DoS与DDoS小结

DoS即Denial of Service拒绝服务攻击，DDoS即Distributed Denial of Service分布式拒绝服务攻击。介绍就不多说了，直接上笔记。

DoS种类：

1、Smurf攻击：

结合了IP欺骗和ICMP回复方法，攻击者冒充受害主机IP向受害者主机所在的网络广播ICMP应答请求（ping）数据包，导致该网络所有主机都应答从而拒绝服务攻击了受害主机。

2、Land攻击：

使用相同的源、目的主机及端口发送数据包到某台机器，使存在漏洞的主机崩溃；发送源、目的地址为同一服务器地址的SYN包给服务器，其会向自己发送SYN/ACK又发送ACK，从而创建一个空连接，直至超时掉进而消耗掉资源。

3、Teardrop攻击：

基于UDP的病态分片数据包的攻击，向受害者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时会崩溃。

4、Ping of Death攻击：

发送大于65535字节的IP数据包给受害主机，导致内存溢出从而崩溃。

5、SYN Flood攻击：

利用TCP三次握手进行，攻击者使用无效IP向受害主机发送SYN包，受害主机回复SYN/ACK包给无效的IP，故只进行到三次握手的第二步而收不到ACK包，从而受害主机必须等待连接超时而消耗资源。

DRDoS：

即Distributed Reflect Denial of Service分布式反射拒绝服务攻击，是指利用路由器、服务器等设施对请求产生应答，从而反射攻击流量并隐藏攻击来源的一种分布式拒绝服务攻击技术。与Dos、DDoS不同，方式是发送大量带有被害者IP的数据包给攻击主机，攻击主机对IP源做大量回应。与DDoS不同在于不需要大量的“肉机”；攻击原理与Smurf攻击类似，但DRDoS可在广域网进行而Smurf攻击只能在局域网进行。原理为伪造源地址的SYN包发送给其他主机，这些主机会向源IP发SYN/ACK包从而导致拒绝服务。

僵尸网络：

僵尸网络是那些受感染计算机所组成的网络，攻击者可以远程控制每一台机器来执行恶意指令。

主要特点：受感染计算机组成的网络、能远程调度、用来进行恶意活动

知名的僵尸网络：ZeroAccess（使用rootkit隐藏，主要为点击欺诈）、Zeus（主要用于监控受害者机器，进行键盘记录等）、Pushdo/Cutwail（垃圾邮件僵尸网络）、Mariposa（蝴蝶僵尸网络，主要用于窃取信用卡和其他有价值的数据以及DDoS等）、Waledac（主要发送垃圾邮件）

命令与控制信道C&C：C&C是僵尸主控机对僵尸网络的接口，是僵尸网络最为关键的组件，一旦没有了C&C，僵尸网络将不再存活。

僵尸网络的组建：

节点：PC、服务器、移动设备

控制：IRC型（集中式C&C）、HTTP型（集中式C&C）、P2P型（分散式C&C）

僵尸网络的危害：DDoS攻击、发送垃圾邮件、点击欺诈、窃取敏感信息、抢占系统资源

僵尸网络的保护机制：关键在于保护C&C，可通过防弹主机、动态DNS、Fast-Fluxing技术、域名变化地址等。

DDoS攻击方式：

攻击网络带宽资源：

直接攻击：

ICMP/IGMP洪水攻击、UDP洪水攻击

反射和放大攻击：

ACK反射攻击、DNS放大攻击、NTP放大攻击（N