ddos案例-ddos攻击发展史

DDoS攻击

• 分布式拒绝服务（DDoS：Distributed Denial of Service Attack）攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为

• DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机，也可以包括其他联网资源（如 IoT 设备）

• 攻击者利用受控主机发送大量的网络数据包，占满攻击目标的带宽，使得正常请求无法达到及时有效的响应

• DNS 响应的数据包比查询的数据包大，攻击者发送的DNS查询数据包大小一般为 60 字节左右，而查询返回的数据包的大小通常在3000字节以上，因此放大倍数能达到50倍以上，放大效果惊人

• 主要通过对系统维护的连接资源进行消耗，使其无法正常连接，以达到拒绝服务的目的，此类攻击主要是因为TCP 安全性设计缺陷引起的

• 目标计算机响应每个连接请求，然后等待握手中的最后一步，但这一步确永远不会发生，因此在此过程中耗尽目标的资源

• 消耗应用资源攻击通过向应用提交大量消耗资源的请求，以达到拒绝服务的目的

• 这种类型的攻击较简单的实现可以使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL；复杂版本可能使用大量攻击性 IP 地址，并使用随机 referrer 和用户代理来针对随机网址

• LOTC是一个最受欢迎的DOS攻击工具。 这个工具曾经被流行的黑客集团匿名者用于对许多大公司的网络攻击

• 它可以通过使用单个用户执行 DOS 攻击小型服务器，工具非常易于使用，即便你是一个初学者。 这个工具执行DOS攻击通过发送UDP，TCP或HTTP请求到受害者服务器。你只需要知道服务器的IP地址或URL，其他的就交给这个工具吧

• XOIC是另一个不错的DOS攻击工具。它根据用户选择的端口与协议执行DOS攻击任何服务器。XOIC开发者还声称XOIC比LOIC在很多方面更强大

• 一般来说,该工具有三种攻击模式,第一个被称为测试模式，是非常基本的； 第二个是正常的DOS攻击模式； 最后一个是带有HTTP / TCP / UDP / ICMP消息的DOS攻击模式

