DDoS的攻击原理与防御方法_服务器教程_编程技术
您的位置： &
& DDoS的攻击原理与防御方法
　　DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。
　　不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。
　　DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。
　　不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。
　　DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这些回应而瘫痪。
　　SYN:(Synchronize sequence numbers)用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。即，SYN和ACK来区分Connection Request和Connection Accepted。
　　RST:(Reset the connection)用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。
　　ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。
　　TCP三次握手:
　　假设我们要准备建立连接，服务器正处于正常的接听状态。
　　第一步:我们也就是客户端发送一个带SYN位的请求，向服务器表示需要连接，假设请求包的序列号为10，那么则为:SYN=10，ACK=0，然后等待服务器的回应。
　　第二步:服务器接收到这样的请求包后，查看是否在接听的是指定的端口，如果不是就发送RST=1回应，拒绝建立连接。如果接收请求包，那么服务器发送确认回应，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是:SYN=100，ACK=11，用这样的数据回应给我们。向我们表示，服务器连接已经准备好了，等待我们的确认。这时我们接收到回应后，分析得到的信息，准备发送确认连接信号到服务器。
　　第三步:我们发送确认建立连接的信息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即:SYN=11，ACK=101。
　　这样我们的连接就建立起来了。
　　DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击，SYN-Flood也就是SYN洪水攻击。SYN-Flood不会完成TCP三次握手的第三步，也就是不发送确认连接的信息给服务器。这样，服务器无法完成第三次握手，但服务器不会立即放弃，服务器会不停的重试并等待一定的时间后放弃这个未完成的连接，这段时间叫做SYN timeout，这段时间大约30秒-2分钟左右。若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什么大不了的问题，但是若有人用特殊的软件大量模拟这种情况，那后果就可想而知了。一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽，这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。这样这个服务器就无法工作了，这种攻击就叫做:SYN-Flood攻击。
　　到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击，我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:
　　1。确保服务器的系统文件是最新的版本，并及时更新系统补丁。
　　2。关闭不必要的服务。
　　3。限制同时打开的SYN半连接数目。
　　4。缩短SYN半连接的time out 时间。
　　5。正确设置防火墙
　　禁止对主机的非开放服务的访问
　　限制特定IP地址的访问
　　启用防火墙的防DDoS的属性
　　严格限制对外开放的服务器的向外访问
　　运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。
　　6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可 　 能遭到了攻击。
　　7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客， 　 无疑是给了对方入侵的机会。
　　8。路由器
　　以Cisco路由器为例
　　Cisco Express Forwarding(CEF)
　　使用 unicast reverse-path
　　访问控制列表(ACL)过滤
　　设置SYN数据包流量速率
　　升级版本过低的ISO
　　为路由器建立log server
　　能够了解DDoS攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS攻击，知己知彼，百战不殆嘛。
( 19:24:00)
( 18:22:00)
( 18:17:00)
( 18:57:00)
相关排行总榜什么叫DDOS攻击？有什么办法防御_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
48页免费8页免费54页免费2页¥1.0013页免费 11页免费4页免费3页免费1页免费4页免费
什么叫DDOS攻击？有什么办法防御|
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
你可能喜欢& DDOS攻击的高级防御策略
DDOS攻击的高级防御策略
主营:服务器租用、服务器托管、企业邮局、网站建设、网站运营策划
DDOS攻击的高级防御策略
【危害攻击小解释】DDOS即分布式拒绝服务攻击，这是当今流行的网络攻击方式之一，利用合法的服务请求来占用过多的资源或带宽，从而使服务器不能对正常、合法的用户提供服务，导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击，这也就说明拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达到其攻击目的。
【防御攻击的措施就是租用硬防服务器】
1. 机房防火墙过滤带宽50Gbps,服务器被攻击防火墙会自动响应，所有端口维持正常。10G以下攻击速度不会放缓，受攻击，不没收机器，不封服务器端口。
2.每个服务器带有29个独立IP, 且流量不限，是全美最大的不限流量机房。
3.该机房免费提供全正版中文windows 2003 标准版操作系统，重启和重做系统完全免费。
联系人：朱经理& QQ：
业务手机：座机
公司名称：厦门凌众科技有限公司
地址：厦门软件园二期望海路63号701E
以上是DDOS攻击的高级防御策略的详细信息，如果您对供应ZX6350D钻铣床的价格、厂家、型号、图片有什么疑问，请
服务器、工作站栏目包括所有供应信息的汇总
价格： 面议
价格：￥ 215.00
价格： 面议
价格： 面议
价格：￥ 24.00
价格： 面议
价格： 面议
价格： 面议
价格： 面议
价格： 面议
DDOS攻击的高级防御策略产品相关分类
做菠菜，做棋牌，想用速度快的服务器，免备案的...
一次次让网站崛起，在逆境中挣扎着站起来，它依...
15寸宽温宽压工业电脑15寸宽温宽压工业电脑处理...
￥ 4300.00
它的网速世界有名它的防御遍布四方 它的稳定永不...
