一、 DDos***原理
DDOS是英文Distributed Denial of Service的縮寫,即“分佈式拒絕服務”,DDoS***原理大致分爲以下三種:
1.通過發送大的數據包堵塞服務器帶寬造成服務器線路癱瘓;
2.通過發送特殊的數據包造成服務器TCP/IP協議模塊耗費CPU內存資源最終癱瘓;
3.通過標準的連接建立起連接後發送特殊的數據包造成服務器運行的網絡服務軟件耗費CPU內存最終癱瘓(比如WEB SERVER、FTP SERVER、 遊戲服務器等)。
二、 DDoS***種類可以分爲以下幾種:
由於肉雞的***可以隨時更新***的數據包和***方式,所以新的***更新非常快這裏我們介紹幾種常見的***的原理和分類
1、SYN變種***
發送僞造源IP的SYN數據包但是數據包不是64字節而是上千字節,這種***會造成一些防火牆處理錯誤導致鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
2、TCP混亂數據包***
發送僞造源IP的 TCP數據包,TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等,會造成一些防火牆處理錯誤導致鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
3、針對UDP協議***
很多聊天室,視頻音頻軟件,都是通過UDP數據包傳輸的,***者針對分析要***的網絡軟件協議,發送和正常數據一樣的數據包,這種***非常難防護,一般防護牆通過攔截***數據包的特徵碼防護,但是這樣會造成正常的數據包也會被攔截,
4、針對WEB Server的多連接***
通過控制大量肉雞同時連接訪問網站,造成網站無法處理癱瘓,這種***和正常訪問網站是一樣的,只是瞬間訪問量增加幾十倍甚至上百倍,有些防火牆可以通過限制每個連接過來的IP連接數來防護,但是這樣會造成正常用戶稍微多打開幾次網站也會被封
5、針對WEB Server的變種***
通過控制大量肉雞同時連接訪問網站,一點連接建立就不斷開,一直髮送發送一些特殊的GET訪問請求造成網站數據庫或者某些頁面耗費大量的CPU,這樣通過 限制每個連接過來的IP連接數進行防護的方法就失效了,因爲每個肉雞可能只建立一個或者只建立少量的連接。這種***非常難防護,後面給大家介紹防火牆的解決方案
6、針對WEB Server的變種***
通過控制大量肉雞同時連接網站端口,但是不發送GET請求而是亂七八糟的字符,大部分防火牆分析***數據包前三個字節是GET字符然後來進行http協議 的分析,這種***,不發送GET請求就可以繞過防火牆到達服務器,一般服務器都是共享帶寬的,帶寬不會超過10M ,所以大量的肉雞***數據包就會把這臺服務器的共享帶寬堵塞造成服務器癱瘓,這種***也非常難防護,因爲如果只簡單的攔截客戶端發送過來沒有GET字符的 數據包,會錯誤的封鎖很多正常的數據包造成正常用戶無法訪問,後面給大家介紹防火牆的解決方案
7、針對遊戲服務器的***
因爲遊戲服務器非常多,這裏介紹最早也是影響最大的傳奇遊戲,傳奇遊戲分爲登陸註冊端口7000,人物選擇端口7100,以及遊戲運行端口 7200,7300,7400等,因爲遊戲自己的協議設計的非常複雜,所以***的種類也花樣倍出,大概有幾十種之多,而且還在不斷的發現新的***種類,這 裏介紹目前最普遍的假人***,假人***是通過肉雞模擬遊戲客戶端進行自動註冊、登陸、建立人物、進入遊戲活動從數據協議層面模擬正常的遊戲玩家,很難從遊戲數據包來分析出哪些是***哪些是正常玩家。
三、DDoS防護基本方法:
1、.關閉不必要的服務
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啓用“剪貼簿查看器”儲存信息並與遠程計算機共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用局域網分佈式鏈接]
6.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
7.Messenger[警報]
8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
9.Network DDE[爲在同一臺計算機或不同計算機上運行的程序提供動態數據交換]
10.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]
11.Remote Desktop Help Session Manager[管理並控制遠程協助]
12.Remote Registry[使遠程計算機用戶修改本地註冊表]
13.Routing and Remote Access[在局域網和廣域往提供路由服務.***理由路由服務刺探註冊信息]
14.Server[支持此計算機通過網絡的文件、打印、和命名管道共享]
15.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網絡]
16.Telnet[允許遠程用戶登錄到此計算機並運行程序]
17.Terminal Services[允許用戶以交互方式連接到遠程計算機]
18.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
2、數據包的連接數從缺省值128或512修改爲2048或更大,以加長每次處理數據包隊列的長度,以緩解和消化更多數據包的連接;
3、將連接超時時間設置得較短,以保證正常數據包的連接,屏蔽非法***包
4、及時更新系統、安裝補丁
5、用負載均衡技術,就是把應用業務分佈到幾臺不同的服務器上
6、流量牽引技術,大流量***最理想防禦方法,但一般是專業硬件防火牆,價格昂貴。
四、 判斷網站被DDoS了的表現形式
1、被***主機上有大量等待的TCP連接,用netstat -an命令可看到
2、ping 服務器出現丟包嚴重,或無法ping通.
3、CPU佔用率很高,有時候甚至達到100%,嚴重時會出現藍屏死機死機(這種是CC***最常見的現象).
4、連接3389時,晌應很慢或提示計算機太忙,無法接受新連接.
5、網絡中充斥着大量的無用的數據包,源地址爲假.
五、受到DDOS***的應急處理
1、如有富餘的IP資源,可以更換一個新的IP地址,將網站域名指向該新IP;
2、停用80端口,使用如81或其它端口提供HTTP服務,將網站域名指向IP:81
六、防禦DDOS的建議
1、採用高性能的網絡設備
2、充足的網絡帶寬保證
3、安裝專業抗DDOS防火牆
如:冰盾防火牆、金盾防火牆、黑洞防火牆、傲盾防火牆
七、實戰配置冰盾防火牆防DDOS與CC***
測試環境:WEB服務器一臺,開放80端口,IP地址:192.168.2.250,安裝冰盾防火牆最新版和DDOS***監控器。DDOS服務器一臺並且參於***,IP地址:192.168.2.252,DDOS壓力測試軟件爲縐式網絡DDOS壓力測試2009。肉雞一臺,IP地址:192.168.2.249。
測試一、UDP***:
兩臺肉雞在線
沒有啓用防火牆效果如下,流量達到36M,兩臺肉雞產生的流量
啓用防火牆,設定UDP包最大爲512字節
流量就很小,幾乎沒有。
測試二、“TCP併發連接”***
沒有啓用防火牆效果如下,流量達到2.2M,兩臺肉雞產生的流量,並且有大量的TCP連接
啓用防火牆,並且設定相應規則
日誌顯示IP地址被過屏蔽,TCP連接也沒有用
測試三、ICMP***:
沒有啓用防火牆效果如下,流量達到5.8M,兩臺肉雞產生的流量,並且有大量的ICMP包
測試四、SYN***
啓用防火牆效果如下,收有大量SYN網絡包,沒有流量。
關閉防火牆效果如下,流量一下子就到了近3M,只一臺肉雞***。
測試五、CC***
沒用啓用防火牆,收到大量的SYN和ACK包,兩臺肉雞流量達近12M,大量的TCP連接
啓用防火牆後,恢復正常
