高防服务器（2）胡经国三、DDoS攻击简介1、概述DDoS（Distributed Denial of Service，分布式拒绝服务）。

很多DoS攻击源一起攻击某台服务器就形成了DDoS攻击。

DDoS 最早可追溯到1996年最初。

在中国2002年开始频繁出现，2003年已经初具规模。

那么，什么又是拒绝服务（Denial of Service）攻击呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为，都算是拒绝服务攻击。

也就是说，拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达到攻击者不可告人的目的。

2、DDoS攻击和DoS攻击的区别虽然同样是拒绝服务攻击，但是DDoS攻击和DoS攻击还是有所不同的。

⑴、DDoS攻击DDoS攻击的策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的数据包（网络包），从而造成网络阻塞或服务器资源耗尽而导致分布式拒绝服务。

分布式拒绝服务攻击一旦被实施，攻击数据包（网络包）就会犹如洪水般涌向受害主机，从而把合法用户的数据包淹没，导致合法用户无法正常访问服务器的网络资源。

因此，分布式拒绝服务攻击又被称之为“洪水式攻击”。

链接：数据包包（Packet）是TCP/IP协议通信传输中的数据单位，一般也称为数据包（Data Packet）。

TCP/IP协议是工作在OSI模型第三层（网络层）、第四层（传输层）上的，帧工作在第二层（数据链路层）。

上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。

我们可以用一个形象一些的例子对数据包的概念加以说明。

我们在邮局邮寄产品时，虽然产品本身带有自己的包装盒，但是在邮寄的时候只用产品原包装盒来包装显然是不行的。

必须把内装产品的包装盒放到一个邮局指定的专用纸箱里，这样才能够邮寄。

这里，产品包装盒相当于数据包，里面放着的产品相当于可用的数据；而邮局专用纸箱就相当于帧，而且一个帧中只有一个数据包。

“包”听起来非常抽象，那么是不是不可见的呢？通过一定技术手段，是可以感知到数据包的存在的。

比如，在Windows 2000 Server中，把鼠标移动到任务栏右下角的网卡图标上（网卡需要接好双绞线、连入网络），就可以看到“发送：xx包，收到：xx包”的提示。

通过数据包捕获软件，可以将数据包捕获并加以分析。

在用数据包捕获软件Iris捕获到的数据包的界面里，可以很清楚地看到捕获到的数据包的MAC地址、IP地址、协议类型端口号等细节。

通过分析这些数据，网管员就可以知道网络中到底有什么样的数据包在活动。

链接：OSI模型OSI模型（Open Systems Interconnection Reference Model，开放系统互联参考模型，或开放式通信系统互联参考模型），是国际标准化组织（ISO）提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称OSI。

OSI将计算机网络体系结构（architecture）划分为以下七层：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

链接：MAC地址MAC（Media Access Control或Medium Access Control，媒体访问控制）地址，或称为物理地址、硬件地址，用来定义网络设备的位置。

在OSI模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC地址。

因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。

MAC 地址是由网卡决定的，是固定的。

链接：TCP Flood这是一种针对TCP/IP协议发起的攻击。

其明显特征是被攻击者的主机上存在大量的TCP连接。

TCP洪水攻击属于DDoS的一种，其威力比其他DDoS种类要强很多。

因为它是基于连接的，而不是单纯的数据包攻击，所以被攻击者的主机很快瘫痪；如果黑客肉鸡够多的话，可以攻下一个网站。

链接：黑客肉鸡简单的说，肉鸡，就是受你控制的远程电脑，黑客肉鸡就是受黑客控制的远程电脑。

肉鸡可以是Win、Unix/Linux等各种系统；肉鸡可以是一家公司的服务器、一家网站的服务器甚至是美国白宫或军方的电脑。

肉鸡又叫做傀儡机，也就是被黑客远程控制的机器。

黑客通过黑客软件对别人进行攻击。

如果有人中了这种病毒的话，病毒就会在系统开一个后门，方便黑客在需要的时候对你的计算机进行控制或其他的操作。

这时被黑客操纵的计算机就叫做傀儡机。

⑵、DoS攻击DoS攻击的策略则侧重于通过对主机特定漏洞的利用。

其攻击导致网络栈失效、系统崩溃、主机死机，无法提供正常的网络服务功能，从而造成拒绝服务。

⑶、危害和防范比较就这两种拒绝服务攻击而言，危害较大的主要是DDoS攻击。

原因是很难防范。

至于DoS攻击，通过给主机服务器打补丁或安装防火墙软件，就可以很好地防范。

3、攻击方式DoS攻击方式有很多种。

最基本的DoS攻击方式就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击，一般采用是一对一方式。

当被攻击目标的CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络。

这使得DoS攻击的困难程度加大了，被攻击目标对恶意攻击数据包的“消化能力”加强了不少。

例如，你的攻击软件每秒钟可以发送3000个攻击数据包，而我的主机与网络带宽每秒钟可以处理10000个攻击数据包。

这样一来攻击就不会产生什么效果。

这时候，分布式拒绝服务攻击（DDoS）方式就应运而生。

你理解了DoS 攻击的话，它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，那么攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS攻击就是利用更多的傀儡机来发起进攻的，以比从前更大的规模来进攻受害者。

