新建DDOS攻防實(shí)戰(zhàn)演練

簡(jiǎn)述：DDOS（分布式拒絕效勞）攻防實(shí)戰(zhàn)演練用戶對(duì)于這個(gè)話題似乎已經(jīng)不再陌生，在當(dāng)今的網(wǎng)絡(luò)當(dāng)中用戶能夠經(jīng)常聽見此類事件的發(fā)

生，比方說二個(gè)月前的唐山黑客事件中，所利用的黑客技術(shù)就是DDOS攻擊。這種攻擊方法

的可怕之處是會(huì)造成用戶無法對(duì)外進(jìn)行提供效勞，時(shí)間一長(zhǎng)將會(huì)影響到網(wǎng)絡(luò)流量，造成用

戶經(jīng)濟(jì)上的嚴(yán)重?fù)p失。造成這種類型攻擊的最主要原因就是商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲

詐等多種因素，從實(shí)際情況來說DDOS是不可能完全防范的，不過用戶必須要從最大程度上做好防范DDOS攻擊的措施，使用戶在遭受DDOS攻擊后的損失減至最低。DOS是英文DenialofService的縮寫，意為“拒絕效勞攻擊〃，DDOS是英文DistributedDenialofService的縮寫，意為“分布式拒絕效勞攻擊"。那么什么要叫做拒絕效勞呢?可以這么理解，但凡能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)效勞的行為都算是拒絕效勞攻擊。也就是說拒絕效勞攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的?？梢哉fDOS是DDOS的前身，為了能夠使其具有更高的攻擊效率，從而就產(chǎn)生了這種分布式拒絕效勞攻擊，也就是用戶通常所說的DDOS攻擊。但是DDOS和DOS還是有所不同，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)〃（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或效勞器資源耗盡而導(dǎo)致拒絕效勞，分布式拒絕效勞攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問效勞器的網(wǎng)絡(luò)資源。DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)。另一種為資源耗盡攻擊，主要是針對(duì)效勞器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)效勞。如何判斷網(wǎng)站是否遭受了流量攻擊呢?可通過Ping命令來測(cè)試，假設(shè)發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重（假定平時(shí)是正常的），那么可能遭受了流量攻擊，此時(shí)假設(shè)發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的效勞器也訪問不了了，根本可以確定是遭受了流量攻擊。當(dāng)然，這樣測(cè)試的前提是你到效勞器主機(jī)之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否那么可采取Telnet主機(jī)效勞器的網(wǎng)絡(luò)效勞端口來測(cè)試，效果是一樣的。不過有一點(diǎn)可以肯定，假設(shè)平時(shí)Ping你的主機(jī)效勞器和接在同一交換機(jī)上的主機(jī)效勞器都是正常的，突然都Ping不通了或者是嚴(yán)重丟包，那么假設(shè)可以排除網(wǎng)絡(luò)故障因素的話那么肯定是遭受了流量攻擊，再一個(gè)流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會(huì)發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站效勞器會(huì)失敗。相對(duì)于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假設(shè)平時(shí)Ping網(wǎng)站主機(jī)和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，那么很可能遭受了資源耗盡攻擊，此時(shí)假設(shè)在效勞器上用Netstat-an命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，那么可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機(jī)Ping不通或者是丟包嚴(yán)重，而Ping與自己的主機(jī)在同一交換機(jī)上的效勞器那么正常，造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率到達(dá)100%無法回應(yīng)Ping命令，其實(shí)帶寬還是有的，否那么就Ping不通接在同一交換機(jī)上的主機(jī)了。以下為典型的DDOS攻擊示意圖:DDOS攻擊演示控糊此注VI '控EDO建用L在SWDWDDOS攻擊演示控糊此注VI '控EDO建用L在SWDW王1/1姓犧財(cái)X5王機(jī)M質(zhì)閔我一花管頗融擊且圍“或句4.長(zhǎng)痕斐盅買宥害我理的念01L行母用窟龜弱進(jìn)行蘊(yùn)在肉珥圖1其下是利用xdos這款攻擊軟件模擬DDOS攻擊經(jīng)過:?應(yīng)用平臺(tái)?Windows2000pro,IIS5.0。?實(shí)戰(zhàn)流程??應(yīng)用工具?

