一 前言

　　DDOS全名是Distribution Denial of Service (散布 式谢绝 服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击.在中国,DDOS 最早可追溯到1996年,2002年开发频繁出现,2003年已 初具范围 .当时网络带宽普遍比较小,攻击量一般都不会超过100M,国内几近 没有防护的方法和产品. 而且攻击源IP都是捏造 的,没法 找到攻击源.一个硬件配置很好的网站,每秒几兆的攻击量便可 以完全瘫痪,破坏力相当惊人.由于开发防护产品需要接收 网络底层控制，和分析处理TCP/IP协议要求较高的技术门槛 ，当时在国内的众多安全厂商里面,只有傲盾和黑洞两家推出了专门防护DDOS攻击的产品。

　　DDOS攻击经过黑客多年的不断的技术积累到今天已 变化多种多样攻击情势 ,攻击内容和之前 有了很大的改变，新的变种攻击也几近 每个月 都会有，这篇文章会完全 分析攻击原理，通过攻击案例具体分析实际攻击，力图让读者从中找到解决针对自己网络的有效解决办法。

　　二 DDoS攻击原理

　　我们先来研究最多见 的SYN攻击, SYN攻击属于DOS Denial of Servic攻击的一种，它利用TCP协议缺点 ，通过发送大量的半连接要求 ，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来避免 连接被捏造 和精确控制全部 数据传输进程 数据完全 有效。所以TCP协议采取 三次握手建立一个连接。

　　第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认；　

　　第二次握手：服务器收到syn包，确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态；

　　第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送终了 ，客户端和服务器进入ESTABLISHED状态，完成三次握手。

　　SYN攻击利用TCP协议三次握手的原理，大量发送捏造 源IP的SYN包,也就是捏造 第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息抛弃 造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包要求 连接就会被服务器抛弃 . 每种操作系统半连接队列大小不一样,所以抵抗 SYN攻击的能力也不一样。那么 能不能把半连接队列增加到足够大来保证不会溢出呢，答案是不能，每种操作系统都有方法来调剂 TCP模块的半连接队列最大数，例如Win2000操作系统在注册表 HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存，操作系统的核心内存是专门提供给系统内核使用的,核心内存不能进行虚拟内存转换,因此是非常紧缺的资源.以windows2000系统为例,当物理内存是4g的时候 核心内存只有不到300M，系统所有核心模块都要使用核心内存,所以能给半连接队列用的核心内存非常少。