DDOS攻击原理简单讲解

tp寶寶^ō^

最近有安全新闻说到“发动DDoS袭击韩国官方网站一名黑客被捕http://www.xiugoo.com/bbs/redirect.php?tid=355822.html”。所以，我还是给大家提提DDOS的攻击原理。

  要知道DDoS攻击，就先要了解一下TCP三次握手。那么什么是TCP三次握手呢？其实就是联系双方用TCP协议建立会话的过程。看到下面的图。


看到图中，我要与“cfanclub”建立TCP联系。
那么，第一步，我首先要发送一个 同步信息给“cfacclub”。
      第二步，“cfanclub”收到了我的同步请求后，它便返回一个“SYN ACK”验证信息给我。
      第三部，我再发送一个“ACK”过去，表示我已经收到了“cfanclub”的同步验证信息。这样双方就可以建立会话了。
      第四步，会话建立。
这就是TCP的三次握手。

SYN风暴是DoS攻击中最常见的一种攻击类型。要理解SYN风暴将带来的后果，就可以先看看服务器在收到TCP三次握手建立流程中的一个TCP段时所进行的一系列操作。
首先，我第一次要与“cfanclub”建立连接。那么“cfanclub”服务器要预留部分内存，用于跟踪这个新的TCP连接。
其次，“cfaclub”服务器还要返回三次握手建立流程中的第二个TCP段。
最后，“cfaclub”服务器设置一个定时器，等待三次握手建立流程图中的第三个TCP段。
    除了这些基本的步骤，通常服务器还会限制它可以支持的并发TCP连接的数目。一旦服务器收到新的TCP连接请求中的第一个TCP段，它会在当前的TCP连接数目的计数器上加1.
        简而言之，服务器每收到一个新的TCP连接的请求（三个TCP握手建立流程图的第一个TCP段）都要消耗一些内存，之后服务器还将对新的连接进行计数，直到连接的数目达到它所允许的最大并发连接的数目为止。
    当一个黑客发送大量的请求TCP连接的TCP段给服务器，将导致SYN风暴。而且黑客从来不发送连接创建请求的第三个TCP段。
    所以，SYN风暴是指大量设置了SYN标志的攻击性段，它将导致服务器瘫痪。
    所以，DDoS就是利用了三次握手进行了恶意行为。看下图。



       假如，我做了上图图中的工作，那么“cfanclub”服务器将可能会瘫痪。如果再利用一些黑客软件，从不同的IP发送。那么 “cfanclub”服务器的内存将很快被消耗完。而且，当服务器相信它已经有过多的请求时，它将拒绝其他合法用户的请求。

这样的攻击很可怕吧~


解决参考方案：服务器可以减小建立新连接时用于等待第3个TCP段的时间限制。这样服务器可以快速地释放内存。服务器还可以增加其允许的并发连接的数目。而且目前也有很多路由器和防火墙的工具都可以防止SYN风暴、及时发现风暴并防止SYN请求风暴到达服务器。





以上就是关于DDoS的攻击的一种简单讲解。如有什么不对的地方，欢迎提出来。
谢谢~