拒绝服务攻击的原理

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

(2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。

(3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒~2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的 一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。

下面是SYN cookie防火墙的原理

client firewall server

------ ---------- ------

1 SYN----------- - - - - - - - - - ->

2 <------------SYN-ACK(cookie)

3 ACK----------- - - - - - - - - - ->

4 - - - - - - -SYN--------------->

5 <- - - - - - - - - ------------SYN-ACK

6 - - - - - - -ACK--------------->

7 -----------> relay the ------->

<----------- connection <-------

1:一个SYN包从C发送到S

2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C

3：C发送ACK包，接着防火墙和C的连接就建立了。

4：防火墙这个时候扮演C的角色发送一个SYN给S

5：S返回一个SYN给C

6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了

7：防火墙转发C和S间的数据

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻击。 攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。

（1）攻击控制方式

攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级：直接控制方式（Direct）、间接控制方式（Indirect）和自动控制方式（Auto）。

最早的拒绝服务攻击通常是手工直接进行的，即对目标的确定、攻击的发起和中止都是由用户直接在攻击主机上进行手工操作的。这种攻击追踪起来相对容易，如果能对攻击包进行准确的追踪，通常就能找到攻击者所在的位置。由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求，攻击者开始构建多层结构的攻击网络。多层结构的攻击网络给针对这种攻击的追踪带来很大困难，受害者在追踪到攻击机之后，还需要从攻击机出发继续追踪控制器，如果攻击者到最后一层控制器之间存在多重跳板时，还需要进行多次追踪才能最终找到攻击者，这种追踪不仅需要人工进行操作，耗费时间长，而且对技术也有很高的要求。这种攻击模式，是目前最常用的一种攻击模式。自动攻击方式，是在释放的蠕虫或攻击程序中预先设定了攻击模式，使其在特定时刻对指定目标发起攻击。这种方式的攻击，从攻击机往往难以对攻击者进行追踪，但是这种控制方式的攻击对技术要求也很高。Mydoom蠕虫对SCO网站和Microsoft网站的攻击就属于第三种类型[TA04-028A]。

（2）攻击通信方式

在间接控制的攻击中，控制者和攻击机之间可以使用多种通信方式，它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式，分别是：双向通信方式（bi）、单向通信方式（mono）和间接通信方式（indirection）。

双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址，例如当控制器使用TCP与攻击机连接时，该通信方式就是双向通信。这种通信方式，可以很容易地从攻击机查找到其上一级的控制器。

单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息，例如用伪造IP地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器，只有通过包标记等IP追踪手段，才有可能查找到给攻击机发送指令的机器的真实地址。但是，这种通信方式在控制上存在若干局限性，例如控制者难以得到攻击机的信息反馈和状态。

间接通信方式是一种通过第三者进行交换的双向通信方式，这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点，对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以继续进行。这种通信方式已发现的主要是通过IRC（Internet Relay Chat）进行通信[Jose Nazario]，从2000年8月出现的名为Trinity的DDoS攻击工具开始，已经有多种DDoS攻击工具及蠕虫采纳了这种通信方式。在基于IRC的傀儡网络中，若干攻击者连接到Internet上的某个IRC服务器上，并通过服务器的聊天程序向傀儡主机发送指令。

（3）攻击原理

DoS攻击原理主要分为两种，分别是：语义攻击（Semantic）和暴力攻击（Brute）。

语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的，也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游路由器等的帮助，对攻击数据进行过滤或分流。某些攻击方式，兼具语义和暴力两种攻击的特征，比如SYN风暴攻击，虽然利用了TCP协议本身的缺陷，但仍然需要攻击者发送大量的攻击请求，用户要防御这种攻击，不仅需要对系统本身进行增强，而且也需要增大资源的服务能力。还有一些攻击方式，是利用系统设计缺陷，产生比攻击者带宽更高的通信数据来进行暴力攻击的，如DNS请求攻击和Smurf攻击，参见423节以及文献[IN-2000-04]和[CA-1998-01]。这些攻击方式在对协议和系统进行改进后可以消除或减轻危害，所以可把它们归于语义攻击的范畴。

