拒絕服務(wù)攻擊(拒絕服務(wù)攻擊原理、常見方法及防范)

PAGE26拒絕服務(wù)攻擊(拒絕服務(wù)攻擊原理、常見方法及防范)網(wǎng)絡(luò)安全原理與應(yīng)用系別：計算機科學(xué)與技術(shù)系班級：網(wǎng)絡(luò)信息與技術(shù)姓名：xxx學(xué)號：xxxxxxxxxxxxx

拒絕服務(wù)攻擊原理、常見方法及防范什么是DOS攻擊DOS：即DenialOfService，拒絕服務(wù)的縮寫，可不能認為是微軟的dos操作系統(tǒng)了。DOS攻擊即攻擊者想辦法讓目標機器停止提供服務(wù)或資源訪問，這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。比如：*試圖FLOOD服務(wù)器，阻止合法的網(wǎng)絡(luò)通訊*破壞兩個機器間的連接，阻止訪問服務(wù)*阻止特殊用戶訪問服務(wù)*破壞服務(wù)器的服務(wù)或者導(dǎo)致服務(wù)器死機不過，只有那些比較陰險的攻擊者才單獨使用DOS攻擊，破壞服務(wù)器。通常，DOS攻擊會被作為一次入侵的一部分，比如，繞過入侵檢測系統(tǒng)的時候，通常從用大量的攻擊出發(fā)，導(dǎo)致入侵檢測系統(tǒng)日志過多或者反應(yīng)遲鈍，這樣，入侵者就可以在潮水般的攻擊中混騙過入侵檢測系統(tǒng)。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。這時侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運而生了。你理解了DoS攻擊的話，它的原理就很簡單。如果說計算機與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機來攻擊不再能起作用的話，攻擊者使用10臺攻擊機同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時，黑客占領(lǐng)攻擊用的傀儡機時，總是會優(yōu)先考慮離目標網(wǎng)絡(luò)距離近的機器，因為經(jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的，大城市之間更可以達到2.5G的連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。有關(guān)TCP協(xié)議的東西

TCP（transmissioncontrolprotocol，傳輸控制協(xié)議），是用來在不可靠的因特網(wǎng)上提供可靠的、端到端的字節(jié)流通訊協(xié)議，在RFC793中有正式定義，還有一些解決錯誤的東西在RFC1122中有記錄，RFC1323則有TCP的功能擴展。

我們常見到的TCP/IP協(xié)議中，IP層不保證將數(shù)據(jù)報正確傳送到目的地，TCP則從本地機器接受用戶的數(shù)據(jù)流，將其分成不超過64K字節(jié)的數(shù)據(jù)片段，將每個數(shù)據(jù)片段作為單獨的IP數(shù)據(jù)包發(fā)送出去，最后在目的地機器中再組合成完整的字節(jié)流，TCP協(xié)議必須保證可靠性。

發(fā)送和接收方的TCP傳輸以數(shù)據(jù)段的形式交換數(shù)據(jù)，一個數(shù)據(jù)段包括一個固定的20字節(jié)頭，加上可選部分，后面再跟上數(shù)據(jù)，TCP協(xié)議從發(fā)送方傳送一個數(shù)據(jù)段的時候，還要啟動計時器，當數(shù)據(jù)段到達目的地后，接收方還要發(fā)送回一個數(shù)據(jù)段，其中有一個確認序號，它等于希望收到的下一個數(shù)據(jù)段的順序號，如果計時器在確認信息到達前超時了，發(fā)送方會重新發(fā)送這個數(shù)據(jù)段。

上面，我們總體上了解一點TCP協(xié)議，重要的是要熟悉TCP的數(shù)據(jù)頭（header）。因為數(shù)據(jù)流的傳輸最重要的就是header里面的東西，至于發(fā)送的數(shù)據(jù)，只是header附帶上的。客戶端和服務(wù)端的服務(wù)響應(yīng)就是同header里面的數(shù)據(jù)相關(guān)，兩端的信息交流和交換是根據(jù)header中的內(nèi)容實施的，因此，要實現(xiàn)DOS，就必須對header中的內(nèi)容非常熟悉。

