DDoS攻击原理及防护研究随着网络时代的到来，网络安全变得越来越重要在互联网安全领域，DDoS(Distributed denial of Service，分布式拒绝服务)攻击技术以其隐蔽性和高效性成为网络攻击者最常用的攻击方式，严重威胁着互联网的安全。

一、DDoS攻击的工作原理1.1分布式拒绝服务的定义DDos的前身DoS (DenialofService)攻击，意为拒绝服务攻击这种攻击使网站服务器充斥大量需要回复的信息，消耗网络带宽或系统资源，导致网络或系统过载，停止提供正常的网络服务。

而DDoS分布式拒绝服务则主要利用互联网上现有机器和系统的漏洞，捕获大量联网主机，使其成为攻击者的代理当受控机器的数量达到一定程度时，攻击者发送命令操纵这些攻击平面，对目标主机或网络发起DoS攻击，消耗大量的网络带宽和系统资源，导致网络或系统瘫痪或停止提供正常的网络服务。

由于DDos的分布式特性，它具有远比Dos更强大的攻击能力和破坏性1.2 DDOS攻击原理一个相对完整的DDos攻击系统分为四个部分，分别是攻击者(也称主人)、控制傀儡(处理者)、攻击傀儡(恶魔，也称代理)和受害者(受害者)。

第二和第三部分分别用于控制和实际发动攻击第二部分，控制机只发布命令，不参与实际攻击第三部分，DDoS的实际攻击包是从攻击傀儡机发出的攻击者对第二部分和第三部分中的计算机拥有控制权或部分控制权，并将相应的DDoS程序上传到这些平台。

这些程序像正常程序一样运行，并等待攻击者的指令通常，它会使用各种手段来隐藏自己在平时，这些傀儡机并没有什么异常，但是一旦攻击者连接到它们进行控制并发出指令，攻击的傀儡机就变成了攻击者发动攻击DDoS攻击原理及防护研究

采用这种结构的一个重要目的是隔离网络连接，保护攻击者在攻击过程中不被监控系统跟踪同时可以更好的协调攻击，因为攻击执行者太多，同时一个系统发出命令会造成控制系统的网络拥塞，影响攻击的突然性和协调性而且流量的突然增加很容易暴露攻击者的位置和意图。

整个过程可以分为:1)扫描大量主机，寻找可以入侵主机的目标；2)具有安全漏洞和增益控制的主机；3)在入侵主机中安装攻击程序；4)用入侵的主机继续扫描入侵当受控攻击代理的数量达到攻击者满意时，攻击者可以通过攻击主控机器随时发出攻击指令。

因为攻击主控制器的位置非常灵活，发出命令的时间很短，所以定位起来非常隐蔽攻击命令一旦传到攻击控制机，主控机就可以关机或离开网络以避免跟踪，攻击控制机会将命令下发到各个攻击代理机收到攻击命令后，攻击代理开始向目标主机发送大量服务请求包。

这些数据包经过伪装，使得攻击者无法识别其来源，这些数据包请求的服务往往会消耗大量的系统资源，如CP或网络带宽如果数百甚至数千个攻击代理同时攻击一个目标，目标主机的网络和系统资源就会被耗尽，服务也会停止有时，它甚至会导致系统崩溃。

此外，这会阻塞目标网络的防火墙和路由器等网络设备，进一步加剧网络拥塞因此，目标主机根本无法为用户提供任何服务攻击者使用的协议是一些非常常见的协议和服务这样，系统管理员很难区分恶意请求和主动连接请求，从而无法有效地分离攻击包。

二、DDoS攻击识别DDoS(分布式拒绝服务)攻击(Distributed Denial of Service，分布式拒绝服务)攻击，其主要目的是使指定目标在没有通知的情况下提供正常服务，甚至从互联网上消失，是目前最强大、最难的攻击手段之一。

