DDoS服务攻击原理及防范(私人接单黑客)

　　分布式拒绝服务(DDoS)是黑客经常使用且难以防范的攻击方式。本文从概念上详细介绍了这种攻击方式，重点介绍黑客是如何组织发动DDoS攻击的。结合Syn Flood实例，可以对DDoS攻击有更形象的认识。最后，作者结合自身经验和国内网络安全现状，讨论了防御DDoS的一些实用手段。

　　1 DDoS攻击概念

　　DoS攻击有很多种。最基本的DoS攻击就是利用合理的服务请求占用过多的服务资源，使合法用户得不到服务响应。

　　DDoS攻击方法是一种基于传统DoS攻击的攻击方法。单DoS攻击一般采用一对一的方式。当目标CPU速度慢，内存小或者网络带宽小，其他性能指标不高的情况下，其效果是明显的。随着计算机和网络技术的发展，计算机的处理能力在快速提升，内存大大增加，还有千兆网络，使得DoS攻击的难度增加——目标对恶意攻击包的“消化能力”加强了很多，比如你的攻击软件每秒可以发送3000个攻击包，而我的主机和网络带宽每秒可以处理10000个攻击包，这样攻击就没有效果了。

　　这时，分布式拒绝服务攻击(DDoS)应运而生。如果你了解DoS攻击，它的原理很简单。如果计算机和网络的处理能力提高了10倍，用一架攻击机攻击已经不行了，那么攻击者用10架攻击机同时攻击怎么办?100台怎么样?DDoS就是用更多的傀儡机，比以前更大规模的攻击受害者。

　　广泛连接的高速网络在给大家带来便利的同时，也为DDoS攻击创造了极其有利的条件。在低速网络时代，黑客占据傀儡机进行攻击时，总是优先选择离目标网络近的机器，因为通过路由器的跳数少，效果好。目前，电信骨干节点之间的连接都是G级的，大城市之间的连接甚至可以达到2.5G，这使得攻击可以从更远的地方或其他城市发起，攻击者的傀儡机位置可以分布在更广的范围内，选择起来更加灵活。

　　2 被DDoS攻击时的现象

　　受攻击的主机上有许多TCP连接在等待。

　　网络上充斥着带有虚假源地址的无用数据包。

　　创建高流量无用数据，造成网络拥塞，使受害主机无法正常与外界通信。

　　利用受害主机提供的服务或传输协议中的缺陷，受害主机高速重复发出特定的服务请求，使得受害主机无法及时处理所有正常请求。

　　严重的话，系统会崩溃。

　　3 攻击的操作原理

　　如图1所示，一个比较完善的DDoS攻击系统分为四个部分。我们先来看最重要的部分2和3:分别用于控制和实际发动攻击。请注意控制机和攻击机的区别。对于第4部分中的受害者，DDoS的实际攻击包是从第3部分中的攻击傀儡机发出的，第2部分中的控制机只是发出命令而不参与实际攻击。黑客对第二部和第三部中的电脑拥有控制权或部分控制权，并将相应的DDoS程序上传到这些平台。这些程序像正常程序一样运行，等待来自黑客的指令。通常它也会用各种手段来隐藏自己。在平时，这些傀儡机并没有什么异常，只不过一旦黑客连接到它们身上进行控制，发出指令，攻击的傀儡机就会变成加害者进行攻击。

　　可能有朋友会问“为什么黑客不直接控制攻击傀儡机，而是从控制傀儡机切换过来?”。这也是DDoS攻击难以追踪的原因之一。作为一个攻击者，我肯定是不希望被抓的(小时候向别人鸡笼扔石头的时候，我也知道我会第一时间逃跑，呵呵)，而且攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。高等级攻击者占领一台机器后，首先会做两件事:1。考虑怎么走后门(我一会回来)!2.如何清理日志?这是为了擦掉脚印，不让别人发现你在做什么。不专业的黑客不管3721都会把日志全部删除，但这种情况下网管发现日志没了就知道有人做了坏事，最多从日志里查不出是谁干的。相反，真正的专家会选择删除自己的日志项，让人看不到异常情况。这样木偶机就可以用很长时间了。

　　然而，在第3部分中清理攻击傀儡机上的日志确实是一个巨大的工程。即使有好的日志清理工具的帮助，黑客对于这个任务来说也是很头疼的。这导致有些攻击机不是很干净，通过上面的线索找到了控制它的上级计算机。如果上级计算机是黑客自己的机器，那么他就会被发现。但如果这是一个控制的傀儡机，黑客本身还是安全的。傀儡控制者的数量相对较少。一般一个人可以控制几十架攻击机。黑客清除一台电脑的日志就容易多了，所以从控制器找到黑客的可能性就大大降低了。