（4）攻击协议层

攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、网络层、传输层和应用层。

数据链路层的拒绝服务攻击[Convery] [Fischbach01][Fischbach02]受协议本身限制，只能发生在局域网内部，这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的，如IP碎片攻击[Anderson01]，针对传输层的攻击在实际中出现较多，SYN风暴、ACK风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻击中很多利用应用程序漏洞的（例如缓冲区溢出的攻击）都属于此类型。

（5）攻击协议

攻击所涉及的最高层的具体协议，如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高，则受害者对攻击包进行分析所需消耗的计算资源就越大。 攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。

（1）攻击源地址类型

攻击者在攻击包中使用的源地址类型可以分为三种：真实地址（True）、伪造合法地址（Forge Legal）和伪造非法地址（Forge Illegal）。

攻击时攻击者可以使用合法的IP地址，也可以使用伪造的IP地址。伪造的IP地址可以使攻击者更容易逃避追踪，同时增大受害者对攻击包进行鉴别、过滤的难度，但某些类型的攻击必须使用真实的IP地址，例如连接耗尽攻击。使用真实IP地址的攻击方式由于易被追踪和防御等原因，近些年来使用比例逐渐下降。使用伪造IP地址的攻击又分为两种情况：一种是使用网络中已存在的IP地址，这种伪造方式也是反射攻击所必需的源地址类型；另外一种是使用网络中尚未分配或者是保留的IP地址（例如19216800/16、1721600/12等内部网络保留地址[RFC1918]）。

（2）攻击包数据生成模式

攻击包中包含的数据信息模式主要有5种：不需要生成数据（None）、统一生成模式（Unique）、随机生成模式（Random）、字典模式（Dictionary）和生成函数模式（Function）。

在攻击者实施风暴式拒绝服务攻击时，攻击者需要发送大量的数据包到目标主机，这些数据包所包含的数据信息载荷可以有多种生成模式，不同的生成模式对受害者在攻击包的检测和过滤能力方面有很大的影响。某些攻击包不需要包含载荷或者只需包含适当的固定的载荷，例如SYN风暴攻击和ACK风暴攻击，这两种攻击发送的数据包中的载荷都是空的，所以这种攻击是无法通过载荷进行分析的。但是对于另外一些类型的攻击包，就需要携带相应的载荷。

攻击包载荷的生成方式可以分为4种：第一种是发送带有相同载荷的包，这样的包由于带有明显的特征，很容易被检测出来。第二种是发送带有随机生成的载荷的包，这种随机生成的载荷虽然难以用模式识别的方式来检测，然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包，这些没有意义的包也很容易被过滤掉，但是攻击者仍然可以精心设计载荷的随机生成方式，使得受害者只有解析到应用层协议才能识别出攻击数据包，从而增加了过滤的困难性。第三种方式是攻击者从若干有意义载荷的集合中按照某种规则每次取出一个填充到攻击包中，这种方式当集合的规模较小时，也比较容易被检测出来。最后一种方式是按照某种规则每次生成不同的载荷，这种方式依生成函数的不同，其检测的难度也是不同的。

（3）攻击目标类型

攻击目标类型可以分为以下6类：应用程序（Application）、系统（System）、网络关键资源（Critical）、网络（Network）、网络基础设施（Infrastructure）和因特网（Internet）。

针对特定应用程序的攻击是较为常见的攻击方式，其中以剧毒包攻击较多，它包括针对特定程序的，利用应用程序漏洞进行的拒绝服务攻击，以及针对一类应用的，使用连接耗尽方式进行的拒绝服务攻击。针对系统的攻击也很常见，像SYN风暴、UDP风暴[CA-1996-01]以及可以导致系统崩溃、重启的剧毒包攻击都可以导致整个系统难以提供服务。针对网络关键资源的攻击包括对特定DNS、路由器的攻击。而面向网络的攻击指的是将整个局域网的所有主机作为目标进行的攻击。针对网络基础设施的攻击需要攻击者拥有相当的资源和技术，攻击目标是根域名服务器、主干网核心路由器、大型证书服务器等网络基础设施，这种攻击发生次数虽然不多，但一旦攻击成功，造成的损失是难以估量的[Naraine02]。针对Internet的攻击是指通过蠕虫、病毒发起的，在整个Internet上蔓延并导致大量主机、网络拒绝服务的攻击，这种攻击的损失尤为严重。

SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止，能够有效防范SYN Flood攻击的手段并不多，SYN Cookie就是其中最著名的一种。

SYN Flood攻击原理

SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击，使受害主机或网络不能提供良好的服务，从而间接达到攻击的目的。SYN Flood攻击利用的是IPv4中TCP协议的三次握手(Three-Way Handshake)过程进行的攻击。

TCP服务器收到TCP SYN request包时，在发送TCP SYN + ACK包回客户机前，TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态称为半打开连接(Half-open Connection)。在最常见的SYN Flood攻击中，攻击者在短时间内发送大量的TCP SYN包给受害者。受害者(服务器)为每个TCP SYN包分配一个特定的数据区，只要这些SYN包具有不同的源地址(攻击者很容易伪造)。这将给TCP服务器造成很大的系统负担，最终导致系统不能正常工作。

SYN Cookie

SYN Cookie是对TCP服务器端的三次握手做一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器接收到TCP SYN包并返回TCP SYN + ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。这个cookie作为将要返回的SYN ACK包的初始序列号。当客户端返回一个ACK包时，根据包头信息计算cookie，与返回的确认序列号(初始序列号 + 1)进行对比，如果相同，则是一个正常连接，然后，分配资源，建立连接。实现的关键在于cookie的计算，cookie的计算应该包含本次连接的状态信息，使攻击者不能伪造。

SYN Cookie算法

服务器收到一个SYN包，计算一个消息摘要mac。

mac = MAC(A, k);

MAC是密码学中的一个消息认证码函数，也就是满足某种安全性质的带密钥的hash函数，它能够提供cookie计算中需要的安全性。

在Linux实现中，MAC函数为SHA1。

A = SOURCE_IP || SOURCE_PORT || DST_IP || DST_PORT || t || MSSIND

k为服务器独有的密钥，实际上是一组随机数。

t为系统启动时间，每60秒加1。

MSSIND为MSS对应的索引。

DDoS攻击是由DoS攻击转化的，这项攻击的原理以及表现形式是怎样的呢？要如何的进行防御呢？本文中将会有详细的介绍，需要的朋友不妨阅读本文进行参考

DDoS攻击原理是什么随着网络时代的到来，网络安全变得越来越重要。在互联网的安全领域，DDoS(Distributed

DenialofService)攻击技术因为它的隐蔽性，高效性一直是网络攻击者最青睐的攻击方式，它严重威胁着互联网的安全。接下来的文章中小编将会介绍DDoS攻击原理、表现形式以及防御策略。希望对您有所帮助。

DDoS攻击原理及防护措施介绍

一、DDoS攻击的工作原理

11 DDoS的定义

DDos的前身 DoS

(DenialofService)攻击，其含义是拒绝服务攻击，这种攻击行为使网站服务器充斥大量的要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务，则主要利用

Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的代理。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击，大量消耗其网络带和系统资源，导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征，它具有了比Dos远为强大的攻击力和破坏性。

12 DDoS的攻击原理

如图1所示，一个比较完善的DDos攻击体系分成四大部分，分别是攻击者( attacker也可以称为master)、控制傀儡机(

handler)、攻击傀儡机( demon，又可称agent)和受害着(

victim)。第2和第3部分，分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击，第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击愧儡机就成为攻击者去发起攻击了。

图1分布式拒绝服务攻击体系结构

之所以采用这样的结构，一个重要目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻，因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为：

1)扫描大量主机以寻找可入侵主机目标；

2)有安全漏洞的主机并获取控制权；

3)入侵主机中安装攻击程序；

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击代理机达到攻击者满意的数量时，攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机，主控机就可以关闭或脱离网络，以逃避追踪要着，攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，使被攻击者无法识别它的来源面且，这些包所请求的服务往往要消耗较大的系统资源，如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。

另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。于是，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正连接请求，从而无法有效分离出攻击数据包

二、DDoS攻击识别

DDoS ( Denial of Service，分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。

21 DDoS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

22 攻击识别

流量攻击识别主要有以下2种方法：

1) Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换机上的服务器也无法访问，基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽；