• 对付小型网站来说，这是一个很有效的DDOS工具, 但是从来没有尝试的要小心点，你可能最终会撞自己的网站的服务器

• HULK是另一个不错的DOS攻击工具，这个工具使用某些其他技术来避免通过攻击来检测,它有一个已知的用户代理列表，且使用的是随机请求

• 输入 URL ，点击 Lock on，设置 Method 模式（比如 HTTP)，设置速度等其他参数

• 点击 IMMA CHARING MAH LAZER ,开始攻击

• 打开被攻击的站点，发现此时已经打不开

1、查看流量设备，发现攻击者使用僵尸网络在某时间段内发起了DDoS攻击

2、进一步对网络数据包进行抓包分析，发现攻击者使用 HTTP 请求功能向服务器发起多次请求，服务器返回多个响应文件，造成网络负载过高

3、对服务器访问日志进行排查

1、配置防火墙策略，屏蔽异常访问的IP地址

2、调整防护设备策略，在不影响业务的情况下限制 HTTP Range 形式访问

3、如果流量远远超出出口带宽，建议联系运营商进行流量清洗

1、攻击前的防御阶段

2、攻击时的缓解阶段

3、攻击后的追溯总结阶段

• 尽量避免将非业务必需的端口暴露在公网上，避免与业务无关的请求和访问

• 对服务器进行安全加固，包括操作系统即服务软件，减少可能被攻击的点

• 优化网络架构，保证系统的弹性和冗余，防止单点故障发生

• 对服务器性能进行测试，评估正常业务下能承受的带宽，保证带宽有余量

• 对现有架构进行压力测试，评估当前业务吞吐处理能力

• 使用全流量监控设备（如天眼）对全网中存在的威胁进行监控分析，实时关注告警

• 根据当前技术架构、人员、历史攻击情况等，完善应急响应技术预案

DDoS的原理及危害

DDoS:拒绝服务攻击的目标大多采用包括以SYNFlood和PingFlood为主的技术，其主要方式是通过使关键系统资源过载，如目标网站的通信端口与记忆缓冲区溢出，导致网络或服务器的资源被大量占用，甚至造成网络或服务器的全面瘫痪，而达到阻止合法信息上链接服务要求的接收。形象的解释是，DDoS攻击就好比电话点歌的时候，从各个角落在同一时间有大量的电话挂入点播台，而点播台的服务能力有限，这时出现的现象就是打电话的人只能听到电话忙音，意味着点播台无法为听众提供服务。这种类型的袭击日趋增多，因为实施这种攻击的方法与程序源代码现已在黑客网站上公开。另外，这种袭击方法非常难以追查，因为他们运用了诸如IP地址欺骗法之类所谓网上的“隐身技术”，而且现在互联网服务供应商（ISP）的过剩，也使作恶者很容易得到IP地址。拒绝服务攻击的一个最具代表性的攻击方式是分布式拒绝服务攻击（DistributedDenialofService，DDoS），它是一种令众多的互联网服务提供商和各国政府非常头疼的黑客攻击方法，最早出现于1999年夏天，当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始，这种攻击方法开始大行其道，在2月7日到11日的短短几天内，黑客连续攻击了包括Yahoo，Buy.com，eBay，Amazon，CNN等许多知名网站，致使有的站点停止服务达几个小时甚至几十个小时之久。国内的新浪等站点也遭到同样的攻击，这次的攻击浪潮在媒体上造成了巨大的影响，以至于美国总统都不得不亲自过问。

分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以，对这种攻击还不能做到完全防止。

DDoS通常采用一种跳台式三层结构。如图10—7所示：图10—7最下层是攻击的执行者。这一层由许多网络主机构成，其中包括Unix，Linux，Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限，并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址，其攻击行为受到攻击服务器的直接控制。

攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。

这些服务器与攻击执行器一样，安装在一些被侵入的无关主机上。

攻击主控台。攻击主控台可以是网络上的任何一台主机，甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。

有许多无关主机可以支配是整个攻击的前提。当然，这些主机与目标主机之间的联系越紧密，网络带宽越宽，攻击效果越好。通常来说，至少要有数百台甚至上千台主机才能达到满意的效果。例如，据估计，攻击Yahoo！站点的主机数目达到了3000台以上，而网络攻击数据流量达到了1GB秒。通常来说，攻击者是通过常规方法，例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新，从而将系统暴露在攻击者面前。在成功侵入后，攻击者照例要安装一些特殊的后门程序，以便自己以后可以轻易进入系统，随着越来越多的主机被侵入，攻击者也就有了更大的舞台。他们可以通过网络监听等方法进一步扩充被侵入的主机群。

黑客所作的第二步是在所侵入的主机上安装攻击软件。这里，攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分，一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪，同时也能够更好的协调进攻。因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序，它们可以连续向目标发出大量的链接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00，TFN（TribeFloodNetwork）、randomizer以及它们的一些改进版本，如TFN2k等。

黑客所作的最后一步，就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽，难以定位。一旦攻击的命令传送到服务器，主控台就可以关闭或脱离网络，以逃避追踪。接着，攻击服务器将命令发布到各个攻击器。在攻击器接到攻击命令后，就开始向目标主机发出大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源。而且，这些数据包所请求的服务往往要消耗较大的系统资源，如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。这样，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正常链接请求，从而无法有效分离出攻击数据包。

除了上述类型的攻击以外，其他种类的拒绝服务袭击有，从电脑中删除启动文件，使之无法启动，或删除某个网络服务器的网页等。为什么有人要发起这种类型的袭击呢？因为他们所闯入的服务器并没有什么秘密数据。其实，这种袭击也是出于各种原因，有政治的，不正当商业竞争为原因的、也有的是作为一种大规模袭击的一个组成部分。比如，巴勒斯坦的黑客为了抗议以色列的犹太人政权而发起的对以色列政府网站的攻击；某恶意电子商务网站为争夺客户而发起的针对竞争对手的拒绝服务攻击。拒绝服务袭击也可以用来关闭某位黑客想要欺诈的服务器。比如，黑客可能会为了获得客户PIN码或信用卡号码而对一家银行的服务器进行攻击等，这类袭击是“比其他类型的袭击要突出得多的、最普遍的安全隐患”。当然，这种袭击的主要损失是系统不能正常运行而耽误的时间，而且系统很容易就可以通过重新启动的方式而恢复运行。然而，任何注重品牌声誉的企业都明白，在互联网世界中，品牌声誉可能会因一次安全性攻击而毁于一旦，因此，黑客攻击行为（尤其是拒绝服务攻击）已成为当今企业所面临的最大威胁中的一部分。

