服务器DDOS攻击详细介绍

一、DDoS攻击存在的原因是?

当下因特网带宽的增加和各种 DDoS黑客工具的不断推出， DDoS拒绝服务攻击的实施变得更加容易， DDoS攻击事件也随之增多。原因在于行业中存在的商业竞争、打击报复和网络敲诈等，许多网络服务提供商托管机房、商业网站、游戏服务器、聊天网等长期受到 DDoS攻击的困扰，而 DDoS攻击所带来的客户投诉、与虚拟主机用户的牵连、法律纠纷、商业损失等是网络服务提供商必须考虑的首要问题。

二、DDoS的真面目是?

DDoS就是Distributed Denial of Service，中文就是“分布式拒绝服务”，那何为拒绝服务?可以这么理解，只要可以导致合法用户无法访问正常网络服务的行为都归于是拒绝服务攻击。一句话解释是DDOS攻击的目的清晰，就是要合法用户对正常网络资源的无法访问，由此达到攻击者目的。尽管同样绝服务攻击，但DDoS和DOS还是不一样的。DDoS的攻击策略是通过大量的被攻击者入侵或间接使用的主机向受害者主机发送大量看似合法的网络包，导致网络堵塞或服务器资源耗尽，拒绝服务。一旦实施DDOS攻击，攻击网络包类似洪水一样涌向受害者主机，从而丢失合法用户的网络包，使得合法用户无法异常访问服务器的网络资源。拒绝服务攻击还有一个名字是“洪水式攻击”，普遍的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS进行的是针对主机特定的漏洞攻击这样导致的就是网络栈失效、主机死机使得等无法提供网络服务的正常功能等，从而导致的拒绝服务。DOS攻击手段最普遍的就是TearDrop、Land、Jolt、IGMP的Nuker、Boink、Smurf、Bonk、OOB等。对于这两种拒绝服务攻击而言，DDoS攻击的危害较大，这是由于很难防止DOS攻击，通过补丁或安装主机服务器的防火墙软件，以后详细介绍如何应对DDoS攻击。

三、被DDoS了吗?

DDoS攻击大致分两种，一为对网络带宽的攻击，利用了大量攻击包这样网络带宽出现阻碍，合法网络包被淹没，到达不了主机；另外一个是对资源耗尽的攻击，是通过对服务器主机的攻击，使大量攻击包导致主机内存耗尽，或者内核和应用程序占用不足，导致无法提供网络服务。

怎样判断网站是否受到了流量的攻击？

可以用 Ping命令进行测试，如果发现 Ping超时或包丢失严重(假设正常情况下是正常)，则可能受到流量攻击；如果在发现与您的主机连接在同一个交换机上的服务器无法访问，则基本上可以确定该服务器受到流量攻击。当然，这类测试的前提是您与服务器主机之间的 ICMP协议不会被诸如路由器和防火墙之类的设备屏蔽，否则可以采用 Telnet主机服务器的网络服务端口进行测试，其效果相同。但是，如果平时Ping的主机服务器和连接到同一个交换机的主机服务器正常的话，Ping突然不通了，或者丢失了很多包，如果能够排除网络故障因素的话，一定会受到流量攻击。另一个流量攻击的典型现象是，如果受到流量攻击，用远程终端连接站点服务器就会失败。

与流量攻击相比，资源消耗攻击更容易判断。如果Ping站点的主机和访问站点通常是正常的，则突然发现站点访问非常缓慢或无法访问，而Ping也可以通过Ping，则可能会受到资源消耗攻击。此时，如果您使用Netstat-na命令观察到大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态，而ESTABLISHED较少，则可以确定您遭受了资源消耗攻击。另一个是资源消耗攻击的现象是，Ping自己的网站主机Ping不通或者包丢失严重，Ping和自己的主机在同一个交换机上的服务器正常，是因为网站主机受到攻击后，系统内核和应用程序的CPU利用率达到100%。

1、SYN/ACKFlood攻击:这种攻击方法是经典最有效的DDoS方法，可以杀死各种系统的网络服务。途径是向目标主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机缓存资源耗尽或忙于发送响应包而拒绝服务。因为源是伪造的，很难跟踪，缺点是很难实现，需要高带宽的僵尸主机支持。少量的攻击会使主机服务器的无法访问，不过可以Ping。在服务器上Netstat-na命令会发现到大量的SYN_RECEIVED状态。大量的攻击使Ping值丢包，，系统凝固，TCP/IP栈失效，即不响应键盘和鼠标。大多数普通防火墙无法抵御这种攻击。

2、TCP全连接攻击:该攻击是为了绕过通常的防火墙的检查而设计的，通常的防火墙大多具有过滤TearDrop、Land等DOS攻击的能力，但是错过了通常的TCP连接，很多网络服务程序(IIS、Apache等网络服务器)可以接受的TCP连接数是有限的，如果有大量的TCP连接，即使正常，网站的访问也会非常缓慢。TCP全连接攻击的方法是在大量的僵尸主机和攻击的目标服务器中建立许多的TCP连接，直到服务器内存等资源消失为止，拒绝服务，绕过一般防火墙的防护从而完成攻击目的，不足之处在寻找很多僵尸主机。

3、刷式脚本攻击：该攻击主要针对网站系统，该系统中存在 ASP、 JSP、 PHP、 CGI等脚本程序，并调用 MSSQLServer、 MySQLServer、 Oracle等数据库，特点在于服务器建立正常的 TCP连接，一直向脚本程序发送查询、列表等大量消耗数据库资源的调用，典型的以小博大方式攻击。一般而言，提交 GET或 POST指令对客户端的消耗和带宽的消耗可以忽略不计，而为了处理这个请求，服务器可能需要从数以万计的记录中找出某个记录，这种处理过程对资源的消耗非常大，常见的数据库服务器很少能够支持同时执行数百条查询指令，而对客户端来说，这样做很容易。攻击者利用 Proxy代理给主机服务器大量发送查询指令，几分钟内就会消耗服务器资源并导致拒绝服务，常见的情况是网站速度慢， PHP连接数据库失败或ASP程序失效，数据库主程序占用 CPU。这类攻击的特点是可以完全绕过一般的防火墙保护，很容易找到一些 Proxy代理来实施攻击，缺点是针对只针对静态页面的网站效果会大打折扣，而且一些 Proxy会暴露攻击者的 IP地址。