尽管再多的免备案服务器出现，但是论到大陆的速...
赞助商连接
客集齐网郑重提醒：过低的价格和夸张的描述有可能是虚假信息，请买家谨慎对待，谨防欺诈。如发现可疑欺诈请
也不满意？产品主动找你！==服务器安全策略---分布式ddos攻击原理及防御===
&&&==服务器安全策略---分布式ddos攻击原理及防御===
解答&域名主机&网站建设&服务器租用托管&电脑网络&&方面问题&qq
&&&分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。本文从概念开始详细介绍了这种攻击方式，着重描述了黑客是如
何组织并发起的DDoS攻击，结合其中的Syn&Flood实例，您可以对DDoS攻击有一个&更形象的了解。最后作者结合自己的经验与国内网络安全的
现况探讨了一些防御DDoS的实际手段。&
本文从概念开始详细介绍了这种攻击方式，着重描述了黑客是如何组织并发起的DDoS攻击……
　　DDoS攻击概念
　　DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。
　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小
或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时
也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送
3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。&
　　这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加
大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，
以比从前更大的规模来进攻受害者。
　　高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会
优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以
达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。&
　　被DDoS攻击时的现象&
&&&&国家顶级机房，为你的网站选择安全稳定的家，cn域名1元抢注，150M双线超强空间100元，1200M双线空间200IIS468元，双线接入千M硬件
防火墙群集，双ip智能解析系统，买空间送域名邮箱网站。不满意31天无条件退款，欢迎咨询qq
被攻击主机上有大量等待的TCP连接&
网络中充斥着大量的无用的数据包，源地址为假&
制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯&
利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求&
严重时会造成系统死机&
　　攻击运行原理
&如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机
与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的
攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行
并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们
进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。&
　　有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之
一了。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用
的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1.&考虑如何留好后门（我以
后还要回来的哦）！2.&如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉
，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志
项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。
　　但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这
就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会
被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理
一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。&
　　黑客是如何组织一次DDoS攻击的？
　　这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：
&&&&国家顶级机房，为你的网站选择安全稳定的家，cn域名1元抢注，150M双线超强空间100元，1200M双线空间200IIS468元，双线接入千M硬件
防火墙群集，双ip智能解析系统，买空间送域名邮箱网站。不满意31天无条件退款，欢迎咨询qq
　　1.&搜集了解目标的情况&
　　下列情况是黑客非常关心的情报：&
被攻击目标主机数目、地址情况&
目标主机的配置、性能&
目标的带宽&
　　对于DDoS攻击者来说，攻击互联网上的某个站点，如，有一个重点就是确定到底有多少台主机在支持这个站点，一个
大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供服务
　　66.218.71.87
　　66.218.71.88
　　66.218.71.89
　　66.218.71.80
　　66.218.71.81
　　66.218.71.83
　　66.218.71.84
　　66.218.71.86&
　　如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人
访问不到的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者
使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更
复杂了，他面对的任务可能是让几十台主机的服务都不正常。&
　　所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件
下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少
台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。
　但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑
客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。&
　　2.&占领傀儡机
　　黑客最感兴趣的是有下列情况的主机：&
链路状态好的主机&
性能好的主机&
安全管理水平差的主机&
　　这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取
得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条
件，下面说一下他是如何攻击并占领它们的。&
　　首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、
Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴
趣的话网上有很多关于这些内容的文章。
　　总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去
，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。&
　　3.&实际攻击
　　经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里
的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~&，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会
响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能
力的速度进行攻击，他们不会"怜香惜玉"。
　　老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在
能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。&
　　DDoS攻击实例&-&SYN&Flood攻击
　　SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效
果最好，应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。
　　Syn&Flood原理&-&三次握手
　　Syn&Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn&Flood存在的基础。
　　TCP连接的三次握手&
图二&TCP三次握手&
　　如图二，在第一步中，客户端向服务端提出连接请求。这时TCP&SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在
TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP
分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过
　　Syn&Flood攻击者不会完成三次握手&
　　　　&图三&Syn&Flood恶意地不完成三次握手&
　　假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握
手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们
称为SYN&Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么
很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计
的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务
器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求
而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服
务器端受到了SYN&Flood攻击（SYN洪水攻击）。　　&
　　下面是我在实验室中模拟的一次Syn&Flood攻击的实际过程
　　这一个局域网环境，只有一台攻击机（PIII667/128/mandrake），被攻击的是一台Solaris&8.0&(spark)的主机，网络设备是Cisco的百兆
交换机。这是在攻击并未进行之前，在Solaris上进行snoop的记录，snoop与tcpdump等网络监听工具一样，也是一个很好的网络抓包与分析的
工具。可以看到攻击之前，目标主机上接到的基本上都是一些普通的网络包。&
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
　　　　&?&-&&(multicast)&ETHER&Type=0000&(LLC/802.3),&size&=&52&bytes
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
192.168.0.66&-&&192.168.0.255&NBT&Datagram&Service&Type=17&Source=GU[0]
192.168.0.210&-&&192.168.0.255&NBT&Datagram&Service&Type=17&Source=ROOTDC[20]
192.168.0.247&-&&192.168.0.255&NBT&Datagram&Service&Type=17&Source=TSC[0]
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
192.168.0.200&-&&(broadcast)&ARP&C&Who&is&192.168.0.102,&192.168.0.102&?
