大家来说说DDos攻击吧

jiepeach

大家来说说DDos攻击吧。很想了解，请搞手来说说

wangfeng25

最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

wangfeng25

攻击前要了解被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽

wangfeng25

找傀儡机，然后可以攻击了，方法很简单

wangfeng25

下面是模拟的一次Syn Flood攻击的实际过程

　　这一个局域网环境，只有一台攻击机，被攻击的是一台Solaris 8.0 (spark)的主机，网络设备是Cisco的百兆交换机。这是在攻击并未进行之前，在Solaris上进行snoop的记录，snoop与tcpdump等网络监听工具一样，也是一个很好的网络抓包与分析的工具。可以看到攻击之前，目标主机上接到的基本上都是一些普通的网络包。
…
…
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
　　　　 ? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0]
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.200 -> (broadcast) ARP C Who is 192.168.0.102, 192.168.0.102 ?
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
　　　　 ? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
　　　　 ? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
…
127.0.0.178 -> lab183.lab.net AUTH C port=1352
127.0.0.178 -> lab183.lab.net TCP D=114 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=115 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net UUCP-PATH C port=1352
127.0.0.178 -> lab183.lab.net TCP D=118 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net NNTP C port=1352
127.0.0.178 -> lab183.lab.net TCP D=121 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=122 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535

[ 本帖最后由 wangfeng25 于 2007-3-23 15:22 编辑 ]

wangfeng25

# netstat -an | grep SYN
　　 …
…

192.168.0.183.9　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.13　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.19　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.21　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.22　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.23　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.25　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.37　　 127.0.0.79.1801　　 0 0 24656 0 SYN_RCVD
192.168.0.183.53 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
…
…  



　　其中SYN_RCVD表示当前未完成的TCP SYN队列，统计一下：

　　# netstat -an | grep SYN | wc -l
　　5273
　　# netstat -an | grep SYN | wc -l
　　5154
　　# netstat -an | grep SYN | wc -l
　　5267
　　…..

　　共有五千多个Syn的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法ping通。

　　这是在攻击发起后仅仅70秒钟左右时的情况。

1qazse4

一个很好的学习例子，多谢！

cangmang

晕，看得不是很懂也．．．．．．

jiepeach

感谢各位的支持

jiepeach

谢谢王峰，记下了好好学习

zqsdy

有个问题，如果对境外进行ddos，如果没有境外的跳板的话，是不是很难对其造成影响？？

樱花与小路

请问有什么比较好用的用来做ddos攻击测试的工具吗？要攻击工具。谢谢各位了。