2.1 DDoS表现DDoS主要有两种形式，一种是流量攻击，主要针对网络带宽，即大量的攻击包导致网络带宽被阻塞，合法的网络包因为被虚假的攻击包充斥而无法到达主机；另一种是资源耗尽攻击，主要是针对服务器主机的政治攻击，即大量攻击包导致主机内存耗尽或CPU核心和应用程序被占用，导致无法提供网络服务。

2.2攻击识别流量攻击识别主要包括以下两种方法:1) Ping测试:如果发现Ping超时或丢包严重，可能会被攻击；如果发现同一台交换机上的服务器无法访问，基本可以确定为流量攻击测试的前提是受害主机与服务器之间的ICMP协议没有被路由器、防火墙等设备屏蔽；。

2) Telnet测试:其明显特点是远程终端连接服务器失败，容易判断相对流量攻击和资源耗尽攻击如果网站访问突然非常慢或者无法访问，但是可以pinged通，很可能是被攻击了如果用Netstat-na命令在服务器上观察到大量的SYNRECEIVED、TIMEWAIT、FIN WAIT1等状态，但是很少有EASTBLISHED的情况，可以判断为资源耗尽攻击，表现为受害主机无法Ping通或者丢包严重，但是Ping通同一台交换机上的服务器是正常的。

原因是系统内核或应用CPU利用率达到100%无法响应ping命令，但是因为还有带宽，可以Ping通同一台交换机上的主机第三，DDoS攻击模式DDoS攻击有很多，种类也很多就他们的攻击手段而言，最流行的DDoS攻击有三种。

3.1 SYN/ACK泛洪攻击这种攻击方式是一种经典有效的DDoS攻击方式，可以杀死各种系统网络服务它主要是向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机缓存资源耗尽或忙于发送响应包，造成拒绝服务。

很难追踪，因为源头都被破坏了缺点是实现起来比较困难，需要高带宽僵尸主机的支持少量此类攻击会导致主机服务器无法访问，但可以Pinged通在服务器上使用Netstat-na命令时，会观察到大量的SYN接收状态，大量这样的攻击会导致ping失败，TCP/IP栈失败，系统会死机，也就是对键盘鼠标没有反应。

大多数普通防火墙都无法抵御这种攻击攻击过程如图2所示正常的TCP连接是三次握手系统B向系统A发送SYN/ACK包后，停止在SYN RECV状态，等待系统A返回ACK包此时，系统B已经分配了用于准备建立连接的资源。

如果攻击者系统A使用假的源IP，系统B将一直处于“半连接”等待状态，直到超时，连接将从连接队列中被清除；由于定时器的设置和满连接队列，系统A只要持续高速向系统B发送伪造源IP的连接请求，就可以在短时间内成功攻击系统B，而系统B则无法再响应其他正常的连接请求。

DDoS攻击原理及防护研究图2 SYN泛洪攻击过程3.2 TCP全连接攻击这种攻击旨在绕过传统防火墙的检查一般来说，大多数常规防火墙都具有过滤诸如TearDrop和Land之类的DOS攻击的能力，但是它们会放过正常的TCP连接。

鲜为人知的是，很多网络服务程序(如IIS、Apache等Web服务器)可以接受的TCP连接数是有限的一旦出现大量TCP连接，即使正常，也会导致网站访问非常缓慢甚至无法访问TCP全连接攻击是指许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源耗尽而被拖跨，从而导致拒绝服务。

这种攻击的特点是绕过一般防火墙的保护，达到攻击目的缺点是需要找到很多僵尸主机，而且由于僵尸主机的IP是暴露的，这样的DDOs攻击者很容易追踪到3.3 TCP刷脚本攻击这种攻击主要针对存在ASP、JSP、PHP、CGI等脚本并调用MSSQL Server、My SQL Server、Oracle等数据库的网站系统。

它的特点是与服务器建立正常的TCP连接，不断向脚本提交查询、列表等消耗数据库资源的调用典型的攻击方式是小而广一般来说，向客户端提交GET或POST指令的成本和带宽几乎可以忽略不计，但服务器可能要从数万条记录中找出一条记录才能处理这个请求。

