1、簡述:  DDOS(分布式拒絕服務)攻防實戰演練用戶對于這個話題似乎已經不再陌生,在當今的網絡當中用戶能夠經常聽見此類事件的發生，比如說二個月前的唐山黑客事件中，所利用的黑客技術就是DDOS攻擊。這種攻擊方法的可怕之處是會造成用戶無法對外進行提供服務，時間一長將會影響到網絡流量，造成用戶經濟上的嚴重損失。造成這種類型攻擊的最主要原因就是商業競爭、打擊報復和網絡敲詐等多種因素，從實際情況來說DDOS是不可能完全防范的，不過用戶必須要從最大程度上做好防范DDOS攻擊的措施，使用戶在遭受DDOS攻擊后的損失減至最低。 DOS是英文Denial of Service的縮寫，意為“拒

2、絕服務攻擊”，DDOS是英文Distributed Denial of Service的縮寫，意為“分布式拒絕服務攻擊”。那么什么要叫做拒絕服務呢?可以這么理解，凡是能導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。可以說DOS是DDOS的前身，為了能夠使其具有更高的攻擊效率，從而就產生了這種分布式拒絕服務攻擊，也就是用戶通常所說的DDOS攻擊。但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重于通過很多“僵尸主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看

3、似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網絡包淹沒，導致合法用戶無法正常訪問服務器的網絡資源。DDOS的表現形式主要有兩種，一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機。另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則

4、可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的服務器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到服務器主機之間的ICMP協議沒有被路由器和防火墻等設備屏蔽，否則可采取Telnet主機服務器的網絡服務端口來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的，突然都Ping不通了或者是嚴重丟包，那么假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站服務器會失敗。相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主

5、機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務器上用Netstat -an命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務器則正常，造成這種原因是網站主機遭受攻擊后導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同

6、一交換機上的主機了。以下為典型的DDOS攻擊示意圖:圖 1其下是利用xdos這款攻擊軟件模擬DDOS攻擊經過: 應用平臺Windows2000 pro,IIS5.0。實戰流程一.確定目標二.攻擊目標三.防范方法應用工具xdos:Dos下經典的DDOS攻擊工具。實施步驟一、確定目標這里為本地搭建的環境，如下圖所示:圖 2用戶可以在cmd下使用ping 命令形式獲得目標站點ip，從而確定目標,方法如下:1.用戶點擊“開始”->“運行”->輸入cmd然后按回車即可打開cmd窗口。2.Cmd下輸入ping www.*即可得到*網站的ip，如下圖所示:圖 3其中Pinging antares

7、.* 5 with 32 bytes of data:5即為*網站的IP。二、攻擊目標 利用我們的xdos對此網站進行攻擊,此軟件的使用格式是xdos ip 端口 -t 次數 -s *,這里給用戶解釋下,ip為用戶需要攻擊的ip,端口為需要攻擊的端口,這里是攻擊Web服務,因此這里用80端口,-t后面跟的是攻擊次數,一般5-10就可以了,-s為隨機偽造攻擊ip，完整的命令如下:xdos 80 t 5 s *出現如下圖示則說明攻擊正在進行:圖 4稍后用戶再看看被攻擊的網站，如下圖所示:圖 5站點已經顯示連接用戶過多禁止訪問了，這就是

8、說明攻擊成功了。小提示:現在的DDOS攻擊中主要有以下三種DDOS攻擊技術:1.SYN/ACK Flood攻擊2. TCP全連接攻擊3. 刷Script腳本攻擊三、防范方法 以上給用戶講解了不少關于DDOS攻擊技術的資料，那用戶該如何防范DDOS攻擊，使自己在DDOS攻擊中的損失減至最低呢?首先用戶應明確一個問題，那就是DDOS攻擊是不可能完全杜絕的，只能將攻擊強度減至最低，也不能單單通過某些安全產品就可以防范DDOS攻擊的，用戶需要從多個方面做出防范措施，才能夠最大程度的抵御DDOS攻擊，以下是多年抵御DDOS攻擊的前輩所總結出來的十分有效的措施:1.采用高性能的網絡設備:首先要保證網絡設備

9、不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。2.盡量避免NAT的使用:無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。3.充足的網絡帶寬保證:網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅

10、有10M帶寬的話，無論采取什么措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。4.升級主機服務器硬件:在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是

11、CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。5.把網站做成靜態頁面:大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關于HTML的溢出還沒出現。看看新浪，搜狐，網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數據庫調用腳本還是可以的，此外

12、，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬于惡意行為。6.增強操作系統的TCP/IP棧:Win2000和Win2003作為服務器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數百個，具體怎么開啟，自己去看看微軟的這篇文章吧:也許有的人會問，那我用的是Linux和FreeBSD怎么辦?很簡單，按照這篇文章去做吧:http:/cr.yp.to/syncookies.html7.安裝專業抗DDOS防火墻以上的七條對抗DDOS建議，適合絕大多數擁有自己主機的用戶，但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務器數量并采用DNS輪巡或負載均衡技術，甚至需要購買七層交換機設備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入，總有攻擊者會放棄的時候，那時候你就成