下面是TCP數(shù)據(jù)段頭格式。

SourcePort和DestinationPort:是本地端口和目標端口

SequenceNumber和AcknowledgmentNumber：是順序號和確認號，確認號是希望接收的字節(jié)號。這都是32位的，在TCP流中，每個數(shù)據(jù)字節(jié)都被編號。

Dataoffset:表明TCP頭包含多少個32位字，用來確定頭的長度，因為頭中可選字段長度是不定的。

Reserved:保留的6位，現(xiàn)在沒用，都是0接下來是6個1位的標志，這是兩個計算機數(shù)據(jù)交流的信息標志。接收和發(fā)送斷根據(jù)這些標志來確定信息流的種類。下面是一些介紹：

URG：（UrgentPointerfieldsignificant）緊急指針。用到的時候值為1，用來處理避免TCP數(shù)據(jù)流中斷。

ACK：（Acknowledgmentfieldsignificant）置1時表示確認號（AcknowledgmentNumber）為合法，為0的時候表示數(shù)據(jù)段不包含確認信息，確認號被忽略。

PSH：（PushFunction），PUSH標志的數(shù)據(jù)，置1時請求的數(shù)據(jù)段在接收方得到后就可直接送到應(yīng)用程序，而不必等到緩沖區(qū)滿時才傳送。

RST：（Resettheconnection）用于復(fù)位因某種原因引起出現(xiàn)的錯誤連接，也用來拒絕非法數(shù)據(jù)和請求。如果接收到RST位時候，通常發(fā)生了某些錯誤。

SYN：（Synchronizesequencenumbers）用來建立連接，在連接請求中，SYN=1，ACK=0，連接響應(yīng)時，SYN=1，ACK=1。即，SYN和ACK來區(qū)分ConnectionRequest和ConnectionAccepted。

FIN：（Nomoredatafromsender）用來釋放連接，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)送了。

知道這重要的6個指示標志后，我們繼續(xù)來。

16位的WINDOW字段：表示確認了字節(jié)后還可以發(fā)送多少字節(jié)?？梢詾?，表示已經(jīng)收到包括確認號減1（即已發(fā)送所有數(shù)據(jù)）在內(nèi)的所有數(shù)據(jù)段。

接下來是16位的Checksum字段，用來確保可靠性的。

16位的UrgentPointer，和下面的字段我們這里不解釋了。不然太多了。呵呵，偷懶啊。

我們進入比較重要的一部分：TCP連接握手過程。這個過程簡單地分為三步。

在沒有連接中，接受方（我們針對服務(wù)器），服務(wù)器處于LISTEN狀態(tài)，等待其他機器發(fā)送連接請求。

第一步：客戶端發(fā)送一個帶SYN位的請求，向服務(wù)器表示需要連接，比如發(fā)送包假設(shè)請求序號為10，那么則為：SYN=10，ACK=0，

然后等待服務(wù)器的響應(yīng)。

第二步：服務(wù)器接收到這樣的請求后，查看是否在LISTEN的是指定的端口，不然，就發(fā)送RST=1應(yīng)答，拒絕建立連接。如果接收

連接，那么服務(wù)器發(fā)送確認，SYN為服務(wù)器的一個內(nèi)碼，假設(shè)為100，ACK位則是客戶端的請求序號加1，本例中發(fā)送的數(shù)據(jù)是：

SYN=100，ACK=11，用這樣的數(shù)據(jù)發(fā)送給客戶端。向客戶端表示，服務(wù)器連接已經(jīng)準備好了，等待客戶端的確認

這時客戶端接收到消息后，分析得到的信息，準備發(fā)送確認連接信號到服務(wù)器

第三步：客戶端發(fā)送確認建立連接的消息給服務(wù)器。確認信息的SYN位是服務(wù)器發(fā)送的ACK位，ACK位是服務(wù)器發(fā)送的SYN位加1。