这个过程消耗大量资源，普通数据库服务器很少支持上百条查询指令同时执行，这对客户端来说很容易因此，攻击者只需要通过代理向主机服务器提交大量查询指令，只需要几分钟就可以消耗服务器资源，造成拒绝服务常见的现象有网站慢如蜗牛，ASP程序失败，PHP连接数据库失败，数据库主程序占用CPU高。

这种攻击的特点是可以完全绕过常见的防火墙保护，很容易找到一些Poxy代理来实施攻击缺点是对付静态页面的网站效果会大打折扣，有些代理会暴露DDOS攻击者的IP地址第四，DDoS防护策略DDoS防护是一个系统工程。

依靠某个系统或产品来预防DDoS是不现实的可以肯定的是，目前完全消除DDoS是不可能的，但是通过采取适当的措施来抵御大部分DDoS攻击是可能的由于攻击和防御都是有成本的，如果通过采取适当的措施来增强抵御DDoS的能力，就意味着增加了攻击者的攻击成本，那么大多数攻击者就不会继续，放弃，这就相当于成功抵御了DDoS攻击。

4.1采用高性能网络设备要抵御DDoS攻击，首先要保证网络设备不能成为瓶颈所以在选择路由器、交换机、硬件防火墙等设备时，尽量选择知名度高、口碑好的产品如果与网络提供商有特殊关系或协议，那就更好了当大量攻击发生时，要求他们限制网络连接处的流量来对抗某种DDoS攻击是非常有效的。

4.2尽量避免使用NAT无论是路由器还是硬件防护墙设备都要尽量避免使用NAT，除非必须使用NAT，因为采用这种技术会大大降低网络通信能力原因很简单，因为NAT需要来回转换地址，转换过程中需要计算网络包的校验和，浪费了大量的CPU时间。

4.3足够的网络带宽保证网络带宽直接决定了抵御攻击的能力如果只有10M带宽，无论采取什么措施，都难以对抗目前的SYNFlood攻击目前至少要选择100M的共享带宽，1000M的带宽会更好但是需要注意的是，主机上的网卡是1000M并不代表它的网络带宽是千兆的。

如果连接的是100M的交换机，它的实际带宽不会超过100M，而且即使连接了100M的带宽，也不代表它有100兆的带宽，因为网络服务商很可能在交换机上把实际带宽限制在10M4.4升级主机服务器硬件在保证网络带宽的前提下，尽量提高硬件配置。

要有效对抗每秒100，000个SYN攻击包，服务器的配置至少应该是P42.4G/DDR512M/SCSI-HDCPU和内存起着关键作用内存一定要选择DDR高速内存，尽量选择SCSI硬盘否则将保证硬件的高性能和稳定性，或者付出高性能的代价。

4.5把网站做成静态页面大量事实证明，把网站做得尽可能的静态页面，不仅可以大大提高抵御攻击的能力，也会给黑客带来很多麻烦到目前为止，还没有出现HTML的溢出新浪、搜狐、网易等门户网站主要是静态页面另外，在需要调用数据库的脚本中最好拒绝代理访问，因为经验表明，80%的代理访问我们的网站都是恶意的。

动词（verb的缩写）摘要DDoS攻击在不断发展，变得越来越强大、越来越隐秘、越来越有针对性、越来越复杂，已经成为互联网安全的主要威胁同时，随着系统的升级，新的系统漏洞不断出现，DDoS攻击技能的提升也加大了保护DDoS的难度。

有效应对这种攻击是一个系统工程，不仅需要技术人员探索防护手段，还需要网络用户具备防范网络攻击的基本意识和手段只能用技术手段无忧云推出DDOS高防护IP解决方案无忧云推出DDOS高保护IP，100T超大保护带宽，1800G超大流量保护，价格低至1000元/月。

为您提供超级DDOS攻击防御保障DDoS防IP服务是面向游戏、金融、电商、网站等用户的付费增值服务，遭受高流量DDoS攻击，服务不可用用户可以配置高防IP(无需备案)，将攻击流量引流到高防IP，保证源站的稳定可靠。