什么是DDoS攻击？

DDoS攻击是指利用C/S技术，联合多台计算机作为攻击平台，对一个或多个目标发起DoS攻击，从而使拒绝服务攻击的威力翻倍。

通常情况下，攻击者在自己的电脑上安装DDoS主程序，或者使用非法手段获得的账号在其他被攻击的电脑上安装DDoS主程序，在网络上的多台被攻击的电脑上安装DDoS代理。当攻击者打算对受害者业务系统发起DDoS攻击时，他会通过DDoS主程序与大量DDoS代理进行通信。DDoS代理在收到DDoS主程序的指令后，会立即发起DDoS攻击，使受害业务系统的网络近乎瘫痪甚至瘫痪。利用客户机/服务器技术，DDoS主程序可以在短短几秒钟内启动数千个DDoS代理进行DDoS攻击。

DDoS攻击的危害

首先，从一个真实环境的类比中，我们可以深刻理解DDoS攻击是什么。

一家店铺试图让对面有竞争关系的店铺无法正常经营。他们会怎么做？一般来说，有以下步骤:

首先，他们会雇一群马，让他们冒充普通顾客；

然后，马被命令一直挤在对手的店铺里，真正的购物者进不去。

让马儿一直和营业员聊天，让店员无法正常服务顾客；

它还可以为商店的经营者提供虚假信息。店铺的工作人员忙得上上下下后，发现都是a 空，最后都跑了真正的大客户，损失惨重。

另外，马夫们有时很难完成这些坏事，需要召集很多人。

网络空安全领域的DoS和DDoS攻击也遵循这些思路。

网络间安全的三要素空-& # 34；保密性& # 34；、"诚信& # 34；还有& # 34；可用性& # 34；，DoS攻击，也就是拒绝服务攻击，针对的正是& # 34；可用性& # 34；。这种攻击方式利用目标系统的网络服务功能缺陷或直接消耗其系统资源，使目标系统无法提供正常服务。

常见的DDoS攻击类型

攻击DDoS的方法有很多。最基本的DoS攻击就是利用合理的服务请求占用过多的服务资源，使合法用户得不到服务响应。单一的DoS攻击通常是一对一的。当目标CPU速度低、内存小或网络带宽低时，其效果明显。随着计算机和网络技术的发展，计算机的处理能力迅速提高，内存大大增加，同时出现了超大规模的网络，使得DoS攻击的难度显著增加——目标系统对恶意攻击包的响应& # 34；消化率& # 34；加强了很多。这时，DDoS攻击应运而生。DDoS攻击是利用更多的傀儡机(肉鸡)以比以前更大的规模攻击受害者的业务系统，导致受害者的业务系统网络近乎瘫痪，甚至宕机。

DDoS攻击通过大量合法请求占用大量网络资源，以此来瘫痪网络。这种攻击主要可以分为以下几种:

1.IP欺骗

2.陆地攻击

3.Smurf攻击

4.泪滴攻击

5.SYN洪水攻击

6.SYN+ACK洪水攻击

7.ACK洪水攻击

8.TCP全连接攻击

9.UDP泛洪

10.CC攻击

11.上述攻击的混合攻击

01、IP欺骗

IP欺骗攻击是指在创建的IP包中伪造源IP地址，目的是在发起攻击时隐藏攻击者的身份或伪装成另一个计算系统。当攻击者伪装成网络上的另一个设备或用户来攻击网络主机、窃取数据、传播恶意软件或绕过访问控制时，就会发生欺骗攻击。

防止IP欺骗攻击的主要方法如下:

1.对于内网环境，可以进行IP-MAC绑定。通过将接收到的IP数据包中的源IP与现有的IP-MAC表进行比较，如果现有的IP-MAC表中的源IP对应的MAC地址与IP数据包中其发送方的MAC地址不一致，则发送的数据包将被丢弃。

2.在公网环境下，源IP在内网IP段(10.0.0.0/8，172.16.0.0/12，192.168.0.0/16)范围内的IP包可以直接丢弃。

3.在公网环境下，也可以使用URPF，通过取出从公网收到的IP包的源IP地址，然后检查自己的路由表中是否有该包的路由信息。如果路由表中没有数据返回的路由信息，很有可能是有人伪造了数据包并将其丢弃。

02、陆地攻击

陆地攻击是指攻击者向目标系统发送一个SYN的TCP包，将包中的源地址伪造成目标系统的地址。当目标系统收到数据包时，它会向自己发送一个SYN+ACK的TCP数据包。然后，目标系统向自己发送ACK包，从而与自己建立空连接。此空连接将继续，直到超时。当目标系统被如此大量的欺骗后，建立了大量的空连接，消耗了大量的系统资源，导致目标系统底层操作系统运行缓慢甚至崩溃。该漏洞存在于许多早期的操作系统中，如Windows XP和Windows 2003。

防止登陆攻击的主要方法是过滤和丢弃具有相同源地址和目的地址的SYN和SYN+ACK TCP包。

03.Smurf攻击

Smurf攻击通过使用回复地址设置为目标系统网络广播地址的ICMP回复请求(ping)数据包来淹没目标系统，最终目标系统网络中的所有主机都会回复此ICMP回复请求，从而导致网络拥塞。

防止Smurf攻击的主要方法如下:

1.网络设备可以过滤和丢弃其源IP地址是广播地址的IP分组。

2.对于终端设备，禁止响应目的地址为IP包中广播地址的ICMP包。

3.对于网络边界设备，从本地网络发送到外部网络的带有其他网络源地址的IP数据包可以被过滤和丢弃。

04.泪滴攻击

泪滴攻击向目标系统发送一些碎片化的IP报文，并故意将“13位碎片偏移量”字段设置为错误的值，可以与之前的碎片化数据重叠或错开。当目标系统将这种假碎片消息与重叠偏移量结合时，目标系统的底层操作系统将崩溃。