一个企业的网上服务即使没有遭到拒绝服务的攻击，它还会面临另外一种风险，即成为攻击者的跳台的危险。在实际发生的大规模拒绝服务攻击的案例当中，往往是那些网络安全管理不严格的企业或组织的系统，被黑客侵入，在系统内被植入攻击时使用的黑客程序。而攻击犯罪发生以后，由于黑客的消踪灭迹的手段很高明，所以最后被侦破机关追索到的攻击源往往是那些成为攻击跳台的网络。虽然，企业本身没有遭到损失，但是由于成为攻击跳台，而带来的合作伙伴的疑虑和商业信用的损失却是无法估计的。

电脑病毒安全威胁七大特征

下面由我给大家介绍计算机病毒发展史话 新兴安全威胁七大特征，希望能让大家认识到病毒，希望对你有帮助!

电脑病毒安全威胁七大特征：

■ 历史悠久的自我防御技术

早自过去的档案型、开机型或宏型病毒，即开始采用加密、压缩、自我编码、变体引擎(McTation Engine或Polymorphic Engine)、更名感染等技术，藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术，仍为目前流行的恶性程序所沿用。

除此之外，一些恶性程序还具备自我检查及反防毒软件(Anti-Antivirus)的能力，他们会在计算机被启动的同时，卸载系统中的防毒软件或防火墙软件。

不过，目前恶性程序的发展趋势似乎有了转变，虽然过去的自我防御功能仍继续沿用，但已非关注的重点。

反之，这些恶意程序不再在乎是否能被防毒软件或 其它 安全配备侦测阻挡，因为再怎么防，不用多久，资安厂商仍很快就有因应 措施 及解决方案的推出。所以他们追求的重点已转变成「快、狠、准」，也就是尽可能地在最短的时间内，以迅雷不及掩耳、秋风扫落叶的方式，造成一定的影响或达到一定的目的。也因为如此，许多恶意程序甚至设定自我毁灭时间。

■ 令人眼花撩乱的庞大变种

变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒(Polymorphic/Mutation Virus)，该病毒具备自我编码的能力，每感染一个档案，其病毒码都不一样。基本上，千面人应归类成多形病毒的一种。

虽然千面人病毒具备变幻莫测的外表，但它仍有破绽，就是每个变换后的病毒码，其程序开头都相同，所以仍然有迹可循。为了解决这个问题，网上遂有了.OBJ的变体引擎子程序供人下载撰写多形病毒。总之，由于变体引擎及病毒原始码的公开，所以各式各样的变种因而斥充在网络上。

如今的恶性程序除了展开全球性传播的"水平繁衍"外，并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是，这些恶性程序还结合不同的混合式攻击技术，让每代的变种各具不同"邪恶"特性及破坏力，或是每隔一代海纳百川地加入新的"毒术"。

过去病毒多半接续个两三代就"over"了，如今恶意程序传宗接代的能力一个比一个强，动辄几十代，甚至打破30代大关，例如培果病毒(Bagle)到目前为止共有37代变种，实在惊人。

若以平均天数来看，早先的顽皮熊病毒，从2002年10月第一代出现起，到2004年9月第四代止，大约平均每176天才推出新的变种。如今像是Bagle、MyDoom、NetSky及Korgo等蠕虫，平均不到10天就推出新的变种。其中，最可怕的莫过于Korgo蠕虫，在短短三个月多内，就接连繁衍出高达27代的变种，换句话说，其不到3天就变种一次。

感觉起来，这些恶意程序彷佛在比谁的生育率比较强似的，事实上Bagle、Netsky和MyDoom的确一直在互别苗头，不但相互争夺变种的数目高低，甚至相互攻击(例如Bagle变种专砍Netsky，而Netsky也专门找MyDoom下手)。

■ 乱"件"齐发的垃圾邮件

对于恶意程序而言，电子邮件彷佛就是其增加其功力的大补丸。为了达到最终感染及传播的目的，黑客多半会采用社交工程学(Social Engineering)来引诱收信者打开附件或连结，进而启动或下载攻击程序。此外，过去也有不少病毒邮件，进而发展出不用开启邮件及附件，只要浏览就会中毒的技术。

