歲寒 然后知松柏之后凋也

——論語·子罕

（此圖摘自《Web腳本攻擊與防御技術核心剖析》一書，作者：郝永清先生）

DDoS,即 Distributed Denial of Service ,可譯為分散式阻斷服務攻擊。

上圖與DDoS的字面已經(jīng)清楚的表述出了此類攻擊的原理，勿需多言。這類攻擊泛濫存在的主要原因之一是網(wǎng)絡服務的開放性，這一特點導致了DDoS攻擊無法根本杜絕，目前主要應對策略是積極防御與消極防御。

典型DDoS的攻擊方式：

·死亡之Ping

　　icmp封裝于ip報文之中，而IP對于很大的數(shù)據(jù)載荷采用分片傳輸?shù)牟呗裕邮辗叫枰獙@些IP分片進行重組，如果接收方的重組算法不能很好地處理意外情況，后果會很嚴重，典型的意外情況包括：

　　 1.連續(xù)分片的偏移量之間不符合它們應該的邏輯關系，攻擊者偽造出這樣的一系列分包是很容易的；

　　 2.重組完成后的IP頭與數(shù)據(jù)載荷，總長度竟超過了IP報文總長2^16字節(jié)（64kB）的限制，一個實現(xiàn)的例子是，前面各分片一律正常，唯有最后一個IP分片的數(shù)據(jù)載荷盡量填充到最大，如達到以太網(wǎng)最大傳輸單元MTU 1500字節(jié)上限，這樣重組后的報文總長度就達到了約(64kB+1500B-20B-8B=65.44kB)的大小。

　　 這種攻擊方式附加了對目標系統(tǒng)協(xié)議棧算法的漏洞利用。

·淚滴TearDrop

　　淚滴攻擊指的是向目標機器發(fā)送損壞的IP包，諸如重疊的包或過大的包載荷。借由這些手段，該攻擊可以通過TCP/IP協(xié)議棧中分片重組代碼中的bug來癱瘓各種不同的操作系統(tǒng)。(此段摘自維基百科中文，實現(xiàn)方式可參考上死亡之Ping）

·UDP洪水

UDP是一種無連接協(xié)議，當數(shù)據(jù)包通過 UDP 發(fā)送時，所有的數(shù)據(jù)包在發(fā)送和接收時不需要進行握手驗證。當大量 UDP 數(shù)據(jù)包發(fā)送給受害系統(tǒng)時，可能會導致帶寬飽和從而使得合法服務無法請求訪問受害系統(tǒng)。遭受 DDoS UDP 洪泛攻擊時，UDP 數(shù)據(jù)包的目的端口可能是隨機或指定的端口，受害系統(tǒng)將嘗試處理接收到的數(shù)據(jù)包以確定本地運行的服務。如果沒有應用程序在目標端口運行，受害系統(tǒng)將對源IP發(fā)出 ICMP 數(shù)據(jù)包，表明“目標端口不可達”。某些情況下，攻擊者會偽造源IP地址以隱藏自己，這樣從受害系統(tǒng)返回的數(shù)據(jù)包不會直接回到僵尸主機，而是被發(fā)送到被偽造地址的主機。有時 UDP 洪泛攻擊也可能影響受害系統(tǒng)周圍的網(wǎng)絡連接，這可能導致受害系統(tǒng)附近的正常系統(tǒng)遇到問題。然而，這取決于網(wǎng)絡體系結構和線速。（此段摘自維基百科中文）　

·TCP RST 攻擊

　　TCP協(xié)議存在安全漏洞，正常的TCP連接可以被非法的第三方復位，這是因為TCP連接通訊不包含認證的功能。如，在已知連接的五元組的情況下，攻擊者可以偽造帶有RST/SYN標志的TCP報文或普通數(shù)據(jù)報文，當其sequence number落在TCP連接的滑動窗口范圍內(nèi)，可能導致會話終止或者虛假數(shù)據(jù)插入。（這里僅僅提一下，詳細可參考文章《從TCP協(xié)議的原理來談談rst復位攻擊》、《憶龍2009：TCP非法復位漏洞及解決方法》）

