DDOS是分布式阻断服务,黑客利用DDOS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的,这样就形成了DDOS攻击,随着互联网的不断发展,竞争越来越激烈,各式各样的DDOS攻击器开始出现。
DDOS 是(Distributed Denial of Service)的缩写,即分布式阻断服务,黑客利用 DDOS 攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的,这样就形成了 DDOS 攻击,随着互联网的不断发展,竞争越来越激烈,各式各样的 DDOS 攻击器开始出现。就以 2014 年最新的闪电 DDOS 来说他的 DNS 攻击模式可放大 N 倍进行反射攻击。不少公司雇佣黑客团队对自己的竞争对手进行 DDOS 攻击。业界的各类攻击产品很多,最强悍技术最领先的防火墙测试软件就是 DDOS 攻击器了。
价值性
在当今维护网络安全的措施中,防火墙是应用最普遍、提供最基本网络防范功能的一种有效手段。针对威胁网络安全的 DDOS 攻击,DDOS 防火墙扮演着重要的角色,其产品也是琳琅满目。随着用户对 DDOS 防火墙的质量要求越来越高,对 DDOS 防火墙产品的 DDOS 压力测试的研究也随即展开,压力测试软件的重要性能够让企业及时发现自己网络环境的薄弱点,从而及时防范潜在的黑客攻击,降低企业的损失。
攻击器
主要用于目标主机攻击测试、网站攻击测试和流量测试,参考众多国内外优秀的 DDOS 攻击测试软件的特点,并采用全球领先的网络流量控制和系统开销控制技术,具有速度快,不堵塞,隐蔽性好,攻击性能强悍等优异的特性,可以充分发掘目标对象的弱点。
1.新型的代码堵塞
业内最近疯传 SYN 攻击,SYN 攻击也就是堵塞 TCP 与 IP 之间的互动,SYN 攻击属于 Ddos 攻击的一种,它利用 TCP 协议缺陷,通过发送大量的半连接请求,耗费 CPU 和内存资源。SYN 攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上 SYN 攻击并不管目标是什么系统,只要这些系统打开 TCP 服务就可以实施。服务器接收到连接请求(syn= j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入 SYN_RECV 状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合 IP 欺骗,SYN 攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的 IP 地址,向服务器不断地发送 syn 包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的 SYN 包将长时间占用未连接队列,正常的 SYN 请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
2.多种上线连接方式与灵活的操作配置。
软件采用支持多种方式的主机上线机制,如 动态域名/URL 转向/FTP 上传 IP 文件/固定 IP 等,最高支持数十万台主机上线。且不占内存不耗服务端 CPU,这是以往的软件不可比拟的,I/O 效率远远高于同类产品,可同时操作数万台主机,具有高效的稳定性和优越性。支持 DNS 解析。FTP 在线更新,内网端口映射,花生壳 3322 等动态域名连接上线,更有 VIP 专用上线<借鉴前辈灰鸽子>支持客户自己本地配置服务端,灵活的操作配置完全满足客户的需求。
3.强大的攻击性能与操作系统兼容
DDOS 攻击器可以设定 1~50 个并行线程,支持常规主机攻击,如 UDP/TCP/ICMP/SYN/ACK/传奇登陆攻击/DNS 巡回攻击/HTTP GET/无限 CC<穿透防火墙,针对最新版本金盾,独创智能混合攻击与变种 CC 攻击等,服务端完全模拟出 JAVA 脚本>/循环 CC/循环下载文件等多达 12 大类攻击模式,有效测试网站及主机弱点。支持多模式同时攻击!独有的 UDP 攻击,采用新型的内核技术,发送数据包不经过缓存区直接对目标发送,且仅占 CPU %5,攻击速度一流。真正做到了 UDP 攻击不掉被控端的效果。软件完美兼容常见的操作系统,包括:windows 2000/2003/2008/xp/vista/windows 7 不兼容 9x 系列。
4.服务端的特性
服务端部分代码由汇编直接完成,体积保持在无壳 30KB 以下,FSG 压缩完 10kB 更诱人。支持插入 SVCHOST/IE 浏览器/EXP 等多种进程,无 DLL 完全穿透防火墙。
综合特色:服务端纯 SDK 打造,无 MFC 类,方便免杀,采用 Shell Code 特殊方式注入,无 DLL 穿越防火墙自动探测系统是否支持 raw 发包提升攻击效率 30%,注册服务启动,安全稳定。客户端使用 IOCP 完成端口上线,具有强大的自动重连功能,可以自动寻找宿主的外网地址,自动使用代理,支持局域网内控制。无上线限制,具有高效率,高发包率,不死锁等特点。
5.优秀的提供商
琳琅满目的 DDOS 软件让用户应接不暇,那么我们如何选一款适合自己的测试软件呢?首先要确定你需要测试的范围,一般分为两种,