即：SYN=11，ACK=101。

這時，連接已經(jīng)建立起來了。然后發(fā)送數(shù)據(jù)，。這是一個基本的請求和連接過程。需要注意的是這些標志位的關(guān)系，比如SYN、ACK。上面的介紹，我們了解TCP協(xié)議，以及連接過程。要對SERVER實施拒絕服務(wù)攻擊，實質(zhì)上的方式就是有兩個：一，迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求。二，使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接，這就是DOS攻擊實施的基本思想。被DDoS攻擊時的現(xiàn)象：·被攻擊主機上有大量等待的TCP連接·網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假·制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊·利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求·嚴重時會造成系統(tǒng)死機攻擊進行原理：

如圖一，一個比較完善的DDoS攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。有的朋友也許會問道："為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到（我在小時候向別人家的雞窩扔石頭的時候也曉得在第一時間逃掉，呵呵），而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門（我以后還要回來的哦）！2.如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的。控制傀儡機的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。黑客是如何組織一次DDoS攻擊的？

這里用"組織"這個詞，是因為DDoS并不象入侵一臺主機那樣簡單。一般來說，黑客進行DDoS攻擊時會經(jīng)過這樣的步驟：1.搜集了解目標的情況

下列情況是黑客非常關(guān)心的情報：被攻擊目標主機數(shù)目、地址情況目標主機的配置、性能目標的帶寬對于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點，如，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網(wǎng)站可能有很多臺主機利用負載均衡技術(shù)提供同一個網(wǎng)站的www服務(wù)。以yahoo為例，一般會有下列地址都是提供服務(wù)的：

7

8

9

0

1

3

4

6如果要進行DDoS攻擊的話，應(yīng)該攻擊哪一個地址呢？使7這臺機器癱掉，但其他的主機還是能向外提供www服務(wù)，所以想讓別人訪問不到的話，要所有這些IP地址的機器都癱掉才行。在實際的應(yīng)用中，一個IP地址往往還代表著數(shù)臺機器：網(wǎng)站維護者使用了四層或七層交換機來做負載均衡，把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對于DDoS攻擊者來說情況就更復(fù)雜了，他面對的任務(wù)可能是讓幾十臺主機的服務(wù)都不正常。所以說事先搜集情報對DDoS攻擊者來說是非常重要的，這關(guān)系到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點的2臺主機需要2臺傀儡機的話，攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好，不管你有多少臺主機我都用盡量多的傀儡機來攻就是了，反正傀儡機超過了時候效果更好。但在實際過程中，有很多黑客并不進行情報的搜集而直接進行DDoS的攻擊，這時候攻擊的盲目性就很大了，效果如何也要靠運氣。其實做黑客也象網(wǎng)管員一樣，是不能偷懶的。一件事做得好與壞，態(tài)度最重要，水平還在其次。2.占領(lǐng)傀儡機

黑客最感興趣的是有下列情況的主機：鏈路狀態(tài)好的主機性能好的主機安全管理水平差的主機這一部分實際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說，就是占領(lǐng)和控制被攻擊的主機。取得最高的管理權(quán)限，或者至少得到一個有權(quán)限完成DDoS攻擊任務(wù)的帳號。對于一個DDoS攻擊者來說，準備好一定數(shù)量的傀儡機是一個必要的條件，下面說一下他是如何攻擊并占領(lǐng)它們的。首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了，具體的手段就不在這里多說了，感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章?？傊诳同F(xiàn)在占領(lǐng)了一臺傀儡機了！然后他做什么呢？除了上面說過留后門擦腳印這些基本工作之外，他會把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDoS的發(fā)包程序，黑客就是利用它來向受害目標發(fā)送惡意攻擊包的。3.實際攻擊