在信件传播方面，由于采用微软讯息应用程序接口(MAPI)来发病毒邮件，很容易会被防毒软件拦截到，所以黑客多半都会改用专属的SMTP外寄邮件服务器，绕过防毒软件的拦截网来发送病毒信。

自从Melissa宏病毒开启恶意程序搭乘电子邮件的首例之后，许多恶意程序，尤其是造成重大影响的蠕虫几乎都是以垃圾邮件为作恶的工具，垃圾邮件的问题也开始被广泛注意。

史上利用垃圾邮件最彻底、最成功的蠕虫当推Sobig.F，该蠕虫每隔几秒钟就会自动向受害计算机中的所有通讯簿名单发出毒件，因而登上史上传播最迅速的宝座，莫怪乎有人称其为史上最强力的超级邮件发送机(Mass Mailer)。

■ 难以抗拒的诱惑-社交工程

社交工程(Social Engineering)原本是一种源自于飞客(Phreak)的诈骗手法，对于该手法读者应该不致于太陌生，因为之前没多久，相信很多人应该曾接到一些诈骗电话，像是谎称自己是警察人员，并告知接听者的银行账号被盗领，或是"你儿子现在在我手上，快拿两百万过来"等云云，这些就是运用社交工程的显例。

基本上，社交工程是利用人性弱点，并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。对于大部分的企业而言，技术面的问题好解决，但是牵涉到人性面的问题就相当棘手难防了，也因为如此，社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。

尤其对个人而言，面对每日眼花瞭乱的邮件实在很难防，而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡，偏偏这些东西是黑客运用社交工程的最佳试炼场。

■ 有洞就钻

在过去，软件上的臭虫(Bug)顶多会造成软件或系统稳定性或兼容性上的问题，但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示，如今许多软件及平台都存在许多漏洞，而后一版本的软件大多仍会继续沿用之前版本的组件，所以漏洞有可能也会流传到不同版本之中。如此一来，便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。

根据Gartner Group今年4月的分析 报告 指出，2003年有25%的网络攻击事件来自于已知漏洞。面对漏洞问题，唯一最直接的解决 方法 就是下载厂商提供的修补程序(Patches)。对于企业而言，由于软件系统种类繁多、数量庞大，所以必须搭配漏洞及弱点管理工具，以进行固定的扫描、侦测及修补作业。但前文曾提到Symantec的研究报告，目前漏洞发布与相关蠕虫攻击的平均时间差只有短短的5.8天，而Witty蠕虫甚至缔造了2天的惊人纪录，未来随着蠕虫技术的不断突破，平均时间差只会愈来愈短。今后，要与黑客一比抢攻漏洞之高下，绝对是今后企业及资安厂商努力的重点之一。对于个人而言，修补漏洞一直是件不得不做，但又极其困扰的事情。最主要是因为 操作系统 会随着软件、游戏或硬件的安装、解除，档案的进进出出或其它不当的操作而终至变慢、甚至当机的地步，换句话说，为求系统稳定，操作系统每隔一段时间是要重灌的。也因为如此，重灌计算机也意味着要重灌之前所有安装过的修补程序。 如果使用者是透过在线修补，那么在冗长的修补过程中难保不会被蠕虫入侵或被种下后门。如果透过已下载的修补档来修补，虽然较安全，但数量庞大的修补作业可是相当累人的事情。

虽然操作系统中也有提供系统还原的功能，只要选择较后面的还原点，可以减少修补作业的次数。但使用者要如何确认哪一个还原点才是完全安全干净的呢?总而言之，对个人来说，修补漏洞绝对是件既困扰又无奈的事情。

另外要补充强调的是，使用者千万不要因为麻烦或抱着侥幸心态，认为之前旧漏洞不补也没关系，而只要修补最新漏洞即可。事实上，旧漏洞才是黑客最爱，根据Gartner Group今年4月的分析报告指出，2003年有25%的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞，都是非补不可的。

■ 就是要你消受不起-DDoS

阻断式服务攻击(Denial-of-Service;DoS)已成为目前黑客及蠕虫的主要攻击方式之一。透过DoS攻击，网站会被大量而密集的封包所淹没，结果导致网站用户无法正常进入网站，享受应有的内容或服务。

如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击(Distributed DoS;DDoS)手法，形成对企业、网站更长时间的"封锁"及更大的损失。

