终极防御指南之DDOS攻击－黑客软件－eNet网络学院－中国最权威的电脑教程软件资讯网站

首页 \| 新闻资讯 \| 软件应用 \| 图形图像 \| 网络应用 \| 硬件学堂 \| 程序开发 \| 安全中心 \| 素材下载 \| 作者专区 \| 学院论坛
精选专题 \| 精美壁纸 \| 专家答疑 \| Flash剧场 \| Photoshop \| 名词解释 \| 梦幻桌面 \| PS高手进阶 \| QQ区 \| 图书 \| 黑客教材

Flash教程\| 卡通制作 \| AutoCAD \| 3DMax实例 \| PS视频教程\| 网页制作 \| CorelDRAW\| Firework \| 滤镜与实例 \|	全部视频教程

当前位置：eNet硅谷动力 > 学院频道 > 黑客软件

终极防御指南之DDOS攻击

2004-12-27 14:57 作者：黑客基地来源：eNet论坛

【简介】
由于近期DDOS攻击越来越广泛，本站特邀请我们的名誉技术顾问、网络安全专家孤独剑客先生结合多年抵御DDOS攻击的经验独家撰写此文，文中不仅深入浅出地阐述了分布式拒绝服务攻击DDOS的概念、流行的DDOS攻击手段及判断是否被DDOS攻击的方法，而且还结合实际给出了全面的DDOS实战防御建议，希望此文能帮助网站站长们早日摆脱DDOS攻击的困扰，我们热诚欢迎共同探讨DDOS相关话题。

加入收藏　

设为首页

　　简述：由于近期DDOS攻击越来越广泛，本站特邀请我们的名誉技术顾问、网络安全专家孤独剑客先生结合多年抵御DDOS攻击的经验独家撰写此文，文中不仅深入浅出地阐述了分布式拒绝服务攻击DDOS的概念、流行的DDOS攻击手段及判断是否被DDOS攻击的方法，而且还结合实际给出了全面的DDOS实战防御建议，希望此文能帮助网站站长们早日摆脱DDOS攻击的困扰，我们热诚欢迎共同探讨DDOS相关话题。

　　一、为何要DDOS？ 　　

　　随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。　　

　　二、什么是DDOS？ 　　

　　DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。　　

　　三、被DDOS了吗？ 　　

　　DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。　　

　如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。　
　相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。　　