防止Teardrop攻击的主要方法是首先将接收到的分片消息放入缓存，并根据源IP地址和目的IP地址对它们进行分组。将具有相同源IP地址和目的IP地址的报文分组到同一组，然后检查每组IP报文的相关分片信息，丢弃分片信息错误的报文。为了防止缓冲区溢出，当缓冲区快满时，直接丢弃后续的碎片消息。

05.SYN洪水攻击

SYN Flood攻击是指攻击者利用大量肉鸡或在短时间内伪造大量不存在的IP地址，不断向目标系统发送SYN数据包，迫使目标系统回复大量SYN+ACK确认数据包，等待发送方的确认。因为源地址没有响应确认包或者源地址根本不存在，所以目标系统需要重新发送SYN+ACK确认包，直到SYN包超时。这些未被确认的SYN包会长时间占用SYN队列，正常的SYN请求会被丢弃或拒绝，导致目标系统运行缓慢，甚至网络拥塞，目标系统底层操作系统瘫痪。

减轻SYN Flood攻击的主要方法如下:

1.缩短SYN包超时时间，减少SYN队列中无效SYN包的积压。

2.增加最大连接数，即增加SYN队列大小，使系统可以容纳更多的SYN数据包。

3.打开SYN cookies意味着为每个请求连接的IP地址分配一个cookie。当再次接收到相同的五元组SYN包时，不会重新分配之前的ACK号，而是重用之前的ACK号，从而减少SYN队列的长度。

4.丢弃第一个数据包。一般正常访问者在第一个包超时后会再次发送SYN包，而攻击者一般不会再次发送SYN包，从而减少SYN队列中无效SYN包的积压。

5.验证源地址，如果源地址是伪造的就直接丢弃SYN包，减少SYN队列中无效SYN包的积压。

06.SYN+ACK洪水攻击

SYN_ACK Flood攻击是指攻击者向目标系统发送大量的SYN+ACK数据包，目标系统会消耗大量的资源来处理这些数据包，导致目标系统运行缓慢，甚至网络拥塞，甚至目标系统底层操作系统瘫痪。

减轻SYN+ACK泛洪攻击的主要方法如下:

1.如果不需要主动发起连接，可以丢弃所有SYN+ACK包。

2.验证源地址，如果源地址是伪造的，直接丢弃SYN+ACK包。

07.ACK洪水攻击

ACK Flood攻击发生在TCP连接建立之后。由于所有的数据传输TCP报文都有ACK标志位，当目标系统接收到一个带有ACK标志位的数据包时，需要检查该数据包所代表的连接四元组是否存在，如果存在，检查该数据包所代表的状态是否合法，然后将该数据包传递给应用层。如果在检查过程中发现该包是非法的，例如该包指向的目的端口在本地计算机中没有打开，主机操作系统协议栈将响应RST包，告诉对方该端口不存在。这里，服务器必须做两个动作:查找表和响应ACK/RST。攻击者发送大量带有ACK标志位的数据包，导致目标系统大量的查询操作，导致目标系统运行缓慢，甚至造成网络拥塞和目标系统底层操作系统瘫痪。

减轻ACK洪流攻击的主要方法如下:

1.统计各类数据包在源地址的分布情况。如果目标系统从源地址接收的数据包数量异常大于目标系统发送到源地址的数据包数量，可以直接丢弃源地址的ack数据包。

2.验证源地址，如果源地址是伪造的，直接丢弃ACK包。

08.TCP全连接攻击

TCP全连接攻击是一种通过消耗目标系统的进程和连接数，只连接不发送数据的攻击模式。当攻击者连接到目标系统时，它只是一个连接。此时，目标系统将为每个连接创建一个进程来处理攻击者发送的数据。但是攻击者只连接不发送数据。此时，目标系统将始终处于Recv或Read状态。结果多个连接，目标系统的每个连接都处于等待状态，导致目标系统崩溃。

一般来说，防止TCP全连接攻击的主要方法是依靠限制单个源IP可以与目标系统建立的最大连接数，从而保证目标系统不会崩溃。

09.UDP洪水攻击

UDP Flood攻击也称为UDP flooding攻击，是一种流量DoS攻击，经常使用大量UDP数据包冲击目标系统，从而耗尽目标系统的带宽。由于UDP协议是一种无连接服务，在发起UDP Flood攻击时，攻击者发送大量伪造源IP地址的小UDP包，也会导致目标系统瘫痪。

防止UDP Flood攻击的主要方法是依靠在网络边界限制单个源IP可以发送到目标系统的最大包速率和带宽，从而保证目标系统的带宽不会被耗尽，不会崩溃。

10.CC攻击

CC攻击，原名Fatboy攻击，通过不断向目标系统发送连接请求，达到拒绝服务的目的。CC攻击可以分为代理CC攻击和肉鸡CC攻击。CC攻击是攻击者借助代理服务器生成指向目标系统的合法网页请求，导致目标系统CPU接近100%，甚至宕机的现象。鸡CC攻击是黑客利用CC攻击软件控制大量鸡，发动攻击。与前者相比，后者更难防守。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法的数据包。

减轻CC攻击的主要方法如下:

1.限制单源地址目标系统可以处理的请求总数，避免单源地址占用目标系统过多资源的情况。

2.限制单源地址目标系统单位时间可以处理的请求数量，避免单源地址占用目标系统过多资源的情况。

3.网站页面统计化。使用网站页面统计可以大大减少系统资源消耗，从而增强系统处理请求的能力。