DDoS --- 分布式拒绝服务（Disturbuted Denial of Service）

DDOS***都是由僵尸网络发起的

---

僵尸网络的通信协议：IRD --> HTTP --> P2P

1. IRC型僵尸网络
   
2. HTTP型网络
   
3. P2P型网络
   

---

僵尸网络的危害

1. 发送DDOS***
2. 发送垃圾邮件
3. 窃取敏感信息
4. 抢占系统资源

---

分布式拒绝服务***：利用分布式的客户端，像服务提供者发起大量看似合法的请求，消耗和长期占用大量资源，从而达到拒绝服务的目的

---

***网络带宽资源

利用受控主机发送大量的网络数据包，占满被***目标的全部带宽，从而使正常的请求无法得到及时有效的响应，造成拒绝服务。

1. 直接***
   ICMP/IGMP洪水***、UDP洪水***（大包，小包）
2. 反射和放大***（DRDOS）
   反射：利用路由器，服务器等设施对请求产生应答，从而反射***流量并隐藏***来源。
   反射***的数据包
   目IP： 反射器的服务器，路由器
   源IP： 被***目标的IP
   放大***：反射器对于网络流量具有放大作用。

   ACK反射***

   

   DNS放大***（UDP）

   DNS响应数据包会比查询数据包大
   DNS扩展机制 EDNS0： 扩展了DNS数据包的结构
   

   NTP放大***

   Network Time Protocol：基于UDP123端口
   

   SNMP放大***

   Simple Network Management Protocol：基于UDP161端口
   GetBulk请求：该请求会通知设备返回尽可能多的数据使得管理程序能够通过发送一次请求就获得大量的检索信息。
   

3. ***链路（Coremelt***）
   目标：骨干网上的链路的带宽资源

---

***系统资源

***TCP连接

1. TCP连接洪水***
   ***者利用大量受控主机，通过快速建立大量而已的TCP连接占满被***目标的连接表，是目标无法接受新的TCP连接请求，从而达到拒绝服务***。
2. SYN洪水***
   利用受控主机发送大量的TCP的SYN报文，使服务器打开大量的半开连接，占满服务器的连接表。
   Better：将SYN报文的源IP地址随机伪造成其他主机的IP地址，或是不存在的IP地址。
3. PSH+ACK洪水***
   原理：当服务器收到一个设置了PSH+ACK标志的报文时，意味着当前数据传输已经结束，因此需要立即将这些数据递交给服务器进程并清空接受缓冲区，而无须等待判断是否还会有额外的数据到达。
   ***者利用受控主机向***目标发送大量的PSH+ACK数据包时，被***目标就会消耗大量的系统资源不断地进行缓冲区的清空处理，导致无法正常处理数据，从而造成拒绝服务。
4. RST洪水***
   原理：当客户端或服务器其中之一出现异常情况，无法正常完成TCP四次挥手已终止连接，就会使用RST报文将连接强制中断。
   ***者利用大量的受控主机猜测端口和序列号，进行盲打，发送RST洪水***。
   TCP RST***：***者和被***者处于同一内网。
5. Sockstress***
   将TCP窗口设为0或者极小的值。

***SSL连接

1. THC SLL Dos ***
   利用Renegotiation选项，***者反复不断地记性密钥重新协商过程，
2. SSL洪水***（SSL Squeeze）
   原理：对于客户端发送过来的数据，服务器需要花费大量的计算资源进行解密，之后才能对数据的有效性进行检验。
   ***者并不需要完成SSL握手和密钥交换，只需要在这个过程中让服务器去解密和验证。

---

***应用资源

***DNS服务

1. DNS QUERY 洪水***（域名是不同的且存在的）
   想DNS服务器发送大量查询请求（域名是不同的且存在的），以达到拒绝服务效果。
2. DNS NXDOMAIN 洪水***（域名是不存在的）
   在进行DNS NXDOMAIN 洪水***时，DNS服务器会进行多次域名查询，同时其缓存会被大量NXDOMIAN记录所填满。

***WEB服务

1. HTTP 洪水***（CC***）
   利用大量受控主机不断的想WEB服务器恶意发送大量HTTP请求，要求WEB服务器处理。
   HTTP过程会建立TCP连接，可以使用HTTP代理服务器，隐藏自己。
   
   注：针对不同资源和页面的HTTP请求，尽可能请求无法缓存的资源。
2. Slowloris ***
   原理：在HTTP协议中规定，HTTP头部以连续的“\r\n\r\n”作为结束标志。
   ***者在发送HTTP GET请求时，缓慢的发送无用的header字段，并一直不发送“\r\n\r\n”结束标志，这样就能够长时间占用与WEB服务器的连接并保证该连接不被超时中断。
3. 慢速POST请求***（slowhttptest）
   利用缓慢发送HTTP BODY 方式达到占用并耗尽WEB服务器连接的资源的目的。
   注：将 Content-Length 设置为一个很大的值。
4. 数据处理过程***（ReDOS）
   WEB服务器在收到HTTP请求之后，需要检查并处理其中的数据，通过恶意构造请求数据的内容，***者可以显著地增加数据处理过程中的资源消耗，造成拒绝服务***。

---

DDOS***工具

1. 综合性工具
   HPing、PenTBox、Zarp
2. 压力测试工具
   LOIC（不能伪造源IP）、HOIC（无法改变***端口）、 HUIK
3. 专业***工具
   Slowloris、R.U.D.Y（慢速HTTP POST请求）、THC SSL DOS

---

治理

1. 僵尸网络的治理
2. 地址伪造***的治理
3. ***反射点的治理

---

缓解DDOS***

***流量的稀释

1. CDN：在互联网范围内广泛设置多个节点作为代理缓存，并将用户的访问请求导向最近的缓存节点（智能DNS系统）（对域名访问有效，对IP访问无效）
2. Anycast：一组提供特定服务的主机可以使用相同的IP地址，同时，服务访问方的请求报文将会被IP网络路由到这一组目标中拓扑结构最近的一台主机上。

***流量的清洗

1. IP信誉检查
2. ***特征匹配
3. 速度检查与限制
4. TCP代理和验证
5. 协议完整性验证
6. 客户端真是性验证

转载于:https://blog.51cto.com/13737045/2114541