DDOS的攻擊原理和如何防護網站和遊戲惡意攻擊

標籤：size   等於   建立   人民幣   測試結果   open   防火牆   比較   串連數   

                                                                        DDOS的攻擊原理和如何防護網站和遊戲惡意攻擊

               

　　 1-DDOS全名是Distribution Denial of Service (分散式阻斷服務攻擊),很多DOS攻擊源一起
攻擊某台伺服器就組成了DDOS攻擊.在中國,DDOS 最早可追溯到1996年,2002年開發頻繁出現,2003
年已經初具規模.當時網路頻寬普遍比較小,攻擊量一般都不會超過100M,國內幾乎沒有防護的方法
和產品. 而且攻擊源IP都是偽造的,無法找到攻擊源.一個硬體設定很好的網站,每秒幾兆的攻擊量
就可以完全癱瘓,破壞力相當驚人.由於開發防護產品需要接管網路底層控制，和分析處理TCP/IP
協議要求較高的技術門檻，當時在國內的眾多安全根本沒有專業的專門防護DDOS攻擊的產品。
DDOS攻擊經過駭客多年的不斷的技術積累到今天已經變化多種多樣攻擊形勢,攻擊內容和以前有了
很大的改變，新的變種攻擊也幾乎每月都會有，安全通經過多年防護經驗已經徹底分析攻擊原理
，通過攻擊案例具體分析實際攻擊，力圖讓讀者從中找到解決針對自己網路的有效解決辦法

 

二、DDoS攻擊原理
　　 我們先來研究最常見的SYN攻擊, SYN攻擊屬於DOS Denial of Servic攻擊的一種，它利用
TCP協議缺陷，通過發送大量的半串連請求，耗費CPU和記憶體資源。TCP協議建立串連的時候需要雙
方相互確認資訊,來防止串連被偽造和精確控制整個資料轉送過程資料完整有效。所以TCP協議采
用三向交握建立一個串連。
　　 第一次握手：建立串連時，用戶端發送syn包到伺服器，並進入SYN_SEND狀態，等待伺服器
確認；　
　　 第二次握手：伺服器收到syn包，確認客戶的SYN 同時自己也發送一個SYN包 即SYN+ACK包，
此時伺服器進入SYN_RECV狀態；
　　 第三向交握：用戶端收到伺服器的SYN＋ACK包，向伺服器發送確認包ACK此包發送完畢，客
戶端和伺服器進入ESTABLISHED狀態，完成三向交握。
　　 SYN攻擊利用TCP協議三向交握的原理，大量發送偽造源IP的SYN包,也就是偽造第一次握手數
據包，伺服器每接收到一個SYN包就會為這個串連資訊分配核心記憶體並放入半串連隊列，如果短時
間內接收到的SYN太多，半串連隊列就會溢出，作業系統會把這個串連資訊丟棄造成不能串連，當
攻擊的SYN包超過半串連隊列的最大值時，正常的客戶發送SYN資料包請求串連就會被伺服器丟棄.
每種作業系統半串連隊列大小不一樣,所以抵禦SYN攻擊的能力也不一樣。那麼能不能把半串連隊
列增加到足夠大來保證不會溢出呢，答案是不能，每種作業系統都有方法來調整TCP模組的半串連
隊列最大數，例如Win2000作業系統在註冊表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip
\Parameters裡 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux作業系統用變數
tcp_max_syn_backlog來定義半串連隊列的最大數。但是每建立一個半串連資源就會耗費系統的核
心記憶體，作業系統的核心記憶體是專門提供給系統核心使用的,核心記憶體不能進行虛擬記憶體轉換,因
此是非常緊缺的資源.以windows2000系統為例,當實體記憶體是4g的時候 核心記憶體只有不到300M，
系統所有核心模組都要使用核心記憶體,所以能給半串連隊列用的核心記憶體非常少。
　　 根據安全通實驗室測試:
測試環境:Windows 2003作業系統預設安裝
硬體設定:P4 3.0 (925),1GDDR2 記憶體, 160GBSATA硬碟
攻擊強度:WEB SERVER的80連接埠每秒鐘接收5000個SYN資料包
測試結果:一分鐘後網站陷於癱瘓.web頁面無法開啟
標準SYN資料包64位元組, 5000個攻擊包等於 5000*64 *8(換算成bit)/1024=2500K,即 2.5M頻寬，
從上面的實驗情況我們看樣看到,非常小的頻寬攻擊可以造成的巨大危害,這種危害足可以癱瘓一
個配置良好頻寬充足的web伺服器，並且由於攻擊包的源IP是偽造的,很難追查到攻擊源,導致攻擊
者肆無忌憚.最終結果是這種SYN攻擊在互連網泛濫,給正常的網路運營造成極大的威脅.

