二、DDOS攻击的现象及攻击方式

目前防火墙技术、性能的提升、计算机安全检测方式的多样化、网络拓扑结构的不断优化，计算机网络系统的安全性能得到了一定程度的提升。传统的DOS攻击已经很难起到多大的效果。

2011 年5月30日，美国政府表示，已经向全球最大军火商洛克希德 - 马丁公司(以下简称“洛马”)提供帮助，克服网络攻击带来的负面影响。洛马5 月21日宣布，该公司的计算机网络持续遭遇“猛烈攻击”。美国国土安全部的一名发言人称，该部及国防部已经了解洛马遭遇网络攻击，并向该公司提供帮助。网络安全使 们每时每刻都关心的问题，因为我们的生活已经与它有越来越多的交集。被DDOS攻击时的现象是能瞬间造成对方电脑死机或者假死，我曾经测试过，攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音，主要攻击方式包括：TCP 全连接攻击、SYN 变种攻击、TCP混乱数据包攻击、针对用UDP协议的攻击、针对WEB Server的多连接攻击及变种攻击、针对游戏服务器的攻击。新型的DDOS攻击方式大致分为3类：基于堵流量的攻击方式、基于网站脚本的攻击方式、另类攻击方式。为便于说明， 以下特别以寄信者(攻击者)—邮局(硬件防火墙) —收信者(服务器)作为事例辅助说明。

(一)基于堵流量的攻击方式

这类攻击方式伤人先伤己，牺牲自己的带宽流 量去堵别人的带宽流量，造成他人无法访问。就好象 某个寄信者通过邮局给你寄了数量极其庞大的垃圾 信件，而收件者的信箱容量是有限的，从而导致收信 者的信箱被塞满，其他的正常信件无法投递过来。

1.SYN 变种攻击模式

这种攻击方式发送伪造源 IP 的 SYN 数据包，与传统的 SYN 攻击不同的是，它的数据包不是过去 的六十四字节，而是多达上千字节,这样的攻击方式 会造成一些防火墙处理错误进而导致锁死，在消耗 掉服务器 CPU 和内存的同时还会阻塞网络带宽。除 此之外，还可以通过发送伪造源 IP 的 TCP 数据包， 并且在 TCP 头的 TCP 标志位进行随机设置，造成其 标志位的混乱。而再强大的防火墙的数据吞吐量也 是有限的，因此在这样的攻击方式面前，防火墙常常无计可施。

2.TCP 并发攻击模式

每台电脑的套接字数量都是有限的，Windows 规定每个应用程序最大使用的套接字数量是 1024 个。这种攻击方式就是利用了Windows的这一特 性，在短时间内不断对目标主机的特定端口创建TCP 连接，消耗其套接字资源，直到其用尽为止。这样也就导致此端口无法正常提供服务了。这种攻击是为了绕过常规防火墙的检查而设计的，因为常规的防火墙大多具备如SYN、UDP、ICMP 等传统的DDOS 攻击的防御过滤功能，但对于正常的TCP连接是放过的。

3.分布式反射拒绝服务攻击(DRDOS)

DRDOS是英文“Distributed Reflection Denial of Servie Attack”的缩写。根据TCP三次握手的规则，一台主机向另外一台目标主机发送了 SYN 请求后，目标主机会根据 SYN 请求包的源地址发出SYN+ACK. 82. 包来响应这个请求。DRDOS就是利用了这个规则的 缺陷，将请求包的源地址伪造为被害机器的地址，那么目标服务器就会将 SYN+ACK 应答包发往被害机器。当然，以现在的硬件条件，这么点的数据包对于被害主机的影响微乎其微。可是，当被害者被多个网 络核心基础设施路由器攻击，而这些连接又都是完 全合法的SYN+ACK 连接应答包。路由器使用BGP (BGP 是中介路由器支持的“边界网关协议”Border Gateway Protocol) 与它们的邻居进行即时的信息交 流来交换它们的路由表，这是为了通知它们彼此路 由器可以在哪个 IP 范围内进行转交。BGP 自身规则 本没有问题，每个良好连接的中介器都会接受它们 179 端口上的连接。也就是说，任何一个SYN数据包到达一个网络路由器上后，都会引出一个该路由 的 SYN+ACK 应答包来，从而利用 BGP 的特性实现 了反射放大，形成洪水攻击，造成该主机忙于处理这 些回应而最终形成拒绝式服务攻击。这好比给某人 写信时，故意将寄信人的地址伪造为目标 A 的地 址，而收信人收到信后按照 A 的地址回信，从而造 成目标 A 的信箱被大量的“回信”所阻塞。

4.针对游戏服务器的攻击

网络游戏开发商通常为了吸引游戏玩家而设计 多种多样的游戏元素，其协议设计非常复杂，这便给攻击者提供了可乘之机，在提供丰富游戏元素的同 时也给攻击者提供了多种攻击手段。当前最流行的 一种攻击方式叫做“假人攻击”，这种攻击方式是通 过技术手段，完全模拟游戏客户端的注册、登陆、建立人物、进入游戏活动的整个过程协议数据，从数据协议层面模拟正常的游戏玩家。此攻击方式即使是在一台奔腾 3 的机器上也能轻易地模拟出数百个游 戏玩家，从而可以利用傀儡主机在极短时间内制造 出大量的虚假玩家来消耗游戏服务器资源，但这种 攻击方式是很难从游戏数据包来分析出哪些是攻击 者哪些是正常玩家，因为在服务端看来，二者的数据包是完全一样的。