DDoS前世今生 攻击原理与防御方法解析

核心提示： 这是因为黑客冒充了被攻击主机，黑客发送请求包所用的软 件是可以伪造源地址的，DDoS前世今生 攻击原理与防御方法解析(3)，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址，ACK:(Acknowledgment field significant)置1时表示确认号

这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软 件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。

黑客同时还会把发送请求包的时间间隔减小 ，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。

而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首 先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据 TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。

同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这 些回应而瘫痪。

图-03 DRDoS分布反射式拒绝服务攻击

解释:

SYN:(Synchronize sequence numbers)用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。即，SYN和ACK来区分 Connection Request和Connection Accepted。

RST:(Reset the connection)用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。

ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。TCP三次握手: