DDoS --- 分布式拒绝服务（Disturbuted Denial of Service）

标签：DDOS攻击

僵尸网络的通信协议：IRD --> HTTP --> P2P

1. IRC型僵尸网络
   
2. HTTP型网络
   
3. P2P型网络
   

僵尸网络的危害

1. 发送DDOS攻击
2. 发送垃圾邮件
3. 窃取敏感信息
4. 抢占系统资源

分布式拒绝服务攻击：利用分布式的客户端，像服务提供者发起大量看似合法的请求，消耗和长期占用大量资源，从而达到拒绝服务的目的

攻击网络带宽资源

利用受控主机发送大量的网络数据包，占满被攻击目标的全部带宽，从而使正常的请求无法得到及时有效的响应，造成拒绝服务。

1. 直接攻击
   ICMP/IGMP洪水攻击、UDP洪水攻击（大包，小包）
2. 反射和放大攻击（DRDOS）
   反射：利用路由器，服务器等设施对请求产生应答，从而反射攻击流量并隐藏攻击来源。
   反射攻击的数据包
   目IP： 反射器的服务器，路由器
   源IP： 被攻击目标的IP
   放大攻击：反射器对于网络流量具有放大作用。

   ACK反射攻击

   

   DNS放大攻击（UDP）

   DNS响应数据包会比查询数据包大
   DNS扩展机制 EDNS0： 扩展了DNS数据包的结构
   

   NTP放大攻击

   Network Time Protocol：基于UDP123端口
   

   SNMP放大攻击

   Simple Network Management Protocol：基于UDP161端口
   GetBulk请求：该请求会通知设备返回尽可能多的数据使得管理程序能够通过发送一次请求就获得大量的检索信息。
   

3. 攻击链路（Coremelt攻击）
   目标：骨干网上的链路的带宽资源

攻击系统资源

攻击TCP连接

1. TCP连接洪水攻击
   攻击者利用大量受控主机，通过快速建立大量而已的TCP连接占满被攻击目标的连接表，是目标无法接受新的TCP连接请求，从而达到拒绝服务攻击。
2. SYN洪水攻击
   利用受控主机发送大量的TCP的SYN报文，使服务器打开大量的半开连接，占满服务器的连接表。
   Better：将SYN报文的源IP地址随机伪造成其他主机的IP地址，或是不存在的IP地址。
3. PSH+ACK洪水攻击
   原理：当服务器收到一个设置了PSH+ACK标志的报文时，意味着当前数据传输已经结束，因此需要立即将这些数据递交给服务器进程并清空接受缓冲区，而无须等待判断是否还会有额外的数据到达。
   攻击者利用受控主机向攻击目标发送大量的PSH+ACK数据包时，被攻击目标就会消耗大量的系统资源不断地进行缓冲区的清空处理，导致无法正常处理数据，从而造成拒绝服务。
4. RST洪水攻击
   原理：当客户端或服务器其中之一出现异常情况，无法正常完成TCP四次挥手已终止连接，就会使用RST报文将连接强制中断。
   攻击者利用大量的受控主机猜测端口和序列号，进行盲打，发送RST洪水攻击。
   TCP RST攻击：攻击者和被攻击者处于同一内网。
5. Sockstress攻击
   将TCP窗口设为0或者极小的值。

攻击SSL连接

1. THC SLL Dos 攻击
   利用Renegotiation选项，攻击者反复不断地记性密钥重新协商过程，
2. SSL洪水攻击（SSL Squeeze）
   原理：对于客户端发送过来的数据，服务器需要花费大量的计算资源进行解密，之后才能对数据的有效性进行检验。
   攻击者并不需要完成SSL握手和密钥交换，只需要在这个过程中让服务器去解密和验证。

攻击应用资源

攻击DNS服务

1. DNS QUERY 洪水攻击（域名是不同的且存在的）
   想DNS服务器发送大量查询请求（域名是不同的且存在的），以达到拒绝服务效果。
2. DNS NXDOMAIN 洪水攻击（域名是不存在的）
   在进行DNS NXDOMAIN 洪水攻击时，DNS服务器会进行多次域名查询，同时其缓存会被大量NXDOMIAN记录所填满。

攻击WEB服务

1. HTTP 洪水攻击（CC攻击）
   利用大量受控主机不断的想WEB服务器恶意发送大量HTTP请求，要求WEB服务器处理。
   HTTP过程会建立TCP连接，可以使用HTTP代理服务器，隐藏自己。
   
   注：针对不同资源和页面的HTTP请求，尽可能请求无法缓存的资源。
2. Slowloris 攻击
   原理：在HTTP协议中规定，HTTP头部以连续的“\r\n\r\n”作为结束标志。
   攻击者在发送HTTP GET请求时，缓慢的发送无用的header字段，并一直不发送“\r\n\r\n”结束标志，这样就能够长时间占用与WEB服务器的连接并保证该连接不被超时中断。
3. 慢速POST请求攻击（slowhttptest）
   利用缓慢发送HTTP BODY 方式达到占用并耗尽WEB服务器连接的资源的目的。
   注：将 Content-Length 设置为一个很大的值。
4. 数据处理过程攻击（ReDOS）
   WEB服务器在收到HTTP请求之后，需要检查并处理其中的数据，通过恶意构造请求数据的内容，攻击者可以显著地增加数据处理过程中的资源消耗，造成拒绝服务攻击。

DDOS攻击工具

1. 综合性工具
   HPing、PenTBox、Zarp
2. 压力测试工具
   LOIC（不能伪造源IP）、HOIC（无法改变攻击端口）、 HUIK
3. 专业攻击工具
   Slowloris、R.U.D.Y（慢速HTTP POST请求）、THC SSL DOS

治理

1. 僵尸网络的治理
2. 地址伪造攻击的治理
3. 攻击反射点的治理

缓解DDOS攻击

攻击流量的稀释

1. CDN：在互联网范围内广泛设置多个节点作为代理缓存，并将用户的访问请求导向最近的缓存节点（智能DNS系统）（对域名访问有效，对IP访问无效）
2. Anycast：一组提供特定服务的主机可以使用相同的IP地址，同时，服务访问方的请求报文将会被IP网络路由到这一组目标中拓扑结构最近的一台主机上。

攻击流量的清洗

1. IP信誉检查
2. 攻击特征匹配
3. 速度检查与限制
4. TCP代理和验证
5. 协议完整性验证
6. 客户端真是性验证

DDoS --- 分布式拒绝服务（Disturbuted Denial of Service）

标签：DDOS攻击

原文地址：http://blog.51cto.com/13737045/2114541