DDOS案列分析
讲了这么久的基础,今天来点“猛”的!DDOS上场。。。。大家鼓掌!
先看图:
图1
图2
由于安全原因,小弟把图片中的目的IP抹去了,这不影响我们要讨论的东东!
这是基于TCP三次握手类型的DDOS,建立一个TCP连接,必须经过3个步骤
1、请求端发送一个SYN包给服务端
2、服务端返回一个SYN/ACK包给请求端
3、请求端再返回一个ACK包给服务端
这样,一个TCP连接就建立了。这个过程的详细讲解,不是我们这一讲要讨论,不明白的朋友,请看以后的TCP协议分析的文章!
这里,要明白一个东东,当服务器端没有收到第三步中的ACK包时,它会干什么?服务器端的这条TCP连接所占的系统资源,将会处于一个等待的状态,等待ACK包的到来!这个等待时间有多长,不同的操作系统不一样。况且,正确建立的TCP连接,在释放后,还会处于一个2MSL(俗称:等待状态,以后详解。。。哈哈)!基于以上两点再加上巨量的SYN包,此时,大家应该能够明白,会发生什么!
我们如何判断是否遭受了DDOS?请看第一张图,sunmmary栏目中,出现大量的SYN包,无SYN/ACK包,也没有其他协议或者进程的包。SYN包的源IP无规则跳变,跨度大!
第二张图是TCP首部,我们可以看到只有SYN域被指为1,而且所有的包都是这样!这绝对是发生了DDOS!
下一讲,我们将讲述一些针对这种类型DDOS的防御措施!其实,这些防御措施都是消极的,当DDOS流量无限增大时,没有任何设备能够完全防御!目前,市面上能够发动几个G流量的DDOS个人和组织很多!通过朋友的渠道得知,各大运营商,在部署分层次的DDOS防御体系,从骨干网到终端网逐级过滤,这让我们看见了曙光!
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