經(jīng)過前2個階段的精心準備之后，黑客就開始瞄準目標準備發(fā)射了。前面的準備做得好的話，實際攻擊過程反而是比較簡單的。就象圖示里的那樣，黑客登錄到做為控制臺的傀儡機，向所有的攻擊機發(fā)出命令："預(yù)備~，瞄準~，開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應(yīng)控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機或是無法響應(yīng)正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊，他們不會"憐香惜玉"。老到的攻擊者一邊攻擊，還會用各種手段來監(jiān)視攻擊的效果，在需要的時候進行一些調(diào)整。簡單些就是開個窗口不斷地ping目標主機，在能接到回應(yīng)的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。DDoS攻擊實例：●SYNFlood攻擊SYN-Flood是目前最流行的DDoS攻擊手段，早先的DoS的手段在向分布式這一階段發(fā)展的時候也經(jīng)歷了浪里淘沙的過程。SYN-Flood的攻擊效果最好，應(yīng)該是眾黑客不約而同選擇它的原因吧。那么我們一起來看看SYN-Flood的詳細情況。SynFlood原理-三次握手

SynFlood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是SynFlood存在的基礎(chǔ)。TCP連接的三次握手

圖二TCP三次握手如圖二，在第一步中，客戶端向服務(wù)端提出連接請求。這時TCPSYN標志置位?？蛻舳烁嬖V服務(wù)端序列號區(qū)域合法，需要檢查?？蛻舳嗽赥CP報頭的序列號區(qū)中插入自己的ISN。服務(wù)端收到該TCP分段后，在第二步以自己的ISN回應(yīng)(SYN標志置位)，同時確認收到客戶端的第一個TCP分段(ACK標志置位)。在第三步中，客戶端確認收到服務(wù)端的ISN(ACK標志置位)。到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程。SynFlood攻擊者不會完成三次握手

圖三SynFlood惡意地不完成三次握手假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。藭r從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）?！馡P欺騙DOS攻擊這種攻擊利用RST位來實現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶()已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認為從發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。

攻擊時，偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)。

●帶寬DOS攻擊如果你的連接帶寬足夠大而服務(wù)器又不是很大，你可以發(fā)送請求，來消耗服務(wù)器的緩沖區(qū)消耗服務(wù)器的帶寬。這種攻擊就是人多力量大了，配合上SYN一起實施DOS，威力巨大。不過是初級DOS攻擊。呵呵。Ping白宮？？你發(fā)瘋了啊！

●自身消耗的DOS攻擊

這是一種老式的攻擊手法。說老式，是因為老式的系統(tǒng)有這樣的自身BUG。比如Win95(winsockv1),CiscoIOSv.10.x,和其他過時的系統(tǒng)。

這種DOS攻擊就是把請求客戶端IP和端口弄成主機的IP端口相同，發(fā)送給主機。使得主機給自己發(fā)送TCP請求和連接。這種主機的漏洞會很快把資源消耗光。直接導(dǎo)致當機。這中偽裝對一些身份認證系統(tǒng)還是威脅巨大的。

上面這些實施DOS攻擊的手段最主要的就是構(gòu)造需要的TCP數(shù)據(jù)，充分利用TCP協(xié)議。這些攻擊方法都是建立在TCP基礎(chǔ)上的。還有其他的DOS攻擊手段。

●塞滿服務(wù)器的硬盤

通常，如果服務(wù)器可以沒有限制地執(zhí)行寫操作，那么都能成為塞滿硬盤造成DOS攻擊的途徑，比如：

發(fā)送垃圾郵件。一般公司的服務(wù)器可能把郵件服務(wù)器和WEB服務(wù)器都放在一起。破壞者可以發(fā)送大量的垃圾郵件，這些郵件可能都塞在一個郵件隊列中或者就是壞郵件隊列中，直到郵箱被撐破或者把硬盤塞滿。

讓日志記錄滿。入侵者可以構(gòu)造大量的錯誤信息發(fā)送出來，服務(wù)器記錄這些錯誤，可能就造成日志文件非常龐大，甚至?xí)麧M硬盤。同時會讓管理員痛苦地面對大量的日志，甚至就不能發(fā)現(xiàn)入侵者真正的入侵途徑。

