ddos攻擊攻擊原理

　　拒絕服務(wù)攻擊即攻擊者想辦法讓目標機器停止提供服務(wù)或資源訪問。這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。其實對網(wǎng)絡(luò)帶寬進行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分，只要能夠?qū)δ繕嗽斐陕闊鼓承┓?wù)被暫停甚至主機死機，都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務(wù)攻擊，實際上讓服務(wù)器實現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復位，影響合法用戶的連接。

　　DDOS（分布式拒絕服務(wù)）：凡是能導致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。 也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不可告人的目的。

　　雖然同樣是拒絕服務(wù)攻擊，但是DDOS 和DOS 還是有所不同，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包， 從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導致拒絕服務(wù)， 分布式拒絕服務(wù)攻擊一旦被實施， 攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機， 從而把合法用戶的網(wǎng)絡(luò)包淹沒， 導致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源， 因此， 拒絕服務(wù)攻擊又被稱之為 “洪水式攻擊” ，常見的 DDOS 攻擊手段有 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 等；

　　而 DOS 則側(cè)重于通過對主機特定漏洞的利用攻擊導致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、 主機死機而無法提供正常的網(wǎng)絡(luò)服務(wù)功能， 從而造成拒絕服務(wù)， 常見的 DOS 攻擊手段有 T earDrop、 Land、 Jolt、 IGMP Nuker、 Boink、 Smurf、 Bonk、OOB 等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是 DDOS 攻擊，原因是很難防范，至于 DOS 攻擊，通過給主機服務(wù)器打補丁或安裝防火墻軟件就可以很好地防范DDOS 的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導致網(wǎng)絡(luò)帶寬被阻塞， 合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機； 另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導致主機的內(nèi)存被耗盡或CPU 被內(nèi)核及應(yīng)用程序占完，造成的無法提供網(wǎng)絡(luò)服務(wù)。

　　如何判斷網(wǎng)站是否遭受了流量攻擊可通過 Ping 命令來測試，若發(fā)現(xiàn) Ping 超時或丟包嚴重（假定平時是正常的），則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務(wù)器也訪問不了， 基本可以確定是遭受了流量攻擊。 當然， 這樣測試的前提是你到服務(wù)器主機之間的 ICMP 協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽， 否則可采取 T elnet 主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。

　　不過有一點可以肯定，假如平時 Ping 你的主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的，突然都 Ping 不通了或者是嚴重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務(wù)器會失敗。

　　相對于流量攻擊而言， 資源耗盡攻擊要容易判斷一些， 假如平時 Ping 網(wǎng)站主機和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而 Ping 還可以 Ping 通，則很可能遭受了資源耗盡攻擊 ，此時若在服務(wù)器上用Nistat -na命令觀察到有大量的SYN_RECEIVED、TIME_W AIT、FIN_W AIT_1 等狀態(tài)存在，而EST BLISHED 很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping 自己的網(wǎng)站主機 Ping 不通或者是丟包嚴重，而 Ping 與自己的主機在同一交換機上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機遭受攻擊后導致系統(tǒng)內(nèi)核或某些應(yīng)用程序 CPU 利用率達到 100%無法回應(yīng) Ping 命令，其實帶寬還是有的，否則就 Ping 不通接在同一交換機上的主機了。

　　ddos攻擊也可以按需服務(wù)

　　臭名昭著的 LizardSquad 黑客團隊自家的按需 DDos 攻擊網(wǎng)站 LizardStresser 被人黑入，黑客泄露了這家網(wǎng)站許多機密資料。從這家按需 DDoS 攻擊網(wǎng)站泄露的數(shù)據(jù)庫來看，這家網(wǎng)站通過收取現(xiàn)金或者比特幣來對目標進行分布式拒絕服務(wù)（DDoS）攻擊。可以明確地說，這個網(wǎng)站服務(wù)的對象絕大部分底子都不干凈。為了弄清楚到底是誰在用付費 DDoS 攻擊，用來干什么，國外媒體 ArsTechnica 對這個數(shù)據(jù)庫進行了分析。LizardSquad 黑客團隊旗下付費 DDoS 攻擊網(wǎng)站 LizardStresser.

　　無論是之前被曝光的的 Booter 網(wǎng)站或者是 LizardSquad 旗下站 LizardStresser，都提供付費 DDoS 攻擊某一目標的服務(wù)，而且這些網(wǎng)站都會將攻擊偽裝成合法的載入測試來進行攻擊。LizardStresser 是由最近非常出名的黑客團隊 LizardSquad 創(chuàng)辦的。這個黑客組織在去年的圣誕節(jié)期間利用 DDoS 攻擊了微軟的 Xbox Live 和索尼的 PSN 網(wǎng)絡(luò)，令許多玩家很長時間無法正常娛樂，這也成為 LizardSquad 宣傳自家 DDoS 服務(wù)的廣告。

　　從那之后，LizardStresser 的服務(wù)中就有很大一部分是用在攻擊游戲玩家上。雖然說消費者發(fā)起的 DDoS 攻擊中，有很大一部分都是針對 Web 服務(wù)器的，也有很大一部分是針對個人或者小型社區(qū)游戲服務(wù)器的，比如 Minecraft 的服務(wù)器。

