ddos常用攻击软件以及如何防御DDOS

目录

• 前言
  • DDoS 攻击的目的
  • DDOS攻击分类
  • DDOS有哪几种攻击方式？
• 服务器遭到DDOS攻击如何防御？
  • 1、IIS屏蔽IP
  • 2、域名欺骗解析
  • 3、更改Web端口
  • 4、取消域名绑定
• 在互联网中常用的ddos攻击软件有哪些?

分布式拒绝服务（DDoS）攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为。

DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机，也可以包括其他联网资源（如 IoT 设备）。

总体而言，DDoS 攻击好比高速公路发生交通堵塞，妨碍常规车辆抵达预定目的地。

前言

Ddos的攻击方式有很多种，最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权．它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络．而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。

什么是DDoS攻击

分布式拒绝服务攻击是对网站或服务器进行故意降低性能的攻击。

为此使用了多台计算机。这些多台计算机使用 DoS 攻击攻击目标网站或服务器。由于这种攻击是通过分布式网络执行的，因此称为分布式拒绝服务攻击。

简单来说，多台计算机向目标发送大量虚假请求。目标被此类请求淹没，从而使合法请求或用户无法使用资源。

DDoS 攻击的目的

通常，DDoS 攻击的目的是使网站崩溃。

DDoS 攻击的持续时间取决于攻击是在网络层还是应用层。网络层攻击持续时间最长为 48 到 49 小时。应用层攻击持续时间最长为 60 到 70 天。

根据 1990 年的《计算机滥用法》，DDoS 或任何其他类似的攻击都是非法的。由于它是非法的，攻击者可能会受到监禁的惩罚。

DDoS 攻击有 3 种类型：基于容量的攻击，协议攻击，以及应用层攻击。

DDOS攻击分类

（1）漏洞型（基于特定漏洞进行攻击）：只对具备特定漏洞的目标有效,通常发送特定数据包或少量的数据包即可达到攻击效果。

（2）业务型（消耗业务系统性能额为主）：与业务类型高度相关，需要根据业务系统的应用类型采取对应的攻击手段才能达到效果，通常业务型攻击实现效果需要的流量远低于流量型。

（3）流量型（消耗带宽资源为主）：主要以消耗目标业务系统的带宽资源为攻击手段，通常会导致网络阻塞，从而影响正常业务。

DDOS有哪几种攻击方式？

一、攻击方式
Synflood
该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗，最终导致拒绝服务。

Smurf
该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

Land-based
攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

Ping of Death
根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

Teardrop
IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

PingSweep
使用ICMP Echo轮询多个主机。

Pingflood
该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。

服务器遭到DDOS攻击如何防御？

1、IIS屏蔽IP

当通过命令或在查看日志发现了CC攻击的源IP，可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。将攻击者的IP添加到“拒绝访问”列表中，就达标屏蔽了该IP对于Web的访问，也就相当于成功完成了CC防护。

2、域名欺骗解析

如果发现针对域名的CC攻击，可以把被攻击的域名解析到127.0.0.1这个地址上。这个地址是本地回环IP用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样就会致使攻击者出现宕机等问题，自作自受。又或者当Web服务器遭受CC攻击时，把被攻击的域名解析到国家权威的GVM网站或者是网警的网站，网警就会处理这件事情。

3、更改Web端口

一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就会以默认的80端口进行攻击，所以，用户可以通过修改Web端口达到CC防护的目的。

4、取消域名绑定

一般来说，CC攻击都是针对网站的域名进行攻击，攻击者会在ddos攻击软件中设定攻击对象为某域名，然后实施攻击。我们可以在IIS上取消这个域名的绑定，让CC攻击失去目标。取消域名绑定后，Web服务器的CPU会恢复正常状态，通过IP进行访问连接一切正常。但是也有不足之处就是，取消或者更改域名会给别人的访问带来不便。

还有其他能够提供有效CC防护的策略有：

1、及时清理无用过期等文件，并将大的文件对象或者页面部署在CDN节点上，隐藏真正的互联网带宽入口，降低对源站的影响等；

2、降低连接超时时间，及时释放系统资源应对TCP连接资源耗尽类型的CC攻击；

3、限制单IP连接数量，降低同一ip攻击者带来的危害和影响；

4、轻应用部署。应用部署时考虑页面静态比例，尽量让网站静态化，减少不必要的动态查询等方式，同时应急情况下可以将动态页面临时替换为静态页面，减少后台请求数据库/应用服务器的次数。

以上CC防护手段可以起到一定的防护作用。不过，我们也要看到，目前黑客攻击有多样化的趋势，一次攻击行为内往往混合了多种攻击方式和手段。

在互联网中常用的ddos攻击软件有哪些?