 

三、DDoS攻擊發展以及其趨勢
　　 近幾年由於寬頻普及，很多網站開始盈利，其中很多非法網站利潤巨大,造成同行之間互
相攻擊.同時windows 平台的大量漏洞被公布， 流氓軟體，病毒，木馬大量充斥著網路,有些網路
知識的人可以很容易的非法入侵併控制大量的個人電腦來發起DDoS攻擊從中謀利.更可怕的情況
是高利益的驅使已經是DDoS攻擊演變成非常完善的產業鏈, 出售DDoS攻擊已經成為互連網上的一
種半公開商業行為. 攻擊者首先在大流量網站的網頁裡注入病毒木馬，此木馬可以通過windows平
台的漏洞感染瀏覽網站的人，瀏覽者一旦中了木馬，這台電腦就會被後台操作的人控制，這台
電腦也就成了所謂的”肉雞”，每天都有人專門收集”肉雞”然後以幾毛到幾塊的一隻的價格
出售，購買者遙控這些肉雞攻擊伺服器。根據有關部門的不完全推測,這種地下鏈條所帶來的非法
收入高達幾十億人民幣.還有一部分人利用DDoS網路攻擊來敲詐錢財,早起根據北京海澱警方就破
壞一切利用DDoS攻擊進行敲詐的惡性案例,攻擊者竟然是上海一家經營防火牆的正規公司.

 

四、DDos攻擊種類
　　 DDoS攻擊原理大致分為以下三種:
　　 1.通過發送大的資料包堵塞伺服器頻寬造成伺服器線路癱瘓;
　　 2.通過發送特殊的資料包造成伺服器TCP/IP協議模組耗費CPU記憶體資源最終癱瘓;
　　 3.通過標準的串連建立起串連後發送特殊的資料包造成伺服器啟動並執行網路服務軟體耗費CPU
記憶體最終癱瘓(比如WEB SERVER、FTP SERVER、 遊戲伺服器等)。
DDoS攻擊種類可以分為以下幾種:
　　 由於肉雞的木馬可以隨時更新攻擊的資料包和攻擊方式，所以新的攻擊更新非常快這裡我們
介紹幾種常見的攻擊的原理和方法
　　 1.SYN變種攻擊
發送偽造源IP的SYN資料包但是資料包不是64位元組而是上KB,這種攻擊會造成一些防火牆處理
錯誤導致鎖死，消耗伺服器CPU記憶體的同時還會堵塞頻寬。
　　 2.TCP混亂資料包攻擊
發送偽造源IP的 TCP資料包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn
+rst等等，會造成一些防火牆處理錯誤導致鎖死，消耗伺服器CPU記憶體的同時還會堵塞頻寬。
　　 3.針對UDP協議攻擊
很多聊天室，視頻音頻軟體，都是通過UDP資料包傳輸的，攻擊者針對分析要攻擊的網路軟體協議
，發送和正常資料一樣的資料包，這種攻擊非常難防護，一般防護牆通過攔截攻擊資料包的特徵
碼防護，但是這樣會造成正常的資料包也會被攔截，
　　 4.針對WEB Server的多串連攻擊
通過控制大量肉雞同時串連訪問網站，造成網站無法處理癱瘓，這種攻擊和正常訪問網站是一樣
的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火牆可以通過限制每個串連過來的IP串連數
來防護，但是這樣會造成正常使用者稍微多開啟幾次網站也會被封
　　 5.針對WEB Server的變種攻擊
通過控制大量肉雞同時串連訪問網站，一點串連建立就不斷開，一直發送發送一些特殊的GET訪問
請求造成網站資料庫或者某些頁面耗費大量的CPU,這樣通過限制每個串連過來的IP串連數進行防
護的方法就失效了，因為每個肉雞可能只建立一個或者只建立少量的串連。這種攻擊非常難防護
，後面給大家介紹防火牆的解決方案
　　 6. 針對WEB Server的變種攻擊
通過控制大量肉雞同時串連網站連接埠，但是不發送GET請求而是亂七八糟的字元，大部分防火牆分
析攻擊資料包前三個位元組是GET字元然後來進行http協議的分析，這種攻擊，不發送GET請求就可
以繞過防火牆到達伺服器，一般伺服器都是共用頻寬的，頻寬不會超過10M ,所以大量的肉雞攻擊
資料包就會把這台伺服器的共用頻寬堵塞造成伺服器癱瘓，這種攻擊也非常難防護，因為如果只
簡單的攔截用戶端發送過來沒有GET字元的資料包，會錯誤的封鎖很多正常的資料包造成正常使用者
無法訪問，後面給大家介紹防火牆的解決方案
　　 7.針對遊戲伺服器的攻擊
因為遊戲伺服器非常多，這裡介紹最早也是影響最大的傳奇遊戲，傳奇遊戲分為登陸註冊連接埠
7000,人物選擇連接埠7100，以及遊戲運行連接埠7200,7300,7400等,因為遊戲自己的協議設計的非常
複雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發現新的攻擊種類，這
裡介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞類比遊戲用戶端進行自動註冊、登陸、建立
人物、進入遊戲活動從資料協議層面類比正常的遊戲玩家，很難從遊戲資料包來分析出哪些是攻
擊哪些是正常玩家。

 

DDOS的攻擊原理和如何防護網站和遊戲惡意攻擊