　　然而，自從 LizardStresser 上線以來，進展也并非一帆風順。自從 LizardStresser 之后，他們開始利用家用路由器和企業(yè)用路由器的漏洞來提供攻擊服務(wù)，隨后不少組織成員遭到警方拘捕。上周，LizardStresser 的服務(wù)也被人黑入，他們的數(shù)據(jù)庫被人扒出放在了 Mega 的網(wǎng)盤里。

　　所有人都可以隨意下載，LizardStresser 客戶的用戶名和密碼，包括網(wǎng)絡(luò)地址的日志統(tǒng)統(tǒng)曝光。不管你們相不相信，LizardSquad 用《千禧年數(shù)字版權(quán)法》來強制 Mega 網(wǎng)盤將文件下線。然而，早就已經(jīng)有很多人下載好了數(shù)據(jù)庫文件，現(xiàn)在這些用戶的數(shù)據(jù)都可以被人查看，也算是遭到了一定的攻擊。

　　另外一個潛在的問題就是混亂的用戶 IP 地址。為了防止用戶將賬號分享給其他人使用，LizardStresser 會檢查賬號當前 IP 地址是否與注冊時的 IP 地址一致。但是只要稍微懂點密碼知識，就可以破解這些 MD5 hash 加密的 IP 地址。通過解密，我們看到 LizardStresser 在過去的一個月里提供了數(shù)千次 DDoS 攻擊。

　　趟渾水

　　LizardStresser 網(wǎng)站上有接近 13000 名注冊用戶，其中只有 250 名用戶付費使用 DDoS 攻擊服務(wù)。大部分付費用戶只發(fā)起了低于 20 次的短期攻擊，只有 30 名用戶發(fā)起的攻擊次數(shù)超過 100 次。LizardStresser 的服務(wù)也不友善，從日志來看，絕大多數(shù)用戶不知道怎么操作，不會購買，更別說售后。

　　在日志中，最常出現(xiàn)的信息就是“遇到了權(quán)證問題”，“這是一條從權(quán)證系統(tǒng)自動發(fā)送的消息，因為你明顯沒有閱讀 FAQ，所以我們停用了你的權(quán)證，請仔細閱讀后開新權(quán)證，此消息將不會再顯示。（This is an automated response from our ticket system to say that we have closed your ticket without response as you obviously haven‘t read the FAQ， in the future please read it before opening a ticket and this will not happen again.）”

　　還有一條用戶留下的消息：

　　各位 Lizard 團隊的成員你們好。

　　我在 Twitter 上聽說你們的攻擊肉雞都是一些被黑入的路由器。于是我有一個想法，我在不久的將來計劃用我自己的惡意軟件來感染數(shù)千用戶。我知道一兩千人可能不能增加多少力量，但是我是否能幫你們感染一些人呢？你或許在懷疑為什么我愿意幫你們？好吧……我個人很喜歡看熱鬧，我計劃以后一直干下去，所以為什么不幫一下我的 DDoS 服務(wù)提供商呢。

　　等你回信，謝謝。

　　LizardSquad 黑客團隊的回復：

　　你是弱智嗎，如果我們想要肉雞真的需要用你來幫我們嗎？我們自己就能搞定的事情，為什么還要你來參與？

　　Minecraft 也未幸免

　　LizardStresser 發(fā)起的攻擊基本上都沒有針對大型網(wǎng)站。絕大多數(shù) Web 攻擊都是針對小型主機服務(wù)器的，然而我們發(fā)現(xiàn)其中大部分又在 CloudFlare 保護之下。有一名用戶通過 LizardStresser 的服務(wù)對舊金山的一家小型主機進行了 1468 次攻擊。

　　這個用戶一共攻擊了 20 個網(wǎng)站，是 LizardStresser 最忠實的用戶，占了 LizardStresser 所有攻擊服務(wù)量的 1/5。但是諷刺的是，他的用戶名是 ryanbrogan，這是美國 FBI 負責網(wǎng)絡(luò)犯罪的探員的名字。Brogan 曾經(jīng)參與 2013 年 Linode 主機被網(wǎng)絡(luò)攻擊的調(diào)查。

　　經(jīng)過我們的統(tǒng)計，LizardStresser 自從創(chuàng)辦，一共進行了 16000 次 DDoS 攻擊，目標為 3900 個 IP 地址。其中 67% 的受攻擊對象為 Web 服務(wù)器（絕大多數(shù)為 HTTP 的 80 和 8080 端口攻擊，以及少量 HTTPS 的 443 端口攻擊）。位列第二的就是針對 Minecraft 服務(wù)器的攻擊，占據(jù)總攻擊數(shù)量的 7%。排名第三的是針對“共享域名賬號服務(wù)”Plesk 控制面板的攻擊，占 5.5%。LizardStresser 的客戶也曾嘗試攻擊 DNS 和文件傳輸協(xié)議服務(wù)。

　　ArsTechnica 的記者跟那一家遭到 1468 次攻擊的服務(wù)器公司聯(lián)系后，他們表示：“我們一直受到攻擊”，不過上個月也沒有什么特別值得注意的 DDoS 攻擊。