1、SolarWinds 安全事件管理器 (SEM)

SolarWinds 提供了一个安全事件管理器，它是一种有效的缓解和预防软件，可以阻止 DDoS 攻击。它将监控来自广泛来源的事件日志，以检测和阻止 DDoS 活动。

SEM 将利用来自社区的已知不良行为者列表来识别与潜在命令和控制服务器的交互。为此，它整合、规范化和审查来自各种来源（如 IDS/IP、防火墙、服务器等）的日志。

特征：

SEM 具有发送警报、阻止 IP 或关闭帐户的自动响应功能。

该工具将允许您使用复选框来配置选项。

它以加密和压缩格式保存日志和事件，并以不可更改的只读格式记录它们。

这种维护日志和事件的方法将使 SEM 成为违规后调查和 DDoS 缓解的单一事实来源。

SEM 将允许您根据特定时间范围、帐户/IP 或参数组合自定义过滤器。

结论：

SEM 遵循的维护日志和事件的方法将使其成为违规后调查和 DDoS 缓解的单一事实来源。

2、绿巨人

HULK 代表 HTTP 无法承受的负载之王。它是一种针对 Web 服务器的 DoS 攻击工具。它是为研究目的而创建的。

特征：

它可以绕过缓存引擎。

它可以产生独特而模糊的流量。

它会在 Web 服务器上产生大量流量。

结论：

它可能无法隐藏身份。可以阻止通过 HULK 的流量。

3、 托尔之锤

该工具是为测试目的而创建的。它用于慢速攻击。

特征：

如果您通过 Tor 网络运行它，那么您将保持身份不明。

为了通过 Tor 运行它，请使用 127.0.0.1:9050。

使用此工具，可以对 Apache 和 IIS 服务器进行攻击。

结论：

通过 Tor 网络运行该工具将具有额外的优势，因为它隐藏了您的身份。

4、斯洛洛里斯

Slowloris 工具用于进行 DDoS 攻击。它用于使服务器停机。

特征：

它将授权的 HTTP 流量发送到服务器。

它不会影响目标网络上的其他服务和端口。

这种攻击试图保持与那些打开的连接的最大连接。

它通过发送部分请求来实现这一点。

它试图尽可能长时间地保持连接。

由于服务器保持虚假连接打开，这将溢出连接池并拒绝对真实连接的请求。

结论：

由于它以较慢的速度进行攻击，因此很容易将流量检测为异常并可以被阻止。

5、 LOIC

LOIC 代表低轨道离子炮。它是一种免费且流行的工具，可用于 DDoS 攻击。

特征：

它很容易使用。

它向服务器发送 UDP、TCP 和 HTTP 请求。

它可以根据服务器的 URL 或 IP 地址进行攻击。

在几秒钟内，该网站将关闭，并且将停止响应实际请求。

它不会隐藏您的 IP 地址。即使使用代理服务器也行不通。因为在这种情况下，它将使代理服务器成为目标。

结论：

HIVEMIND 模式将允许您控制远程 LOIC 系统。借助此功能，您可以控制僵尸网络中的其他计算机。

6、Xoic

它是一个 DDoS 攻击工具。借助此工具，可以对小型网站进行攻击。

特征：

它很容易使用。

它提供了三种攻击模式。

测试模式。

正常 DoS 攻击模式。

使用 TCP 或 HTTP 或 UDP 或 ICMP 消息进行 DoS 攻击。

结论：

使用 XOIC 进行的攻击很容易被检测和阻止。

7、DDOSSIM

DDOSIM 代表 DDoS 模拟器。该工具用于模拟真实的 DDoS 攻击。它可以攻击网站以及网络。

特征：

它通过复制许多僵尸主机来攻击服务器。

这些主机与服务器建立完整的 TCP 连接。

它可以使用有效请求进行 HTTP DDoS 攻击。

它可以使用无效请求进行 DDoS 攻击。

它可以对应用层进行攻击。

结论：

此工具适用于 Linux 系统。它可以使用有效和无效请求进行攻击。

8、鲁迪

RUDY 代表 RU-Dead-Yet。该工具通过 POST 方法使用长表单字段提交进行攻击。

特征：

交互式控制台菜单。

您可以从 URL 中选择表单，用于基于 POST 的 DDoS 攻击。

它标识数据提交的表单域。然后以非常慢的速度将长内容长度数据注入此表单。

结论：

它的工作速度非常慢，因此很耗时。由于速度慢，它可以被检测为异常并被阻止。

9、PyLoris

该工具是为测试而创建的。为了对服务器进行 DoS 攻击，此工具使用 SOCKS 代理和 SSL 连接。

特征：

攻击可以在 HTTP、FTP、SMTP、IMAP 和 Telnet 上进行。

它有一个易于使用的 GUI。

它直接对服务进行攻击。

结论：

它具有 python 依赖项，安装也可能很困难。它可以对各种协议进行攻击。

10、 OWASP DOS HTTP POST

OWASP 代表开放 Web 应用程序安全项目。创建此工具是为了针对应用层攻击进行测试。它也可以用来测试性能。这个工具可以用来决定服务器的容量。

11、 Thc-ssl-dos

此攻击使用 SSL 耗尽方法。它通过耗尽所有 SSL 连接使服务器停机。它可以使用单台机器工作。

12、GoldenEye

该工具还用于对服务器进行攻击。它用于执行安全测试。它是专门为测试目的而制造的。

13、Hping

它通过发送 TCP/IP、UDP、ICMP、SYN 数据包进行 DDoS 攻击。它显示类似于 Ping 程序的回复。该工具是为测试目的而创建的。它用于测试防火墙规则。