xdos:Dos下經(jīng)典的DDOS攻擊工具。?實(shí)施步驟?一、確定目標(biāo)這里為本地搭建的環(huán)境，如下列圖所示:圖2用戶可以在cmd下使用ping命令形式獲得目標(biāo)站點(diǎn)ip，從而確定目標(biāo)，方法如下:用戶點(diǎn)擊“開始〃-〉“運(yùn)行〃-〉輸入cmd然后按回車即可翻開cmd窗口。ing****即可得到****ing****即可得到****網(wǎng)站的ip，如下列圖所示:C'ixD^citsnients-andE-etitmcrs\lndniin.127.0.0.1C127.0_0.1JS￥NFLGODt:1ftddTESS；node-co-u.niticamntC'ixD^citsnients-andE-etitmcrs\lndniin.127.0.0.1C127.0_0.1JS￥NFLGODt:1ftddTESS；node-co-u.niticamnt：:?XDocunents孔ndSettIngs^Adindnist lE~|>xda￡>D0￡yl-cai^nandline上CXMMXMKXMMX?(JCXKXXMKXMKXMXXKXXMXXHXXM<steni32\cmilP版權(quán)所有Uir>d.o-U￡29SV1[Uei^￡ionS.HI3+2195)l??5-2000MicrosuftGorp_：canning-12?.&a&.1S0圖3其中Pingingantares.****[218.30.66.65]with32bytesofdata:218.30.66.65即為****網(wǎng)站的IP。二、攻擊目標(biāo)利用我們的xdos對(duì)此網(wǎng)站進(jìn)行攻擊,此軟件的使用格式是xdosip端口-t次數(shù)-s

*,這里給用戶解釋下,ip為用戶需要攻擊的ip,端口為需要攻擊的端口，這里是攻擊Web效

勞，因此這里用80端口,-t后面跟的是攻擊次數(shù)，一般5-10就可以了,普為隨機(jī)偽造攻擊

ip，完整的命令如下：xdos127.0.0.180-t5-s*出現(xiàn)如下列圖示那么說明攻擊正在進(jìn)行:稍后用戶再看看被攻擊的網(wǎng)站，如下列圖所示:站點(diǎn)已經(jīng)顯示連接用戶過多禁止訪問了，這就是說明攻擊成功了。小提示:現(xiàn)在的DDOS攻擊中主要有以下三種DDOS攻擊技術(shù)：TCP全連接攻擊刷Script腳本攻擊三、防范方法以上給用戶講解了不少關(guān)于DDOS攻擊技術(shù)的資料，那用戶該如何防范DDOS攻擊，使自己在DDOS攻擊中的損失減至最低呢?首先用戶應(yīng)明確一個(gè)問題，那就是DDOS攻擊是不可能完全杜絕的，只能將攻擊強(qiáng)度減至最低，也不能單單通過某些平安產(chǎn)品就可以防范DDOS攻擊的，用戶需要從多個(gè)方面做出防范措施，才能夠最大程度的抵御DDOS攻擊，以下是多年抵御DDOS攻擊的前輩所總結(jié)出來的十分有效的措施：采用高性能的網(wǎng)絡(luò)設(shè)備:首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假設(shè)和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對(duì)抗某些種類的DDOS攻擊是非常有效的。盡量防止NAT的使用：無論是路由器還是硬件防護(hù)墻設(shè)備要盡量防止采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡(jiǎn)單，因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒有好方法了。充足的網(wǎng)絡(luò)帶寬保證:網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假假設(shè)僅僅有10M帶寬的話，無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，假設(shè)把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)效勞商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。升級(jí)主機(jī)效勞器硬件:在有網(wǎng)絡(luò)帶寬保證的前提下，請(qǐng)盡量提升硬件配置，要有效對(duì)抗每秒10萬個(gè)SYN攻擊包，效勞器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，假設(shè)有志強(qiáng)雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價(jià)格不貴量還足的廉價(jià)，否那么會(huì)付出高昂的性能代價(jià)，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，假設(shè)是Realtek的還是用在自己的PC上吧。把網(wǎng)站做成靜態(tài)頁面:大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。看看新浪，搜狐，網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，假設(shè)你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主效勞器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因?yàn)榻?jīng)驗(yàn)說明使用代理訪問你網(wǎng)站的80%屬于惡意行為。增強(qiáng)操作系統(tǒng)的TCP/IP棧:Win2000和Win2003作為效勞器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，假設(shè)開啟的話可抵擋約10000個(gè)SYN攻擊包，假設(shè)沒有開啟那么僅能抵御數(shù)百個(gè)，具體怎么開啟，自己去看看微軟的這篇文章吧：也許有的人會(huì)問，那我用的是Linux和FreeBSD怎么辦?很簡(jiǎn)單，按照這篇文章去做吧:以上的七條對(duì)抗DDOS建議，適合絕大多數(shù)擁有自己主機(jī)的用戶，但假設(shè)采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加效勞器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)，甚至需要購置七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投