2)

Telnet测试：其显著特征是远程终端连接服务器失败，相对流量攻击，资源耗尽攻击易判断，若网站访问突然非常缓慢或无法访问，但可Ping通，则很可能遭受攻击，若在服务器上用Netstat-na命令观察到大量

SYN_RECEIVED、 TIME_WAIT， FIN_

WAIT_1等状态，而EASTBLISHED很少，可判定为资源耗尽攻击，特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常，则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令，但因仍有带宽，可ping通相同交换机上主机。

三、DDoS攻击方式

DDoS攻击方式及其变种繁多，就其攻击方式面言，有三种最为流行的DDoS攻击方式。

31 SYN/ACK Flood攻击

这种攻击方法是经典有效的DDoS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伤造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持，少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用

Netstat-na命令会观察到存在大量的 SYN

RECEIVED状态，大量的这种攻击会导致Ping失败，TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示，正常TCP连接为3次握手，系统B向系统A发送完 SYN/ACK分组后，停在 SYN

RECV状态，等待系统A返回ACK分组；此时系统B已经为准备建立该连接分配了资源，若攻击者系统A，使用伪造源IP，系统B始终处于“半连接”等待状态，直至超时将该连接从连接队列中清除；因定时器设置及连接队列满等原因，系统A在很短时间内，只要持续高速发送伪造源IP的连接请求至系统B，便可成功攻击系统B，而系统B己不能相应其他正常连接请求。

图2 SYN Flooding攻击流程

32 TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤

TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、

Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽面被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOs攻击方容易被追踪。

33 TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用 MSSQL Server、My SQL Server、

Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过

Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Poxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些代理会暴露DDOS攻击者的IP地址。

四、DDoS的防护策略

DDoS的防护是个系统工程，想仅仅依靠某种系统或产品防住DDoS是不现实的，可以肯定的说，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御大多数的DDoS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

41 采用高性能的网络设备

抗DDoS攻击首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

42 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用，除了必须使用NAT，因为采用此技术会较大降低网络通信能力，原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

43 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅有10M带宽，无论采取何种措施都很难对抗现在的

SYNFlood攻击，当前至少要选择100M的共享带宽,1000M的带宽会更好，但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M。

44 升级主机服务器硬件

在有网络带宽保证的前提下，尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4

24G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，要保障硬件性能高并且稳定，否则会付出高昂的性能代价。

45 把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，到现在为止还没有出现关于HTML的溢出的情况，新浪、搜狐、网易等门户网站主要都是静态页面。

此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问我们网站的80%属于恶意行为。

五、总结

DDoS攻击正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为互联网安全的重大威胁，同时随着系统的更新换代，新的系统漏洞不断地出现，DDoS的攻击技巧的提高，也给DDoS防护增加了难度，有效地对付这种攻击是一个系统工程，不仅需要技术人员去探索防护的手段，网络的使用者也要具备网络攻击基本的防护意识和手段，只有将技术手段和人员素质结合到一起才能最大限度的发挥网络防护的效能。相关链接

　　DOS攻击实施的基本思想：

　　一、迫使服务器的缓冲区满，不接收新的请求。

　　二、使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接

　　具体实现有这样的方法：

　　1、SYNFLOOD

　　利用服务器的连接缓冲区（BacklogQueue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。

　　如果SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。

　　现在有很多实施SYNFLOOD的工具，呵呵，自己找去吧。

　　2、IP欺骗DOS攻击

　　这种攻击利用RST位来实现。假设现在有一个合法用户(1111)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1111，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1111发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1111再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。

　　攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。

　　3、带宽DOS攻击

　　如果连接带宽足够大而服务器又不是很大，可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DOS，威力巨大。

　　4、自身消耗的DOS攻击

　　这是一种老式的攻击手法。说老式，是因为老式的系统有这样的自身BUG。比如Win95(winsockv1),CiscoIOSv10x,和其他过时的系统。

　　这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。

　　上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的DOS攻击手段。

　　5、塞满服务器的硬盘

　　通常，如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DOS攻击的途径，比如：

　　发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。

　　让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。

　　向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。

　　6、合理利用策略

　　一般服务器都有关于帐户锁定的安全策略，比如，某个帐户连续3次登陆失败，那么这个帐号将被锁定。这点也可以被破坏者利用，伪装一个帐号去错误登陆，这样使得这个帐号被锁定，而正常的合法用户就不能使用这个帐号去登陆系统了。

