[安全]DDOS攻擊[分布式拒絕服務攻擊]

分布式拒絕服務(distributed denial of service)攻擊指借助于客戶/伺服器技術，将多個計算機聯合起來作為攻擊平台，對一個或多個目标發動ddos攻擊，進而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳号将ddos主要程式安裝在一個計算機上，在一個設定的時間主要程式将與大量代理程式通訊，代理程式已經被安裝在網絡上的許多計算機上。代理程式收到指令時就發動攻擊。利用客戶/伺服器技術，主要程式能在幾秒鐘内激活成百上千次代理程式的運作。

工作原理

拒絕服務攻擊即攻擊者想辦法讓目标機器停止提供服務或資源通路。這些資源包括磁盤空間、記憶體、程序甚至網絡帶寬，進而阻止正常使用者的通路。其實對網絡帶寬進行的消耗性攻擊隻是拒絕服務攻擊的一小部分，隻要能夠對目标造成麻煩，使某些服務被暫停甚至主機當機，都屬于拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網絡協定本身的安全缺陷造成的，進而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊，實際上讓伺服器實作兩種效果：一是迫使伺服器的緩沖區滿，不接收新的請求；二是使用ip欺騙，迫使伺服器把合法使用者的連接配接複位，影響合法使用者的連接配接。

ddos（分布式拒絕服務）：凡是能導緻合法使用者不能夠通路正常網絡服務的行為都算是拒絕服務攻擊。 也就是說拒絕服務攻擊的目的非常明确，就是要阻止合法使用者對正常網絡資源的通路，進而達成攻擊者不可告人的目的。

　　

雖然同樣是拒絕服務攻擊，但是ddos 和dos 還是有所不同，ddos的攻擊政策側重于通過很多“僵屍主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網絡包， 進而造成網絡阻塞或伺服器資源耗盡而導緻拒絕服務， 分布式拒絕服務攻擊一旦被實施， 攻擊網絡包就會猶如洪水般湧向受害主機， 進而把合法使用者的網絡包淹沒， 導緻合法使用者無法正常通路伺服器的網絡資源， 是以， 拒絕服務攻擊又被稱之為 “洪水式攻擊” ，常見的 ddos 攻擊手段有 syn flood、ack flood、udp flood、icmp flood、tcp flood、connections flood、script flood、proxy flood 等；

dos 則側重于通過對主機特定漏洞的利用攻擊導緻網絡棧失效、系統崩潰、 主機當機而無法提供正常的網絡服務功能， 進而造成拒絕服務， 常見的 dos 攻擊手段有 t eardrop、 land、 jolt、 igmp nuker、 boink、 smurf、 bonk、oob 等。

就這兩種拒絕服務攻擊而言，危害較大的主要是 ddos 攻擊，原因是很難防範，至于 dos 攻擊，通過給主機伺服器打更新檔或安裝防火牆軟體就可以很好地防範ddos 的表現形式主要有兩種，一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導緻網絡帶寬被阻塞， 合法網絡包被虛假的攻擊包淹沒而無法到達主機； 另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導緻主機的記憶體被耗盡或cpu 被核心及應用程式占完，造成的無法提供網絡服務。

分類

按照tcp/ip協定的層次可将ddos攻擊分為基于arp的攻擊、基于icmp的攻擊、基于ip的攻擊、基于udp的攻擊、基于tcp的攻擊和基于應用層的攻擊。

基于arp。arp是無連接配接的協定，當收到攻擊者發送來的arp應答時。它将接收arp應答包中所提供的資訊。更新arp緩存。是以，含有錯誤源位址資訊的arp請求和含有錯誤目标位址資訊的arp應答均會使上層應用忙于處理這種異常而無法響應外來請求，使得目标主機喪失網絡通信能力。産生拒絕服務，如arp重定向攻擊。

基于icmp。攻擊者向一個子網的廣播位址發送多個icmp echo請求資料包。并将源位址僞裝成想要攻擊的目标主機的位址。這樣，該子網上的所有主機均對此icmp echo請求包作出答複，向被攻擊的目标主機發送資料包，使該主機受到攻擊，導緻網絡阻塞。

基于ip。tcp/ip中的ip資料包在網絡傳遞時，資料包可以分成更小的片段。到達目的地後再進行合并重裝。在實作分段重新組裝的程序中存在漏洞，缺乏必要的檢查。利用ip封包分片後重組的重疊現象攻擊伺服器，進而引起伺服器核心崩潰。如teardrop是基于ip的攻擊。

基于應用層。應用層包括smtp，http，dns等各種應用協定。其中smtp定義了如何在兩個主機間傳輸郵件的過程，基于标準smtp的郵件伺服器，在用戶端請求發送郵件時，是不對其身份進行驗證的。另外，許多郵件伺服器都允許郵件中繼。攻擊者利用郵件伺服器持續不斷地向攻擊目标發送垃圾郵件，大量侵占伺服器資源。