DDOS软件是采用大量被控主机向目标主机发动洪水攻击,可广泛应用于机房路由硬件防火墙测试,机房带宽测试,服务器负载上限测试,WEB应用测试等
DDOS 软件是采用大量被控主机向目标主机发动洪水攻击,可广泛应用于机房路由硬件防火墙测试,机房带宽测试,服务器负载上限测试,WEB 应用测试等
防御方法就是提高服务器的带宽 硬防 针对 CC 可以使用一些安全软件
DDOS 软件特性
主要用于目标主机攻击测试、网站攻击测试和流量测试,参考众多国内外优秀的 DDOS 攻击测试软件的特点,并采用全球领先的网络流量控制和系统开销控制技术,具有速度快,不堵塞,隐蔽性好,攻击性能强悍等优异的特性,可以充分发掘目标对象的弱点。
强大的攻击性能
集合了市面上所有攻击软件优点 取得了革命性突破 (独立编写代码.很有效的防止放火墙公司修改参数进行防御攻击.)支持自定义数据包的 TCP/UDP 攻击,支持常规主机攻击,如 TCP 多连接/UDP 洪水报/ICMP/IGMP/SYN 等,支持网站攻击,如 HTTP 多连 接/HTTP 下载/FTP 多连接/FTP 下载/CC 攻击等,支持 win98/2k/xp/xp-sp2/vista 系统。
经测试,每秒平均可达到 7000 个伪造数据包(CPU 占用 5%左右),每秒平均可达到 10000 个 UDP 包(CPU 占用 5%左右)。并且有多种发包模式,可根据网络和电脑配置设置达到最佳的发包速度。
一般的软件防火墙能承受的就是十万个左右的伪造数据包……..理论上讲只要有十多台傀儡僵尸机就可以把它攻瘫痪,这根带宽有关系。大家可以自行测试。
肉鸡的自动上线
支持多种方式的肉鸡上线机制,如 动态域名/URL 转向/FTP 上传 IP 文件/固定 IP 等,通过简单配置就可以自动生成服务端。服务端具有强大的自动重连功能,可以自动寻找宿主的外网地 址,自动使用代理,支持局域网内控制,永不掉线。
隐蔽性能
服务端可以加壳保护,可以注入到 任意的进程中,如 explorer,svchost 等等,NT 系统上可以生成伪装的 service 自动启动。
一流的攻击速度
服务端部分代码由汇编直接完成, 在保障功能的同时尽可能紧凑,达到完美的攻击速度,通过优化速度和线程,提升最佳攻击能力。
DDOS 攻击类型
1.SYN 攻击
发送伪造源 IP 的 SYN 数据包但是数据包不是 64 字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器 CPU 内存的同时还会堵塞带宽。
2.TCP 攻击
发送伪造源 IP 的 TCP 数据包,TCP 头的 TCP Flags 部分是混乱的可能是 syn ,ack ,syn+ack ,syn+rst 等等,会造成一些防火墙处理错误锁死,消耗服务器 CPU 内存的同时
还会堵塞带宽。
3.UDP 攻击
很多聊天室,视频音频软件,都是通过 UDP 数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截,
4.针对 WEB Server 的多连接攻击,CC 攻击
通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的 IP 连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封,
5.针对 WEB Server 的变种攻击,变异 CC 攻击
通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的 GET 访问请求造成网站数据库或者某些页面耗费大量的 CPU,这样通过限制每个连接过来的 IP 连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案
6. 针对 WEB Server 的变种攻击
通过控制大量肉鸡同时连接网站端口,但是不发送 GET 请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是 GET 字符然后来进行 http 协议的分析,这种攻击,不发送 GET 请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过 10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪,这种攻击也非常难防护,因为如果只简单的拦截客户端发送过来没有 GET 字符的数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案
7.针对游戏服务器的攻击
因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口 7000,人物选择端口 7100,以及游戏运行端口 7200,7300,7400 等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这里介绍最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护 SYN,或者变种的 SYN,ACK 攻击效果不错,但是不能从根本上来分析 tcp,udp 协议,和针对应用层的协议,比如 http,游戏协议,软件视频音频协议,新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本没办法很好的防护新型的攻击。
DDOS 攻击现象
那如何确定网站遭到的攻击是 DDOS 呢,归纳来讲,在遭到 DDOS 攻击时,大致会出现以下几个症状,可以说如果网站服务器出现了下面所有的症状,那网站基本上可以确定是遭到了 DDOS 攻击。
1、网站提供的正常服务变得异常。
该症状表现为:网站服务器提供的页面浏览、上传等服务变得极慢或不能再提供服务。比如提一个论坛网站,本来正常的页面无法打开或打开速度很慢,如果是遭遇了 DDOS 攻击,就会出现这样的现象。但也有可能是网站带宽或其他原因,所以需要综合其他症状进行判断。
2、服务器处理能力满负荷。
如果网站管理员发现原本正常的服务器出现 CPU、内存等消耗很大,CPU 长期处于 100%的状态,极有可能是 DDOS 引起的。
3、网路堵塞。
如果你网络上出现了大量的非法数据包或伪造数据包,这也是 DDOS 的症状之一。最典型的案例是同一个 IDC 下的多个网站都无法访问,这是由于庞大到难以想象的数据涌入到整个 IDC 入口节点,导致 IDC 被 DDOS 击倒,造成整个 IDC 下的所有网站无法访问,停止服务。如果针对于网站服务器的单个 IP,情况会更明显
4、服务器频繁死机或重启。
如果遭到了 DDOS 的攻击,尤其是当 CPU 一直处于 100%使用率的高危,那么服务器会反复重启。
所以判断服务器是否遭遇 DDOS 是要从多个方向出发,单独一个症状是无法准确判断网站遭受的是 DDOS 攻击,如果出现了症状并且相互关联,那么才能定位 DDOS 攻击从而确定 DDOS 攻击类型并构建防御体系。
