目錄：

• DDOS的定義
• 攻擊的方式
• 攻擊的現象
• Ddos攻擊的危害
• 僵尸網絡定義
• 僵尸網絡的類型
• 重大歷史事件

一. DDOS的定義

• 分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

二. 攻擊的方式

網絡層DDos攻擊

（1）SYN flood攻擊

• SYN flood攻擊主要利用了TCP三次握手過程中的bug，我們知道TCP三次握手過程是要建立連接的雙方發送SYN，SYN+ACK，ACK數據包，而當攻擊方隨意構造源ip去發送SYN包時，服務器返回的SYN+ACK就不能得到應答（因為ip是隨意構造的），此時服務器就會嘗試重新發送，并且會有至少30s的等待時間，導致資源飽和服務不可用，此攻擊屬于慢型dos攻擊。

（2）UDP flood攻擊

• 由于udp是一種無連接的協議，因此攻擊者可以偽造大量的源IP地址去發送udp包，此種攻擊屬于大流量攻擊。正常應用情況下，UDP包雙向流量會基本相等，因此在消耗對方資源的時候也在消耗自己的資源。

（3）ICMP flood攻擊

• 此攻擊屬于大流量攻擊，其原理就是不斷發送不正常的ICMP包（所謂不正常就是ICMP包內容很大），導致目標帶寬被占用，但其本身資源也會被消耗。并且目前很多服務器都是禁ping的（在防火墻在可以屏蔽icmp包），因此這種方式已經落伍。

應用層DDos攻擊

（1）CC攻擊（Challenge Collapasar）

• CC攻擊的原理，就是針對消耗資源比較大的頁面不斷發起不正常的請求，導致資源耗盡。因此在發送CC攻擊前，我們需要尋找加載比較慢，消耗資源比較多的網頁，比如需要查詢數據庫的頁面、讀寫硬盤文件的等。通過cc攻擊，使用爬蟲對某些加載需要消耗大量資源的頁面發起http請求。

（2）HTTP POST DOS

• 原理是在發送HTTP POST包時，指定一個非常大的Content-Length值，然后以極低的速度發包，保持連接不斷，導致服務飽和不可用。

DDoS攻擊通過大量的請求占用大量網絡資源，以達到癱瘓網絡的目的。攻擊方式可分為以下幾種：

• 通過使網絡過載來干擾甚至阻斷正常的網絡通訊；
• 通過向服務器提交大量請求，使服務器超負荷；
• 阻斷某一用戶訪問服務器；
• 阻斷某服務與特定系統或個人的通訊。

三. 攻擊的現象

出現DDOS攻擊時，往往會有以下特征：

• 被攻擊主機上有大量等待的TCP連接；
• 網絡中充斥著大量的無用的數據包；
• 源地址為假 制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊；
• 利用受害主機提供的傳輸協議上的缺陷反復高速的發出特定的服務請求，使主機無法處理所有正常請求；
• 嚴重時會造成系統死機。

四. Ddos攻擊的危害

• DDOS采取的攻擊手段就是分布式的攻擊方式，在攻擊的模式改變了傳統的點對點的攻擊模式，使攻擊方式出現了沒有規律的情況，而且在進行攻擊的時候，通常使用的也是常見的協議和服務，這樣只是從協議和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候，攻擊數據包都是經過偽裝的，在源IP
  地址上也是進行偽造的，這樣就很難對攻擊進行地址的確定，在查找方面也是很難的。這樣就導致了分布式拒絕服務攻擊在檢驗方法上是很難做到的。

DDos防御

（1）盡可能對系統加載最新補丁，并采取有效的合規性配置，降低漏洞利用風險；（2）采取合適的安全域劃分，配置防火墻、入侵檢測和防范系統，減緩攻擊；（3）采用分布式組網、負載均衡、提升系統容量等可靠性措施，增強總體服務能力。（4）發動DDOS攻擊的主要攻擊來源是分布在世界各地的僵尸網絡。

五. 僵尸網絡定義

• 僵尸網絡（Botnet）是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網絡攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等。
• 需要發動攻擊時，攻擊者通過中心服務器發送預先定義好的控制指令，讓被感染主機執行惡意行為，如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。

六. 僵尸網絡的類型

Botnet根據分類標準的不同，可以有多許多種分類。

按程序種類

• Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵尸工具。防病毒廠商Spphos
  列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析)，這個數目也在穩步增長。僵尸工具本身使用跨平臺的C++寫成。

• Agobot最新可獲得的版本代碼清晰并且有很好的抽象設計，以模塊化的方式組合，添加命令或者其他漏洞的掃描器及攻擊功能非常簡單，并提供像文件和進程隱藏的Rootkit

• 能力在攻陷主機中隱藏自己。在獲取該樣本后對它進行逆向工程是比較困難的，因為它包含了監測調試器(Softice和O11Dbg)和虛擬機（VMware 和Virtual PC)的功能。

• SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟件目前是最活躍的bot程序軟件，SDBot
  由C語言寫成。它提供了和Agobot 一樣的功能特征，但是命令集沒那么大，實現也沒那么復雜。它是基于IRC協議的一類bot程序。

• GT-Bots是基于當前比較流行的IRC客戶端程序mIRC編寫的，GT是（GlobalThreat）的縮寫。這類僵尸工具用腳本和其他二進制文件開啟一個mIRC聊天客戶端,但會隱藏原mIRC窗口。通過執行mIRC腳本連接到指定的服務器頻道上，等待惡意命令。這類bot程序由于捆綁了mIRC程序，所以體積會比較大，往往會大于1MB。

