DoS,DDoS基础

1.DoS（DenialOfService）：DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃。

2.DDoS（DistrubutedDenialOfService）：攻击者简单利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求。

二．常见攻击类型分析

1.SYN Flood：问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪水攻击）。防范：第一种是缩短SYNTimeout时间第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。>netstat-n-ptcp>result.txt

2.ACK Flood：在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。通常状态检测防火墙所做的事情与此类似，只不过防火墙只拦截非法的数据包，而不主动回应。

3.UDPFlood：UDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。

4.ICMP Flood：ICMP FLOOD是一种DDOS攻击，通过对其目标发送超过65535字节的数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

5.SSDP Flood：SSDP，即简单服务发现协议（SSDP，Simple Service Discovery Protocol），是一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一。简单服务发现协议提供了在局部网络里面发现设备的机制。控制点（也就是接受服务的客户端）可以通过使用简单服务发现协议，根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备（也就是提供服务的服务器端）也可以通过使用简单服务发现协议，向自己所在的局部网络里面的控制点声明它的存在。

6.NTP Flood：NTP协议(network time protocol)是标准的网络时间同步协议，它采用层次化时间分布模型。网络体系结构主要包括主时间服务器、从时间服务器和客户机。主时间服务器位于根节点，负责与高精度时间源进行同步，为其他节点提供时间服务;各客户端由从时间服务器经主服务器获得时间同步。

7.DNS Flood：DNS端口，端口号是53

作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。

8.HTTP Flood：HTTp端口，端口号是80

HTTP Flood 在国内又被称为CC（Challenge Collapsar）攻击，是针对 Web 服务在 OSI 协议第七层协议发起的攻击， 攻击者极力模仿正常用户的网页请求行为，发起方便、过滤困难，极其容易造成目标服务器资源耗尽无法提供服务。按照攻击方式、目的的不同又可以简单划分为三类： 

第一类以力取胜。通过控制大量的客户端肉鸡或者代理服务器，向目标 Web 服务器发送海量页面请求，让目标服务器忙于响应恶意的攻击请求，耗尽CPU等资源，无法对正常用户进行服务。且攻击者为了极力伪造成正常的用户，会在User-Agent、URL、Referer等请求字段做一些随机，增大安全设备过滤难度， 是目前最难防御的攻击方式之一。

第二类以巧取胜。提到DDoS攻击往往想到海量数据包、海量的请求，但慢 速连接攻击却反其道而行之，与目标服务器建立连接后， 攻击者以极低的速度向 目标服务器发送后续 HTTP 请求内容，由于Web Server对于并发的连接数都有一定的上限，因此若是攻击请求恶意地占住这些连接不释放，那么Web Server的连接数将被耗尽，无法接受新的请求，导致拒绝服务。其中最著名的就是 rsnake 发明的 Slowloris。

第三类攻击利用国内站点往往从空间商每月购买几G的流量豆，通过简单的数个攻击端，周期性的请求目标服务器上某个大型文件，导致目标服务器流量豆迅速耗尽，被空间商限制访问。由于传统的安全防火墙往往关注于前两类攻击的检测，此类攻击也可达到很好的效果。