DDoS近年來廣泛被采用并有泛濫的趨勢。DDOS攻擊中,入侵者利用成百上千個被控制的節(jié)點向受害目標進行大規(guī)模的協(xié)同攻擊,像在淹沒受害的主機或網(wǎng)絡(luò)。由于入侵來自很多節(jié)點,使得被入侵方的受害程度更加嚴重。同時這種入侵的范圍更廣,也更難于發(fā)現(xiàn)。
DDOS攻擊系統(tǒng)基于服務(wù)器/客戶機體系。在典型的DDOS攻擊系統(tǒng)中,一個入侵者往往控制一個或幾個主控端,再由其控制大量分布的代理端,這些代理端直接向受害節(jié)點泛洪數(shù)據(jù)包或?qū)嵤┢渌鹍os入侵。
在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發(fā)送syn包(syn=j)到服務(wù)器,并進入SYN_SEND狀態(tài),等待服務(wù)器確認;
第二次握手:服務(wù)器收到syn包,必須確認客戶的SYN(ack=j+1),同時自己也發(fā)送一個SYN包(syn=k),即SYN+ACK包,此時服務(wù)器進入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認包ACK(ack=k+1),此包發(fā)送完畢,客戶端和服務(wù)器進入ESTABLISHED狀態(tài),完成三次握手。
完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù)。DDoS攻擊是利用TCP協(xié)議三次握手的缺陷進行的,當黑客要進行DDoS攻擊時,他會操縱很多僵尸主機向被攻擊的服務(wù)器發(fā)送SYN數(shù)據(jù)包,當服務(wù)器回復ACK確認包后,僵尸主機不再回應(yīng),這樣服務(wù)器就會保持這個半連接的存在進行等待。每一個這樣的半連接都會耗費服務(wù)器的資源,如果有數(shù)量極大的半連接,服務(wù)器就會停止正常工作,
DDOS攻擊的流程如下
第一步,探測掃描大量主機以尋找可入侵主機目標。
第二步,入侵有安全漏洞的主機并獲取控制權(quán),比如說RPC服務(wù)中rpc.statd、rpc.cmsd等漏洞。
第三步,在每臺被侵入的主機中安裝入侵成成。
第四步,利用侵入的主機繼續(xù)進行掃描和入侵。
第五步,利用入侵的主機攻擊目標。
總之,DDOS攻擊并不難,但防御ddos攻擊也不難,徹底消除難。