UDP攻击的原理以及防御方式分析

当下，无孔不入的ddos攻击已经威胁了多数网站的生存，作为其最主流的攻击方式之一的UDP flood攻击，自然也是很多网站主的“噩梦”。下面是关于UDP flood攻击详细原理以及防御方式分析，希望能够帮助更多的网站主们解决这个“噩梦”

UDP flood 又称UDP洪水攻击或UDP淹没攻击，UDP是没有连接状态的协议，因此可以发送大量的 UDP 包到某个端口，如果是个正常的UDP应用端口，则可能干扰正常应用，如果是没有正常应用，服务器要回送ICMP，这样则消耗了服务器的处理资源，而且很容易阻塞上行链路的带宽。

常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击，正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDPFlood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。

至于防御方式，由于UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，所以针对UDPFlood的防护非常困难，而且要根据具体情况对待。

UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDPFlood的防护非常困难。其防护要根据具体情况对待:

判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。

攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务：一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。

再有就是通过防御平台进行防御。ddoscc平台就是专业的防御平台。平台通过跃点防护理念，一级高防cdn体系，可以将cc攻击与ddos攻击彻底排除在网络应用之外，确保网站24小时不间断运营。

SYN Flood：这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手（Three-way Handshake），而SYN Flood拒绝服务。

攻击就是通过三次握手而实现的 。

1、攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN（Synchronize）即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

2、受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时，TCP序号被加一，ACK（Acknowledgment）即确认，这样就同被攻击服务器建立了第二次握手。

3、攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。

这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；

一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况（伪造IP地址），那么服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。

实际上，如果服务器的TC P/IP栈不够强大，那么最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小）；

此时，从正常客户的角度看来，服务器失去响应，这种情况就称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应的第一步的SYN包，所以我们就击退了这次SYN洪水攻击。

防御方式

拒绝服务攻击的防御方式通常为入侵检测，流量过滤和多重验证，旨在堵塞网络带宽的流量将被过滤，而正常的流量可正常通过。

1、防火墙

防火墙可以设置规则，例如允许或拒绝特定通讯协议，端口或IP地址。当攻击从少数不正常的IP地址发出时，可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信。

复杂攻击难以用简单规则来阻止，例如80端口（网页服务）遭受攻击时不可能拒绝端口所有的通信，因为其同时会阻止合法流量。

2、交换机

大多数交换机有一定的速度限制和访问控制能力。有些交换机提供自动速度限制、流量整形、后期连接、深度包检测和假IP过滤功能，可以检测并过滤拒绝服务攻击。例如SYN洪水攻击可以通过后期连接加以预防。基于内容的攻击可以利用深度包检测阻止。

以上内容参考 -拒绝服务攻击

DDOS攻击是分布式拒绝服务攻击的简称，指处于不同位置的多个攻击者同时向一个或者数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

常见DDoS攻击方法如下：

1、SYN Flood攻击

是当前网络上最为常见的DDOS攻击，它利用了TCP协议实现上的一个缺陷。通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

2、UDP Flood攻击

属于日渐猖獗的流量型DDOS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或者Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务，在UDP

Flood攻击中，攻击者可发送大量伪造源IP地址的小UDP包。

3、ICMP Flood攻击

属于流量型的攻击方式，是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP

Flood出现的频度较低。

4、Connection Flood攻击

是典型的利用小流量冲击大带宽网络服务的攻击方式，这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上残余连接过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的链接。

5、HTTP Get攻击

主要是针对存在ASP、JSP、PHP、CGI等脚本程序，特征是和服务器建立正常的TCP连接，并不断地向脚本程序提交查询、列表等大量耗费数据库资源的调用。它可以绕过普通的防火墙防护，通过Proxy代理实施攻击，缺点是攻击静态页面的网站效果不佳，会暴露攻击者的lP地址。

6、UDP DNS Query Flood攻击

采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。