新建DDOS攻防实战演练

新建 DDOS 攻防实战演练用户关于那个话题看起来差不多不再生疏,在当今的网络当中用户能够经常听见此类事件 的发生，比如说二个月前的唐山黑客事件中，所利用的黑客技术确实是DDOS攻击。这种攻 击方法的可怕之处是会造成用户无法对外进行提供服务，时刻一长将会阻碍到网络流量， 造成用户经济上的严峻缺失。造成这种类型攻击的最要紧缘故确实是商业竞争、打击报复 和网络敲诈等多种因素，从实际情形来说DDOS是不可能完全防范的，只是用户必须要从最 大程度上做好防范DDOS攻击的措施，使用户在遭受DDOS攻击后的缺失减至最低。DOS是英文Denial of Service的缩写，意为“拒绝服务攻击”，DDOS是英文Distributed Denial of Service的缩写，意为“分布式拒绝服务攻击”。那么什么要叫做 拒绝服务呢?能够这么明白得，凡是能导致合法用户不能够访问正常网络服务的行为都确实 是拒绝服务攻击。也确实是说拒绝服务攻击的目的专门明确，确实是要阻止合法用户对正 常网络资源的访问，从而达成攻击者不可告人的目的。能够说DOS是DDOS的前身，为了能 够使其具有更高的攻击效率，从而就产生了这种分布式拒绝服务攻击，也确实是用户通常 所说的DDOS攻击。然而DDOS和DOS依旧有所不同,DDOS的攻击策略侧重于通过专门多“僵 尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包， 从而造成网络堵塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施， 攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包埋住，导致合法用户 无法正常访问服务器的网络资源。DDOS的表现形式要紧有两种，一种为流量攻击，要紧是针对网络带宽的攻击，即大量 攻击包导致网络带宽被堵塞，合法网络包被虚假的攻击包埋住而无法到达主机。另一种为 资源耗尽攻击，要紧是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽 或CPU被内核及应用程序占完而造成无法提供网络服务。如何判定网站是否遭受了流量攻击呢?可通过Ping命令来测试，若发觉Ping超时或丢包严峻（假定平常是正常的），则可能遭受了流量攻击，现在若发觉和你的主机接在同一交换机上的服务器也访问不了了，差不多能够确定是遭受了流量攻击。因此，如此测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，成效是一样的。只是有一点能够确信，假如平常Ping你的主机服务器和接在同一交换机上的主机服务器差不多上正常的，突然都Ping不通了或者是严峻丢包，那么假如能够排除网络故障因素的话则确信是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发觉用远程终端连接网站服务器会失败。相关于流量攻击而言，资源耗尽攻击要容易判定一些，假如平常Ping网站主机和访问网站差不多上正常的，发觉突然网站访问专门缓慢或无法访问了，而Ping还能够Ping通，则专门可能遭受了资源耗尽攻击，现在若在服务器上用Netstat -an命令观看到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1 等状态存在，而ESTABLISHED 专门少，则可判定确信是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严峻，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种缘故是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，事实上带宽依旧有的，否则就Ping不通接在同一交换机上的主机了。以下为典型的DDOS攻击示意图:7(DDOS取击演示栓创砂虽忸徑制DDO $玉机图 1其下是利用xdos这款攻击软件模拟DDOS攻击通过:应用平台Windows2000 pro,IIS5.0。实战流程一. 确定目标二. 攻击目标三. 防范方法应用工具xdos:Dos下经典的DDOS攻击工具。实施步骤一、确定目标那个地点为本地搭建的环境，如下图所示:图 2用户能够在cmd下使用ping命令形式获得目标站点ip，从而确定目标，方法如下:1用户点击“开始”-“运行”-输入cmd然后按回车即可打开cmd窗口。2 d下输入ping*.cn即可得到*网站的ip,如下图所示:DOS u-1a.nd Sett Ingsist 1*101*127* B -B-1 SQ t e GcnriFiand line 4 n ,s fec&lC* MJ-acitnenitXXMXMiCKX KXMKKX K3WXXWOCX X 页MX 屹)買 KX?(XKKJ(XMKXM XXMXXKX XMXXHXN Ms and S-et:itng-s ld；nin.【II屮伽 5.00 .2195 J Microsoft Gntiv版权所有t Uind-o-iijs 2d何囱1785-2000岸iM z 127-0-0.1 C127.0.0.1 Lo cel ad.dTESx :逍DOS node :S：N FL-OODPe 严卍 GO-u.ni t i1Thread count = Scdtfinin- 127.0.10.1 80- :rnd a-n r图 3其中 Pinging ant ares.* .cn 218.30.66.65 with 32 bytes of data:218. 30.66.65 即为*网站的 IP。二、攻击目标利用我们的xdos对此网站进行攻击,此软件的使用格式是xdos ip端口 -t次数-s*,那个地点给用户说明下,ip为用户需要攻击的ip,端口为需要攻击的端口,那个地点是攻击Web服务，因此那个地点用80端口，-t后面跟的是攻击次数，一样5-10就能够了，-s为随机伪造攻击ip，完整的命令如下：xdos 127.0.0.1 80 -t 5 - s *显现如下图示则说明攻击正在进行:zl呈 剛圧良盘费-书trpjolL I文闍巳啊憎岛鱼时 收同（越 工Aj3 世訪（申3-总占斗孵创吹祥一严仃电r画习氛卷 http7/L27.O.D.L/bt$冃苗询同注T.k迖占能.用戸迥虫.