按控制方式

• RC Botnet。是指控制和通信方式為利用IRC協議的Botnet，形成這類Botnet的主要bot程序有spybot、GTbot和SDbot，目前絕大多數Botnet屬于這一類別。
• AOL Botnet。與IRCBot類似，AOL為美國在線提供的一種即時通信服務，這類Botnet是依托這種即時通信服務形成的網絡而建立的，被感染主機登錄到固定的服務器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager實現對Bot的控制。
• P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端，可以連入采用了Gnutella技術（一種開放源碼的文件共享技術）的服務器，利用WASTE文件共享協議進行相互通信。由于這種協議分布式地進行連接，就使得每一個僵尸主機可以很方便地找到其他的僵尸主機并進行通信，而當有一些bot被查殺時，并不會影響到Botnet的生存，所以這類的Botnet具有不存在單點失效但實現相對復雜的特點。Agobot和Phatbot采用了P2P的方式

七. 重大歷史事件

• 歷史上有名ddos的攻擊事件很多，涉及行業包括政治，經濟，軍事等各個行業，下面列舉一下2016年比較有名的幾起DDOS事件

1. 暴雪DDoS攻擊

• LizardSquad組織對暴雪公司戰網服務器發起DDoS攻擊，包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》在內的重要游戲作品離線宕機，玩家無法登陸。名為“Poodle
  Corp”黑客組織也曾針對暴雪發起多次DDoS攻擊
• 攻擊不僅導致戰網服務器離線，平臺多款游戲均受到影響，包括《守望先鋒》，《魔獸世界》、《暗黑3》以及《爐石傳說》等，甚至連主機平臺的玩家也遇到了登陸困難的問題。

2.珠寶店遭遇25000個攝像頭組成的僵尸網絡攻擊

一家普通的珠寶在線銷售網站遭到了黑客的攻擊，美國安全公司Sucuri在對這一事件進行調查時發現，該珠寶店的銷售網站當時遭到了泛洪攻擊，在每秒鐘35000次的HTTP請求(垃圾請求)之下，該網站便無法再提供正常的服務。
當時，Sucuri公司的安全研究人員曾嘗試阻止這次網絡攻擊，但是這一僵尸網絡卻進一步提升了垃圾請求的發送頻率，隨后該網絡每秒會向該商店的銷售網站發送超過50000次垃圾HTTP請求。
安全研究人員對此次攻擊中的數據包來源進行分析后發現，這些垃圾請求全部來源于聯網的監控攝像頭，25000個攝像頭組成僵尸網絡發起DDoS攻擊，成為已知最大的CCTV(閉路電視攝像頭)僵尸網絡。

3. Anonymous組織發起的“Operation OpIcarus”攻擊

Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽靈黑客小隊)等黑客小組，針對全球范圍內的多家銀行網站，發動了短期性網絡攻擊，Anonymous將此次攻擊行動稱為：“Operation OpIcarus”。
此次選定的攻擊目標包括約旦國家央行、韓國國家央行、摩納哥央行以及一些設立在摩納哥的企業銀行網站等，隨后黑客們對其實施了一系列的DDoS攻擊。這次攻擊導致約旦、韓國以及摩納哥等央行網絡系統陷入了半小時的癱瘓狀態，使其無法進行正常工作，而黑山國家銀行網絡系統則被迫關閉，停止服務。

4. 精準的NS1攻擊

DNS和流量管理供應商NS1(ns1.com)遭遇了歷時10天的針對性大規模DDoS攻擊，它通過執行上游流量過濾和使用基于行為的規則屏蔽了大部分攻擊流量。
攻擊者沒有使用流行的DNS放大攻擊，而是向NS1的域名服務器發送編程生成的DNS查詢請求，攻擊流量達到了每秒5000萬到6000萬 數據包，數據包表面上看起來是真正的查詢請求，但它想要解析的是不存在于NS1客戶網絡的主機名。攻擊源頭也在東歐、俄羅斯、中國和美國的不同僵尸網絡中輪換。

5. 五家俄羅斯銀行遭遇DDoS攻擊

俄羅斯五家主流大型銀行遭遇長達兩天的DDoS攻擊。來自30個國家2.4萬臺計算機構成的僵尸網絡持續不間斷發動強大的DDOS攻擊。
卡巴斯基實驗室提供的分析表明，超過50%的僵尸網絡位于以色列、臺灣、印度和美國。每波攻擊持續至少一個小時，最長的不間斷持續超過12個小時。攻擊的強度達到每秒發送66萬次請求?？ò退够鶎嶒炇疫€指出，有些銀行反復遭受被攻擊。

6. Mirai僵尸網絡攻擊KrebsonSecurity

Mirai是一個十萬數量級別的僵尸網絡，由互聯網上的物聯網設備(網絡攝像頭等)構成，8月開始構建，9月出現高潮。攻擊者通過猜測設備的默認用戶名和口令控制系統，將其納入到Botnet中，在需要的時候執行各種惡意操作，包括發起DDoS攻擊，對互聯網造成巨大的威脅。
安全研究機構KrebsonSecurity也遭遇Mirai攻擊，當時被認為是有史以來最大的一次網絡攻擊之一。然而沒過多久，法國主機服務供應商OVH也遭到了兩次攻擊，罪魁禍首依然是Mirai。據悉，KrebsonSecurity被攻擊時流量達到了665GB，而OVH被攻擊時總流量則超過了1TB。

7. 美國大半個互聯網下線事件

說起DDOS攻擊就不得不提Dyn事件。10月21日，提供動態DNS服務的Dyn
DNS遭到了大規模DDoS攻擊，攻擊主要影響其位于美國東區的服務。 此次攻擊導致許多使用DynDNS服務的網站遭遇訪問問題，其中包括
GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和
Shopify。攻擊導致這些網站一度癱瘓，Twitter甚至出現了近24小時0訪問的局面。

總結

以上是生活随笔為你收集整理的DDOS攻击原理介绍，可怕的DDos攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。