第一种 WEB 攻击测试,CC 攻击测试是针对 GET 可承受量来进行测试,此类攻击硬防无法防御,只能使用软件来过滤访问,测试软件防火墙效果使用 CC 攻击来测试就是最好的了。
第二种流量攻击,流量攻击分为很多种 TCP、UDP、ICMP 等多重攻击模式,这时候如果你想测试的话就需要花点功夫来寻找一款好的软件了,这几种攻击模式考验的是你的硬件防火墙的承受能力。
攻击种类
受害主机在 DDoS 攻击下,明显特征就是大量的不明数据报文流向受害主机,受害主机的网络接入带宽被耗尽,或者受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机。前者可称为带宽消耗攻击,后者称为系统资源消耗攻击。两者可能单独发生,也可能同时发生。
1 带宽消耗攻击
DDoS 带宽消耗攻击主要为直接洪流攻击。 直接洪流攻击采取了简单自然的攻击方式,它利用了攻击方的资源优势,当大量代理发出的攻击流汇聚于目标时,足以耗尽其 Internet 接入带宽。通常用于发送的攻击报文类型有:TCP 报文(可含 TCP SYN 报文),UDP 报文,ICMP 报文,三者可以单独使用,也可同时使用。
1.1 TCP 洪流攻击
在早期的 DoS 攻击中,攻击者只发送 TCP SYN 报文,以消耗目标的系统资源。而在 DDoS 攻击中,由于攻击者拥有更多的攻击资源,所以攻击者在大量发送 TCP SYN 报文的同时,还发送 ACK, FIN, RST 报文以及其他 TCP 普通数据报文,这称为 TCP 洪流攻击。该攻击在消耗系统资源(主要由 SYN,RST 报文导致)的同时,还能拥塞受害者的网络接入带宽。由于 TCP 协议为 TCP/IP 协议中的基础协议,是许多重要应用层服务(如 WEB 服务,FTP 服务等)的基础,所以 TCP 洪流攻击能对服务器的服务性能造成致命的影响。据研究统计,大多数 DDoS 攻击通过 TCP 洪流攻击实现。
1.2UDP 洪流攻击
用户数据报协议(UDP)是一个无连接协议。当数据包经由 UDP 协议发送时,发送双方无需通过三次握手建立连接, 接收方必须接收处理该数据包。因此大量的发往受害主机 UDP 报文能使网络饱和。在一起 UDP 洪流攻击中,UDP 报文发往受害系统的随机或指定端口。通常,UDP 洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。如果受害系统在某个被攻击端口没有运行服务,它将用 ICMP 报文回应一个“目标端口不可达”消息。通常,攻击中的 DDoS 工具会伪造攻击包的源 IP 地址。这有助于隐藏代理的身份,同时能确保来自受害主机的回应消息不会返回到代理。UDP 洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。
1.3 ICMP 洪流攻击
Internet 控制报文协议传递差错报文及其它网络管理消息,它被用于定位网络设备,确定源到端的跳数或往返时间等。一个典型的运用就是 Ping 程序,其使用 ICMP_ECHO REQEST 报文,用户可以向目标发送一个请求消息,并收到一个带往返时间的回应消息。ICMP 洪流攻击就是通过代理向受害主机发送大量 ICMP_ECHO_ REQEST)报文。这些报文涌往目标并使其回应报文,两者合起来的流量将使受害主机网络带宽饱和。与 UDP 洪流攻击一样,ICMP 洪流攻击通常也伪造源 IP 地址。
2 系统资源消耗攻击
DDoS 系统资源消耗攻击包括恶意误用 TCP/IP 协议通信和发送畸形报文两种攻击方式。两者都能起到占用系统资源的效果。具体有以下几种:
TCP SYN 攻击。DoS 的主要攻击方式,在 DDoS 攻击中仍然是最常见的攻击手段之一。只不过在 DDoS 方式下,它的攻击强度得到了成百上千倍的增加。 TCP PSH+ACK 攻击。在 TCP 协议中,到达目的地的报文将进入 TCP 栈的缓冲区,直到缓冲区满了,报文才被转送给接收系统。此举是为了使系统清空缓冲区的次数达到最小。然而,发送者可通过发送 PSH 标志为 1 的 TCP 报文来起强制要求接受系统将缓冲区的内容清除。TCP PUSH+ACK 攻击与 TCP SYN 攻击一样目的在于耗尽受害系统的资源。当代理向受害主机发送 PSH 和 ACK 标志设为 1 的 TCP 报文时, 这些报文将使接收系统清除所有 TCP 缓冲区的数据(不管缓冲区是满的还是非满),并回应一个确认消息。如果这个过程被大量代理重复,系统将无法处理大量的流入报文。 畸形报文攻击。顾名思义,畸形报文攻击指的是攻击者指使代理向受害主机发送错误成型的 IP 报文以使其崩溃。有两种畸形报文攻击方式。一种是 IP 地址攻击,攻击报文拥有相同的源 IP 和目的 IP 地址。它能迷惑受害主机的操作系统,并使其消耗大量的处理能力。另一个是 IP 报文可选段攻击。攻击报文随机选取 IP 报文的可选段并将其所有的服务比特值设为 1。对此,受害系统不得不花费额外的处理时间来分析数据包。当发动攻击的代理足够多时,受害系统将失去处理能力。
3 应用层攻击
典型如国内流行的传奇假人攻击,这种攻击利用傀儡机,模拟了传奇服务器的数据流,能够完成普通传奇戏服务器的注册、登陆等功能,使得服务器运行的传奇游戏内出现大量的假人,影响了正常玩家的登陆和游戏,严重时完全无法登陆。