所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式，以整合更多的攻击来源，以对主要目标展开更猛烈持久的服务封锁。如此的好处是，可以结合更大的攻击能量，同时真正发号司令的黑客不容易被抓到。BOT遥控程序就是透过网络扫描、感染更多的僵尸计算机，形成庞大的僵尸网络大军，然后针对主要目标展开猛烈的DDoS攻击。史上著名的DDoS攻击事件，像是2001年的红色密码(Code Red)，即为一只曾对微软IIS Server展开DDoS的蠕虫;2003年疾风蠕虫(MSBlast.A)则透过RPC DCOM缓冲区溢位的弱点，攻击微软Windows Update 网站;2004年1月底，Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击，而造成相当大的损失。

■ 陆海空联合大进击-混合式攻击

自从2001年Code Red率先采用混合式攻击技术以来，混合式攻击已成为目前恶意程序发展中的最大特色及惯用手法。透过不同攻击技术的结合，恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯种"的恶意程序已经愈来愈少，即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。

就各恶意程序的特性而言，病毒具备其它恶意程序所没有的感染力，蠕虫则提供无人能敌的主动散播能力，至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性，以及网络漏洞、系统弱点扫描的新一代恶意程序技术。

一只混合式攻击程序可能会透过不同的媒介及管道，来进行陆海空联合多点大进击，换句话说，它可能一方面透过垃圾邮件传播，一方面在网上扫描并寄生在有弱点的主机上，一方面在网络上"装可爱"成可供人们下载的MP3、游戏或软件，或是搜寻感染网络芳邻上的分享目录夹，抑或提高来宾账户的权限等级等。由于攻击来自于四方八面不同的管道，所以单靠传统单一的防毒软件是无法有效因应的，目前资安厂商则主张多层次的主动防御方案以为因应。

《破坏之王DDoS攻击与防范深度剖析》epub下载在线阅读全文，求百度网盘云资源

《破坏之王DDoS攻击与防范深度剖析》（鲍旭华/洪海/曹志华）电子书网盘下载免费在线阅读

链接:

提取码: 16wv  

书名:破坏之王DDoS攻击与防范深度剖析

豆瓣评分:7.2

作者:鲍旭华/洪海/曹志华

出版社: 机械工业出版社

副标题: DDoS攻击与防范深度剖析

出版年: 2014-4

页数: 176

内容简介:

网际空间的发展带来了机遇，也带来了威胁，ddos是其中最具破坏力的攻击之一。本书从不同角度对ddos进行了介绍，目的是从被攻击者的角度解答一些基本问题：谁在攻击我？攻击我的目的是什么？攻击者怎样进行攻击？我该如何保护自己？全书共分7章。第1章讲述了ddos的发展历史，梳理了探索期、工具化、武器化和普及化的过程。第2章介绍了ddos攻击的主要来源—僵尸网络，对于其发展、组建和危害进行了讨论，并专门介绍了自愿型僵尸网络。第3章讲解了ddos的主要攻击方法，包括攻击网络带宽资源型、攻击系统资源型以及攻击应用资源型。第4章列举了攻击者使用的主要ddos工具，对于综合性工具、压力测试工具和专业攻击工具分别举例详细介绍。第5章从攻击者的角度讨论了ddos的成本和收益问题。第6章分析了ddos的治理和缓解方法，对源头、路径和反射点的治理以及稀释和清洗技术进行了介绍。第7章展望未来，对网络战、apt攻击和大数据技术进行了一些探讨。

《破坏之王：ddos攻击与防范深度剖析》适合各类人员阅读，信息安全专业的学生和爱好者、从事信息安全的咨询和运维人员、企业it策略的制定者，都可以从中找到自己感兴趣的部分。

作者简介:

鲍旭华：博士，绿盟科技战略研究部研究员，主要研究领域为信息安全事件分析、安全智能和态势感知。

洪海：绿盟科技安全研究部研究员，长期专注于网络攻防技术的研究，主要的研究方向包括：漏洞挖掘与利用的相关技术、分布式拒绝服务攻击、下一代网络的安全性问题等。

曹志华：绿盟科技安全研究员，酷爱逆向工程，是OD、IDA及wireshark的忠实粉丝。感兴趣的方向包括壳、Botnet、数据(包)分析等。现专注于DDoS网络攻防。