DDOS简介

DDOS也叫分布式拒绝服务，全称是分布式拒绝服务。DDOS最初使用合理的请求使资源过载，导致服务不可用，从而导致服务器拒绝正常的流量服务。例如，酒店中有固定数量的房间。例如，一家酒店有50个房间。当50个房间都住满后，新用户要想入住，必须等之前的用户先出去。如果入住用户一直不出门，那么酒店就无法满足新用户，导致酒店超负荷。这种情况就是“拒绝服务”。如果你想继续提供资源，那么酒店就应该升级自己的资源，服务器也是一样。

拒绝服务攻击的基本概念

* *拒绝服务:* *拒绝服务是指应用系统无法正常向外界提供服务的状态，如网络拥塞、系统停机、响应缓慢等。，这些都是拒绝服务的表现。

拒绝服务攻击(DOS):拒绝服务攻击是通过各种技术手段使目标系统进入拒绝服务状态的攻击。常见手段包括利用漏洞、消耗应用系统性能和带宽。

分布式拒绝服务攻击(DDoS):分布式拒绝服务攻击(DDOS)是一种高级的拒绝服务攻击手段，可以利用分布在世界各地的僵尸网络产生大规模的拒绝服务攻击。

DDOS攻击分类

(1)漏洞类型(基于特定漏洞的攻击):只对特定漏洞的目标有效。通常可以通过发送特定的数据包或者少量的数据包来达到攻击效果。

(2)业务类型(主要消耗业务系统的性能):与业务类型高度相关，需要根据业务系统的应用类型采取相应的攻击措施才能达到效果。通常情况下，达到业务类型攻击的效果所需的流量远低于流量类型。

(3)流量导向(主要消耗带宽资源):主要利用目标业务系统的带宽资源作为攻击手段，通常会导致网络拥塞，从而影响正常业务。

拒绝服务攻击处理流程

(1)现象分析:根据发现的现象、网络设备和服务，初步判断是否存在拒绝服务攻击。

(2)包捕获分析:通过包捕获分析进一步了解攻击的方式和特征。

(3)启动对策:最后启动对策进行攻击和对抗，可以包括资源升级、安全加固、安全防护等措施。

DDOS流量包分析

SYN洪水攻击

正常情况下，TCP三次握手过程如下

向服务器发送一个SYN请求包，包括客户端使用的端口号和初始序列号x。

服务器收到客户端发送的SYN请求包后，知道客户端想要建立连接，于是向客户端发送SYN请求包和ACK响应包，其中包含服务器的确认号x+1和初始序列号Y。

客户端收到服务器返回的SYN请求包和ACK响应包后，向服务器返回一个确认号为y+1，序列号为x+1的ACK请求包。三次握手完成，TCP连接成功建立。

SYN Flood攻击原理:

首先，客户端向服务器发送一个SYN请求包，服务器接受后会发送一个SYN+ACK包响应客户端。最后，客户端会向服务器返回一个ACK包，实现一个完整的TCP连接。Syn flood攻击是阻止客户端返回最后一个ack包，形成半开连接。TCP半开连接是指发送或接受TCP连接请求，等待对方回复的状态。半开连接状态需要占用系统资源等待对方回复，半开连接数达到上限，无法建立新的连接，造成拒绝服务攻击。

目标飞机的流量包分析

Wireshark软件用于抓取数据包的数据，频繁发送数据包的ip地址被过滤器筛选掉。

筛选218.xxx.xxx.87，分析协议比例，发现tcp和http占比较大。

对tcp中的syn包进行筛选后，发现syn包的比率为82.9，可以判断为SYN FLOOD拒绝服务攻击。

UDP洪水攻击

UDP洪水攻击原理:

由于UDP是无连接协议，在同等条件下消耗的系统资源较少，容易产生较高的流量，是流量攻击的主要手段。当受害系统收到UDP数据包时，它将确定应用程序正在目的端口等待。当它发现这个端口没有等待的应用时，就会生成一个目的地址无法连接的互联网控制报文协议，并发送给伪造的源地址。如果足够多的UDP数据包被发送到受害者的计算机端口，系统将会造成拒绝服务攻击。因此，UDP FLOOD已经成为流量拒绝服务攻击的主要手段。

目标飞机的流量包分析

Wireshark软件用于抓取数据包的数据，频繁发送数据包的ip地址被过滤器筛选掉。

筛选117.xxx.xxx.0网段，分析协议比例，可以看到受害无人机接受的UDP包更多。

您可以看到UDP数据包的大小固定为172字节。

可以看出，所有的udp包都是发送的，而且udp包的大小是一样的，所以可以判断为udp flood攻击。

慢速拒绝服务攻击

apt安装slowhttptest -y

安装slowhttptest

慢速拒绝服务攻击的原理:

完整的http请求数据包以\r\n\r\n结尾，只有在慢速拒绝服务攻击中才会发送，少一个\r\n，如果服务器认为请求尚未发送，它将等到超时。

slowhttptest-c 5000-H-g-o my _ header _ stats-I 10-r 5000-t GET-u " http://10 . 10 . 10 . 134 "-x 200-p 3

(测试期间建立5000个连接-C；选择slowloris模式-h；生成cvs和HTML文件的统计数据-g；生成的文件名my _ header _ stats-o；指定发送数据的间隔为10秒-i，每秒的连接数为5000-t；指定URL-u；指定的最大数据长度是200-x；指定确认DOS攻击成功的等待时间-p)

观察目标的cpu和网络流量显著增加。

目标飞机的流量包分析

攻击机IP:10 . 10 . 10 . 129，目标机IP:10 . 10 . 10 . 134

[PSH，ACK]是攻击机发送给目标机的带有数据的ACK包，[ACK]包是目标机回复给攻击机的数据包。

可以看到没有连续的\r\n传输，以至于无人机不得不一直等待。

http协议的比例为36.6，tcp协议的比例为87.4。

屏蔽ack包，占98.2%，不正常，可以判断为慢速拒绝服务攻击。

ICMP洪水攻击

ICMP洪水攻击的原理:

当ICMP ping产生的大量响应请求超过系统的最大限制时，系统会耗尽所有资源进行响应，直到无法再处理有效的网络信息流。但由于ICMP协议报文被丢弃，不会影响大部分系统的运行，所以很容易被保护。

使用hp3引发ICMP洪水攻击

hp3-q-n-a 1.1.1.1–icmp-d 200–洪水10.10.10.134

观察目标的cpu和网络流量显著增加。

目标飞机的流量包分析

伪造的源IP:1.1.1.1向目的ip:10.10.10.134发送大量icmp数据包

筛选出大量同一IP发送ICMP数据包，占86.0%，判定为ICMP拒绝服务攻击。

附言

拒绝服务攻击危害极大。拒绝服务攻击的本质是对有限资源的无限占用。因此，在这方面，需要限制每个不可信资源的分配量，或者改善系统的有限资源，以防止拒绝服务攻击。