阻挡或查出攻击来源，而在他们处理之前可以进行哪些处理呢?

如果被攻击的目标只是单一 ip，那么试图改个 ip 并更改其 dns mapping 或许可以避开攻击，这是最快速而有效的方式；但是攻击的目的就是要使正常使用者无法使用服务，更改ip的方式虽然避开攻击，以另一角度来看黑客也达到了他的目的。此外，如果攻击的手法较为单纯，可以由产生的流量找出其规则，那么利用路由器的 acls(access control l**ts)或防火墙规则也许可以阻挡，若可以发现流量都是来自同一来源或核心路由器，可以考虑暂时将那边的流量挡起来，当然这还是有可能将正常和异常的流量都一并挡掉，但至少其它来源可以得到正常的服务，这有时是不得已的牺牲。如果行有余力，则可以考虑增加机器或频宽作为被攻击的缓冲之用，但这只是治标不治本的做法。最重要的是必须立即着手调查并与相关单位协调解决。

四、预防ddos攻击

ddos 必须透过网络上各个团体和使用者的共同合作，制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火**、随时注意系统安全，避免被黑客和自动化的 ddos 程序植入攻击程序，以免成为黑客攻击的帮凶。

有些 ddos 会伪装攻击来源，假造封包的来源 ip，使人难以追查，这个部份可以透过设定路由器的过滤功能来防止，只要网域内的封包来源是其网域以外的 ip，就应该直接丢弃此封包而不应该再送出去，如果**设备都支持这项功能，**人员都能够正确设定过滤掉假造的封包，也可以大量减少调查和追踪的时间。

网域之间保持联络是很重要的，如此才能有效早期预警和防治 ddos 攻击，有些 **p会在一些网络节点上放置感应器侦测突然的巨大流量，以提早警告和隔绝 ddos 的受害区域，降低顾客的受害程度。
这时侯分布式的拒绝服务攻击手段（ddos）就应运而生了。你理解了dos攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？ddos就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的网络给大家带来了方便，也为ddos攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以g为级别的，大城市之间更可以达到2.5g的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

被ddos攻击时的现象被攻击主机上有大量等待的tcp连接
网络中充斥着大量的无用的数据包，源地址为假
制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求
严重时会造成系统死机

黑客是如何组织一次ddos攻击的？
这里用"组织"这个词，是因为ddos并不象入侵一台主机那样简单。一般来说，黑客进行ddos攻击时会经过这样的步骤：

1. 搜集了解目标的情况
下列情况是黑客非常关心的情报：

被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽

对于ddos攻击者来说，攻击互联网上的某个站点，如http://，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://服务的：
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86

如果要进行ddos攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到http://的话，要所有这些ip地址的机器都瘫掉才行。在实际的应用中，一个ip地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个ip地址的访问以特定的算法分配到下属的每个主机上去。这时对于ddos攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

所以说事先搜集情报对ddos攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

但在实际过程中，有很多黑客并不进行情报的搜集而直接进行ddos的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象**员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

2. 占领傀儡机
黑客最感兴趣的是有下列情况的主机：

链路状态好的主机
性能好的主机
安全管理水平差的主机

这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和ddos并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成ddos攻击任务的帐号。对于一个ddos攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把ddos攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个ddos的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

3. 实际攻击
经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的ddos攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 20210311