·TCP 全連接攻擊

　　龐大的攻擊群同時地、不斷地與目標服務器建立正常的TCP連接，從而嚴重影響正常用戶的連接服務。

·Syn Flood

　　攻擊者向目標服務器發(fā)送大量（偽造源IP地址、偽造源端口、正確目標IP地址、正確目標端口）tcp syn數(shù)據(jù)包，目標服務器為了維持這么大量的虛假連接，大量的tcp狀態(tài)機維持在了SYN_RCVD狀態(tài)，嚴重地影響了處理速度與消耗了系統(tǒng)資源，而反觀攻擊者，偽造并發(fā)送這些小數(shù)據(jù)包，各項資源消耗都極低，對于網(wǎng)絡傳輸速度為3Mb/s的一個攻擊者來說，攻擊包的速率大約可達每秒(3Mb/8/40=9830)個，如果網(wǎng)絡傳輸速度達到30Mb/s，單個攻擊者的攻擊包速率可為98300/s，如果再考慮到分布式攻擊，情況將變得極為惡劣。

·CC攻擊

　　CC，即 Chanllenge Collapsar ,可直譯為 黑洞挑戰(zhàn)，CC攻擊是 DDoS 攻擊的一種類型，使用代理服務器向受害服務器發(fā)送大量貌似合法的請求，巧妙之處在于，網(wǎng)絡上有許多免費代理服務器，甚至很多都支持匿名代理，所以其優(yōu)點為：

　　1.攻擊者事先不需要抓取攻擊傀儡，但仍需得到可用的、符合要求的代理 ip:port 列表;

　　2.匿名代理，使得追蹤變得非常困難，但并非不可能！

四層及以下的DDoS防御：

　　新型攻擊方式的產(chǎn)生、流行，必然導致對應防御策略的出現(xiàn)。

　　而針對四層及四層以下的DDoS攻擊，現(xiàn)在的硬件防火墻大多都能對死亡之Ping、icmp洪水、淚滴等做到很好的防御效果，所以，這里重點介紹SynFlood的若干防御策略：

　　 SynCookie：等到系統(tǒng)資源到達某一臨界點，內(nèi)核協(xié)議棧啟用SynCookie機制，進行Syn包源IP:PORT驗證，它本身是一種非常巧妙的實現(xiàn)，具體可參考文章《SYN Cookie的原理和實現(xiàn)》；　　

　　 SynPRoxy：即Syn代理，一般可在前端防火墻上實現(xiàn)(LVS在內(nèi)核層實現(xiàn)了這一功能，原理為SynCookie+Proxy)；

　　 SynCheck:對Syn包依據(jù)一定的規(guī)則進行檢驗,以過濾掉一部分不規(guī)則的包；

　　 SynFirstDrop：Syn首包丟棄策略，但如果攻擊者將偽造的Syn報文發(fā)送兩次，這種方法就失去了效果(國內(nèi)部分防火墻產(chǎn)品就是采取的這種方法)。

　　 以上的這些常見防御方法都可以分別通過硬件和軟件來實現(xiàn)，一般來講，硬件防火墻處理能力要比軟件方法強，但價格也更加昂貴，盡管軟件實現(xiàn)性能會有下降，但也沒有太差，例如，ipvs工作于內(nèi)核層，淘寶在大部分網(wǎng)站使用其作為Director，下面是一些官方數(shù)據(jù)：

　　如果在上面這些數(shù)據(jù)的基礎之上，前端Director實現(xiàn)集群以分擔系統(tǒng)負載，性能將會更佳，可見軟件防火墻在使用的得當?shù)那闆r之下，能極大降低系統(tǒng)成本，而且性能理想，這是經(jīng)過淘寶的系統(tǒng)實際驗證了的。

　　筆者將會在接下來的文章里講述針對應用層的DDoS攻擊的實現(xiàn)、防范，以及一個防火墻內(nèi)核模塊的實現(xiàn)。如有問題或者建議，歡迎留言討論:)

附錄：

　　參考資料：《Web腳本攻擊與防御技術核心剖析》、《TCP-IP詳解卷1：協(xié)議》、《LVS在淘寶環(huán)境中的應用》《LVS在大規(guī)模網(wǎng)絡環(huán)境下的應用》

　　2004左右，F(xiàn)r.Qaker先生公開了CC攻擊的原理、實現(xiàn)代碼、防范方法，結果卻被惡意破壞者利用以進行大范圍的互聯(lián)網(wǎng)攻擊，接著，F(xiàn)r.Qaker便開源了自己開發(fā)的CC防火墻 :)

　　這是Fr.Qaker當時一篇帖子《抗CC防火墻AntiAttackFireWall(AAFW)開源公告及源代碼下載》