链接：HTTP请求HTTP请求，是指从客户端到服务器端的请求消息。

它包括：消息首行中对资源的请求方法、资源的标识符及使用的协议。

三种最常见的请求类型是：GET，POST 和HEAD。

①、GET请求：获取一个文档大部分被传输到浏览器的html文档，images（图片），JS（Java Script，爪哇脚本），CSS（Cascading Style Sheets，层叠样式表）…都是通过发出GET请求获得的。

它是获取数据的主要方法。

②、POST请求：发送数据至服务器尽管你可以通过GET请求将数据附加到URL（Uniform Resource Locator，统一资源定位符）中传送给服务器，但是在很多情况下使用POST请求发送数据给服务器更加合适。

通过GET发送大量数据是不现实的，它有一定的局限性。

用POST请求来发送表单数据是普遍的做法。

③、HEAD请求：接收头部信息HEAD和GET很相似，只不过HEAD不接受HTTP响应的内容部分。

当你发送了一个HEAD请求，那就意味着你只对HTTP头部感兴趣，而不是文档本身。

这个方法可以让浏览器判断页面是否被修改过，从而控制缓存。

也可判断所请求的文档是否存在。

例如，假如你要访问的网站上有很多链接，那么你就可以简单地给它们分别发送HEAD请求来判断是否存在死链。

这比使用GET 请求要快很多。

4、DDoS攻击的有利条件高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。

在低速网络时代，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器。

因为经过路由器的跳数少，效果好。

而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接。

这使得攻击可以从更远的地方或者其他城市发起；攻击者的傀儡机位置可以分布在更大的范围，选择起来更灵活了。

四、攻击原理网络攻击原理不外乎：通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器，阻断某服务与特定系统或个人的通讯。

DoS攻击、DDoS攻击和DRDoS攻击，相信大家已经早有耳闻了吧！DoS （Denial of Service）就是拒绝服务，DDoS（Distributed Denial of Service）就是分布式拒绝服务，而DRDOS（Distributed Reflection Denial of Service）则是分布反射式拒绝服务。

不过，这3种攻击方式最厉害的还是DDoS攻击。

那个DRDoS攻击虽然是新近出现的一种攻击方式，但它只是DDoS攻击的变形。

它的唯一不同，就是不用占领大量的“肉鸡”。

这三种攻击方式都是利用TCP（Transmission Control Protocol，传输控制协议）三次握手的漏洞进行攻击的。

所以，对它们的防御办法都是差不多的。

DoS攻击是最早出现的。

它的攻击方式说白了就是单挑，是比谁的机器性能好、速度快。

但是，现在科技飞速发展，一般网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。

这样，一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。

举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器（性能、网络带宽都是顶尖的）每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。

要知道，你若是发送这种1VS1（一对一）的攻击，你的机器的CPU占用率将在90%以上。

五、攻击的产生与被攻击的现象1、攻击的产生DDoS攻击最早可追述到1996年。

在中国2002年开始频繁出现，2003年已经初具规模。

近几年，由于宽带的普及，很多网站开始盈利。

其中，很多非法网站利润巨大，造成同行之间互相攻击；还有一部分人利用网络攻击来敲诈钱财。

同时，Windows平台的漏洞大量地被公布，流氓软件、病毒、木马大量充斥着网络。

有些懂技术的人，可以很容易非法入侵控制大量的个人计算机来发起DDoS攻击，从中谋利。

攻击已经成为互联网上的一种最直接的竞争方式；而且收入非常高；在利益驱使下，攻击已经演变成非常完善的产业链。

通过在大流量网站的网页里注入病毒木马；木马可以通过Windows平台的漏洞感染浏览网站的人。

一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的“肉鸡”。

每天都有人专门收集“肉鸡”，然后以几毛到几块钱一只的价格出售。

因为利益需要发起攻击的人就会去购买，然后遥控这些“肉鸡”攻击服务器。

2、被攻击的现象能瞬间造成对方电脑死机或者假死。

有人曾经测试过，被攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音。