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
192.168.0.66&-&&192.168.0.255&NBT&Datagram&Service&Type=17&Source=GU[0]
192.168.0.66&-&&192.168.0.255&NBT&Datagram&Service&Type=17&Source=GU[0]
192.168.0.210&-&&192.168.0.255&NBT&Datagram&Service&Type=17&Source=ROOTDC[20]
　　　　&?&-&&(multicast)&ETHER&Type=0000&(LLC/802.3),&size&=&52&bytes
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
　　　　&?&-&&(broadcast)&ETHER&Type=886F&(Unknown),&size&=&1510&bytes
…&　　　　&&
　　接着，攻击机开始发包，DDoS开始了…，突然间sun主机上的snoop窗口开始飞速地翻屏，显示出接到数量巨大的Syn请求。这时的屏幕就好
象是时速300公里的列车上的一扇车窗。这是在Syn&Flood攻击时的snoop输出结果：&
127.0.0.178&-&&lab183.lab.net&AUTH&C&port=1352&
127.0.0.178&-&&lab183.lab.net&TCP&D=114&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=115&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&UUCP-PATH&C&port=1352&
127.0.0.178&-&&lab183.lab.net&TCP&D=118&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&NNTP&C&port=1352&
127.0.0.178&-&&lab183.lab.net&TCP&D=121&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=122&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=124&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=125&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=126&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=128&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=130&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=131&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=133&S=1352&Syn&Seq=&Len=0&Win=65535
127.0.0.178&-&&lab183.lab.net&TCP&D=135&S=1352&Syn&Seq=&Len=0&Win=65535&
这时候内容完全不同了，再也收不到刚才那些正常的网络包，只有DDoS包。大家注意一下，这里所有的Syn&Flood攻击包的源地址都是伪造的，
给追查工作带来很大困难。这时在被攻击主机上积累了多少Syn的半连接呢？我们用netstat来看一下：&
　　#&netstat&-an&|&grep&SYN&
192.168.0.183.9　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.13　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.19　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.21　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.22　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.23　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.25　　&127.0.0.79.1801　　　　&0　　&0&24656　　&0&SYN_RCVD
192.168.0.183.37　　&127.0.0.79.1801　　&0&0&24656&0&SYN_RCVD
192.168.0.183.53&127.0.0.79.1801&0&0&24656&0&SYN_RCVD
　　其中SYN_RCVD表示当前未完成的TCP&SYN队列，统计一下：
　　#&netstat&-an&|&grep&SYN&|&wc&-l
　　#&netstat&-an&|&grep&SYN&|&wc&-l
　　#&netstat&-an&|&grep&SYN&|&wc&-l
　　共有五千多个Syn的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法ping通。
　　这是在攻击发起后仅仅70秒钟左右时的情况。
　　DDoS的防范
　　到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能
完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？
　　不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS
做斗争，不同的角色有不同的任务。我们以下面几种角色为例：&
企业网管理员&
ISP、ICP管理员&
骨干网络运营商&
　　企业网管理员
　　网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地
成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。
　　主机上的设置
　　几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：&
关闭不必要的服务&
限制同时打开的Syn半连接数目&
缩短Syn半连接的time&out&时间&
及时更新系统补丁网络设备上的设置
　　企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的
效率牺牲为代价的，对你来说是否值得。&
　　１.防火墙&
禁止对主机的非开放服务的访问&
限制同时打开的SYN最大连接数&
限制特定IP地址的访问&
启用防火墙的防DDoS的属性&
严格限制对外开放的服务器的向外访问&
　　第五项主要是防止自己的服务器被当做工具去害人。
　　２.路由器&
以Cisco路由器为例&
Cisco&Express&Forwarding（CEF）&
使用&unicast&reverse-path&
访问控制列表（ACL）过滤&
设置SYN数据包流量速率&
升级版本过低的ISO&
为路由器建立log&server&
　　其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。路由器是网络的核心设备，与大
家分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup&config和running&config，修改的时候改变的是
running&config，可以让这个配置先跑一段时间（三五天的就随意啦），觉得可行后再保存配置到startup&config；而如果不满意想恢复原来
的配置，用copy&start&run就行了。
　　ISP&/&ICP管理员
　　ISP&/&ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管
理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为
黑客最喜欢的"肉鸡"，因为不管这台机器黑客怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽
的-简直就是为DDoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户
与自己的托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又
是买方市场，ISP还不敢得罪客户，怎么办？咱们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机
更安全一些，被别人告状的可能性也小一些。
　　骨干网络运营商
　　他们提供了互联网存在的物理基础。如果骨干网络运营商可以很……
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}