向匿名FTP塞垃圾文件。這樣也可以塞滿硬盤空間。

●合理利用策略

一般服務(wù)器都有關(guān)于帳戶鎖定的安全策略，比如，某個帳戶連續(xù)3次登陸失敗，那么這個帳號將被鎖定。這點也可以被破壞者利用，他們偽裝一個帳號去錯誤登陸，這樣使得這個帳號被鎖定，而正常的合法用戶就不能使用這個帳號去登陸系統(tǒng)了。防范與抵御DDoS攻擊對DDoS攻擊來說并沒有100％有效的防御手段。但是由于攻擊者必須付出比防御者大得多的資源和努力才能實現(xiàn)有效的攻擊，所以只要我們更好地了解DDoS攻擊，積極部署防御措施，還是能在很大程度上緩解和抵御這類安全威脅的。另外，加強用戶的安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性也是很重要的措施。監(jiān)控骨干網(wǎng)絡(luò)設(shè)備，減少骨干網(wǎng)主機的漏洞加強對骨干網(wǎng)絡(luò)設(shè)備的監(jiān)控，常用的方法包括限制連接隊列的長度以及減少處理延時等。前者可以緩解系統(tǒng)資源的耗盡，雖然不能完全避免拒絕服務(wù)的發(fā)生，但是至少在一定程度上降低了系統(tǒng)崩潰的可能性，而后者能夠加強系統(tǒng)的處理能力。通過減少延時，我們能以更快的速度拋棄隊列里等待的連接，而不是任其堆滿隊列。不過這種方法也不是在所有的情況下都有效，因為很多DDoS的攻擊機制并不是建立在類似SYNFlood這樣以畸形連接淹沒隊列的方式之上的。

幾乎所有的主機平臺都有抵御DDoS的設(shè)置，基本的設(shè)置有四種：

1.關(guān)閉不必要的服務(wù)。確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)，如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)——甚至是受防火墻保護的系統(tǒng)。確保運行在Unix主機上的所有服務(wù)都有TCP封裝程序，限制對主機的訪問權(quán)限。

2.限制同時打開的Syn半連接數(shù)目。

3.縮短Syn半連接的timeout時間。

4.及時更新系統(tǒng)補丁。確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補丁，計算機緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。因此應(yīng)當及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。

合理配置路由器及防火墻，實現(xiàn)IDS和防火墻的聯(lián)動企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個設(shè)備是與外界的接口設(shè)備。需要注意的是防DDoS的設(shè)置是以犧牲效率為代價的。路由器（以Cisco路由器為例）

1．CiscoExpressForwarding（CEF）。

2．使用unicastreverse-path。

3．訪問控制列表（ACL）過濾。

4．設(shè)置SYN數(shù)據(jù)包流量速率。

5．升級版本過低的ISO。

6．為路由器建立logserver。

其中使用CEF和Unicast設(shè)置時要特別注意，使用不當會造成路由器工作效率嚴重下降，升級IOS也應(yīng)謹慎。

在思科路由器上使用ipverfyunicastreverse-path網(wǎng)絡(luò)接口命令，這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF表該數(shù)據(jù)包所到達網(wǎng)絡(luò)接口的所有路由項中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個源IP地址為的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址提供任何路由（即反向數(shù)據(jù)包傳輸時所需的路由），則路由器會丟棄它。單一地址反向傳輸路徑轉(zhuǎn)發(fā)（UnicastReversePathForwarding）在ISP（局端）實現(xiàn)阻止SMURF攻擊和其他基于IP地址偽裝的攻擊，這能夠保護網(wǎng)絡(luò)和客戶避免受來自互聯(lián)網(wǎng)其他地方的侵擾。使用UnicastRPF需要打開路由器的“\CEFswithing\”或“\CEFdistributedswitching\”選項，不需要將輸入接口配置為CEF交換（switching）。只要該路由器打開了CEF功能，所有獨立的網(wǎng)絡(luò)接口都可以配置為其他交換（switching）模式。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在一個網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。

防火墻

1．禁止對主機的非開放服務(wù)的訪問。

2．限制同時打開的SYN最大連接數(shù)。

3．限制特定IP地址的訪問。

4．啟用防火墻的防DDoS屬性。

5．嚴格限制對外開放的服務(wù)器的向外訪問。

要限制在防火墻外與網(wǎng)絡(luò)文件共享，因為這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功