网贝无法显示谥主试下列魔trt虫氓*戊无加16貳rrjf lT D Q z主更，瑟肓尋抵牠由窗也店电曲蛙播.HTTE迪0 -需1谕伺:肯菲的用戶舞务 l=ilarni I俺金憲等*fiap Eigfin l .camcnfPinging- an tares ,slria.coin-ci 21B.30.6&匕当】wit h 32 bytes of deltasfc： xDocurtents And S e 11 in go Xfl dni n 1st pat op xSocamtenCs iUn known listRe ply f r-onC: D口Ganicnts Unknoun h哂畧匕and Sett ings Adrilri L.t ttciij-p ing 127.0.0,1/fcb.Lost = 1 (25! lossping 1_27,6. 1 /hbsand Set t： imgrsAdnzn Is t r-tor-ping piS-tinte45ns TTL*56 tins=48ns TIL56 tiRe =9mss TTL=56(MwiNNHiy悴归侶 2000 lUcr-slon &. 90.219 1 198E-20B0 Flieposoft CovpR qciat it imfd. outBReplv f ron 21B .3.&6 btcSZRe ply r-nn 21B .3.&fa . bytsSZ 亠 亠 21B.3Qb&-： byteE=32Hicroso F t Uind|版ti所肴Ping 鲁就 1g吾 for 219 .30i64rG& =Pac kets 1 Senit 13 4. Rbcb ived 3 AppFUMjmate i*ound ti*ip tines in millie:Miriirnpi - Y Maximn 口 恋毗鼻 Average = 25ns站点差不多显示连接用户过多禁止访问了，这确实是说明攻击成功了。小提示:现在的DDOS攻击中要紧有以下三种DDOS攻击技术：l.SYN/ACK Flood 攻击2. TCP全连接攻击3. 刷Script脚本攻击三、防范方法以上给用户讲解了许多关于DDOS攻击技术的资料，那用户该如何防范DDOS攻击，使自己在DDOS攻击中的缺失减至最低呢?第一用户应明确一个问题，那确实是DDOS攻击是不可能完全杜绝的，只能将攻击强度减至最低，也不能单单通过某些安全产品就能够防范DDOS攻击的，用户需要从多个方面做出防范措施，才能够最大程度的抵御DDOS攻击，以下是多年抵御DDOS攻击的前辈所总结出来的十分有效的措施：1. 采纳高性能的网络设备:第一要保证网络设备不能成为瓶颈，因此选择路由器、交换 机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再确实是假如和网络 提供商有专门关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是专门有效的。2. 尽量幸免NAT的使用：不管是路由器依旧硬件防护墙设备要尽量幸免采纳网络地址转 换NAT的使用，因为采纳此技术会较大降低网络通信能力，事实上缘故专门简单，因为NAT 需要对地址来回转换，转换过程中需要对网络包的校验和进行运算，因此白费了专门多CPU的时刻，但有些时候必须使用NAT,那就没有好方法了。3. 充足的网络带宽保证:网络带宽直截了当决定了能抗受攻击的能力，假若仅仅有10M带宽的话，不管采取什么措施都专门难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的因此是挂在1000M的主干上了。旦需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽确实是千兆的，若把它接在100M的交换机上，它的实际带宽可不能超过100M，再确实是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商专门可能会在交换机上限制实际带宽为10M，这点一定要搞清晰。4. 升级主机服务器硬件:在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对 抗每秒10万个SYN攻击包，服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD，起关键 作用的要紧是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内 存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的廉价，否则会付出高昂的性能 代价，再确实是网卡一定要选用3COM或In tel等名牌的，若是Real tek的依旧用在自己的PC 上 吧。5. 把网站做成静态页面:大量事实证明，把网站尽可能做成静态页面，不仅能大大提高 抗攻击能力，而且还给黑客入侵带来许多苦恼，至少到现在为止关于HTML的溢出还没显现。 看看新浪，搜狐，网易等门户网站要紧差不多上静态页面，若你非需要动态脚本调用，那 就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，因此，适当放一些不做 数据库调用脚本依旧能够的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问因为体会说明使用代理访问你网站的80%属于恶意行为。6. 增强操作系统的TCP/IP栈:Win2000和Win2003作为服务器操作系统，本身就具备一 定的抗击DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个 SYN攻击包，若没有开启则仅能抵御数百个，具体如何开启，自己去看看微软的这篇文章吧：:/ microsoft /china/technet :/security.chinaitlab/guidance/secmod109.mspx也许有的人会问，那我用的是Linux和FreeBSD如何办?专门简单，按照这篇文章去做吧:/cr.yp.to/syncookies.html7. 安装专业抗DDOS防火墙以上的七条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施 后仍旧不能解决DDOS问题，就有些苦恼了，可能需要更多投资，增加服务器数量并采纳DNS 轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高， 只要投资足够深入，总有攻击者会舍弃的时候，那时候你就成功了!假如用户发觉自己的网站正遭受DDOS攻击，用户第一要做的是尽可能爱护网站的服务 器，要紧是防火墙以外的服务器，因为它最容易遭到攻击。尽可能关闭不必要的服务，减 轻服务器的负担;增加数据包过滤器，限制进出的数据流量。若实在不行，减少服务器可连 接的通道数量，牺牲一些性能来保住服务器。假如DDoS的攻击耗尽了你网站的带宽资源的话，实际上差不多没有什么情况可做了，认栽吧，你的服务器差不多终止服务了