解析針對個人用戶的DDoS自殺式攻擊!

今年年初，一則名為“8848遭到DDoS攻擊，懷疑被百度攻擊”的新聞引起了用戶的廣泛關注。這次事件之所以引人注目，除了當事雙方都是互聯網中知名的企業以外，“DDoS”這個詞的再次出現也極大地吸引了媒體和用戶的眼球。今天我們就針對個人用戶的DDoS攻擊和防御進行一番深入的了解。

什麼是DDoS攻擊

DDoS是英文Distributed Denial of Service的縮寫，中文意思是“分布式拒絕服務”。那什麼又是拒絕服務呢？用戶可以這樣理解，凡是能導致合法用戶不能進行正常的網絡服務的行為都算是拒絕服務攻擊。拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問。

DDoS攻擊主要是通過很多“傀儡主機”向遠程計算機發送大量看似合法的數據包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。分布式拒絕服務攻擊一旦被實施，攻擊數據包就會猶如洪水般湧向遠程計算機，從而把合法的數據包淹沒，導致合法用戶無法正常地訪問服務器的網絡資源。因此，分布式拒絕服務也被稱之為“洪水攻擊”。

DDoS的表現形式主要有兩種，一種是流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機進行的攻擊，即通過大量的攻擊包導致主機的內存被耗盡，或是CPU被內核及應用程序占完而造成無法提供網絡服務。

DDoS的攻擊類型

DDoS的攻擊類型目前主要包括三種方式，即TCP-SYN Flood攻擊、UDP Flood攻擊以及提交腳本攻擊。

TCP-SYN Flood攻擊又稱半開式連接攻擊，每當我們進行一次標准的TCP連接，都會有一個三次握手的過程，而TCP-SYN Flood在它的實現過程中只有前兩個步驟。這樣，服務方會在一定時間處於等待接收請求方ASK消息的狀態。由於一台服務器可用的TCP連接是有限的，如果惡意攻擊方快速連續地發送此類連接請求，則服務器可用TCP連接隊列很快將會阻塞，系統資源和可用帶寬急劇下降，無法提供正常的網絡服務，從而造成拒絕服務。

UDP Flood攻擊在網絡中的應用也是比較廣泛的，基於UDP的攻擊種類也是比較多的，如目前在互聯網上提供網頁、郵件等服務的設備一般是使用UNIX操作系統的服務器，它們默認是開放一些有被惡意利用可能的UDP服務。如果惡意攻擊者將UDP服務互指，則網絡可用帶寬會很快耗盡造成拒絕服務。

提交腳本攻擊主要是針對存在ASP、PHP、CGI等腳本程序，並調用MSSQL、MYSQL、ACCESS等數據庫的網站系統設計的。首先是和服務器建立正常的TCP連接，並不斷地向數據庫提交注冊、查詢、刷新等消耗資源的命令，最終將服務器的資源消耗掉從而導致拒絕服務。

防范DDoS的三條軍規

1.檢查並修補系統漏洞

及早發現當前系統可能存在的攻擊漏洞，及時安裝系統的補丁程序。對一些重要的信息（例如系統配置信息）建立和完善備份機制。對一些特權賬號（例如管理員賬號）的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。

2.刪除多余的網絡服務

在網絡管理方面，要經常檢查系統的物理環境，禁止那些不必要的網絡服務。建立邊界安全界限，確保輸出的包受到正確限制。經常檢測系統配置信息，並注意查看每天的安全日志。如果你是一個單機用戶，可去掉多余不用的網絡協議，完全禁止NetBIOS服務，從而堵上這個危險的“漏洞”。

3. 自己定制防火牆規則

利用網絡安全設備（例如：硬件防火牆）來加固網絡的安全性，配置好這些設備的安全規則，過濾掉所有可能的偽造數據包，這種方法適合所有Windows操作系統的用戶。以天網個人防火牆為例，新建一條空規則，規定如下：“數據包方向”設置為“接收”，“對方IP地址”設置為“任何”，“協議”設置為“TCP”，“本地端口”設置為“139到139”，“對方端口”設置為“0到0”，在“標志位”中選上“SYN標志”，“動作”選擇“攔截”，保存即可。另外，其他危險的端口也可以用該方法進行設置。