计算机网络:自顶向下第一章1.6 网络安全

前言

网络是如此的奇妙与自由，自由也意味着失去掌控，网络安全至今仍然是一个各方人士所关心的一个问题，本节主要通过张三与小芳的爱情故事讨论DDos（Distributed Denial of Servies 分布式拒绝服务攻击） 技术。

正文

书说上回，喜欢上小芳的程序员张三向小芳发出了”你好啊，我们能做朋友吗?“的消息，排除了小芳没有收到信息的风险后，苦苦的等待，终于随着手机叮咚一声响起，张三得到了小芳的回复”好的“，一句好的，显得生分而不失礼节，张三知道他的爱情故事必然是艰难险阻的，他上网搜索如何与女孩子聊天，得知需要多多关心小芳，张三心想这还不容易，作为多年程序员的张三早已经手速惊人，他飞快的在键盘上敲击”早上好“”中午好“”晚上好“诸如此类的关心问候，小芳虽然有回答但是字数一次比一次少，态度一次比一次冷漠。张三陷入了苦恼之中。

为了调查被冷落原因，张三开始调查小芳，发现小芳最近和王二狗聊天频繁，张三明白小芳原来爱的不是他，他感到难过，但还能接受，毕竟感情这种事讲究两情相悦。出于不甘心他悄悄记下王二狗家的IP（这是不好的行为），并且开始调查王二狗，他发现王二狗居然和翠花、刘英等多名女子都又频繁的联系。这让张三感到十分的愤怒，于是他决定报复王二狗，让女神脱离苦海。思来想去他决定使用ddos来制裁王二狗。所谓DDos就是采用占用网络资源的手段来使服务器疲于应对非法流量从而无法响应正常用户的请求 简单来说就是占着茅坑不拉屎，让想拉屎的用户无处拉屎，真是个恶毒的手段，但是想到王二狗做的就是这样的勾当，张三心里觉得这简直是以其人之道，还治其人之身。

经过查阅资料张三发现ddos实现方式主要通过大量设备对服务器发送请求来使服务器瘫痪。但是张三没有大量设备，他又了解到想要有大量设备一是很有钱买很多设备（废话），二是通过病毒、蠕虫、开后门等手段来控制其他不知情用户的手段来形成僵尸网络，这显然是违法的，张三有点退缩了，因为他既没有钱，也不想违法。正当张三进退维谷时，小芳发来了消息，这是小芳第一次主动给他发消息，原来王二狗养鱼的事情被小芳知道了，欣喜若狂的张三随机丢下手中的DDos教程，和小芳聊天去了，欲知后事如何（我也不知道有没有下回）。

技术细节

通过张三短暂邪恶的想法中，大家应该大致理解DDos是怎么样实行操作的了，相比寻找程序漏洞的阴谋，这样的暴力做法更像是阳谋每个人都知道是怎么做的，但是又无法防范。我们知道，网络中共有五层结构，在数据发送的每一个阶段几乎都可以被DDos攻击下面我们来讨论一下对应层级的攻击手段

物理层
我们只需要大量的向服务器发送伪造的IP协议包，就可以侵占对方网络带宽，造成正常数据的时延丢包等。这在1.4节中我们有详细讨论过，这里不在过多赘述。这种攻击方式也被称之为ICMP洪水。这样的攻击方式类似于发送垃圾快递，发了什么不重要，重要的是让你的收件柜爆满，正常的快递无处安放。
传输层
1. 同样的思路，我们也可以发送传输层的包如UDP协议包，构成UDP洪水，但是这提供的是真实的IP地址，容易被防范，服务商直接将大量非法访问该IP的进行封禁即可，但是上有政策下有对策，既然你敢封禁IP，那我就提供一个正常用户的IP，那样正常用户同样会被误杀。同样的思路，既然可以伪造发件者，自然也可以伪造收件者，黑客通过发送大量包至第三方，而收件者填为攻击目标，这样虽然服务器没有向其他服务器发送连接请求，却得到的大量答复。双方都很懵逼，达到借刀杀人的目的。就像别人用你的电话号码给房地产发短信说你想要买房子，然后售楼部推销员疯狂给你打电话，然后你觉得售楼部的人有问题，他也觉得你有问题一样。
2 . 传输层中不仅有UDP协议，还要TCP协议，相比较之UDP，TCP协议中有连接的概念，这样发送大量连接，然后不断开也可以达到霸占服务的效果。针对TCP协议还有两种攻击方式分别为SYN、RST洪水，这两者都是基于三次握手、四次挥手的过程进行打击。SYN是利用重传机制让服务器不断发送连接响应。RST思路是发送强制断连包，断取正常用户的使用。不知道大家在打游戏的时候有没有被莫名其妙断线过，这种外挂或者更准确的说炸房外挂，其中一种原理就是解析对手的IP地址，然后向服务器发送强制断联包。

三次握手、四次挥手

三次握手

即使作为小白，这两个名词相信大家也不会陌生，其实三次握手、四次挥手就像是谈恋爱一样。你想和某个人谈恋爱，那你首先要认识她/他，比如我们的主角张三他喜欢小芳，由于他怕找错人，于是他先问一句”我是张三，你是小芳吗？”这是两者第一次握手的过程，小芳说“我是小芳，你真的是张三吗“，这是二者第二次握手，张三如果收到信息，就会说“是的，我是张三”。大家可以发现，三次握手的过程其实就是确认双方身份的过程。在这样三句对话后双方都能确保对象无误，更重要的一点是，他们也能确保自己发的消息能够被对方得知，并且得到回复。这样的连接相比较与两次握手更加的可靠，假如说对话进行到第二句就中止了，带来的问题就是，小芳并不知道张三是否得到了自己发的消息，所以三次握手的意义在于，确定自身的收/发信能力以及对方的收/发信能力。
1、在第一次通信过程中，张三向小芳发送信息之后，小芳收到信息后可以确认自己的收信能力和张三的发信能力没有问题。

2、在第二次通信中，小芳向张三发送信息之后，张三可以确认自己的发信能力和小芳的收信能力没有问题，但是小芳不知道自己的发信能力到底如何，所以就需要第三次通信。

3、在第三次通信中，张三向小芳发送信息之后，小芳就可以确认自己的发信能力没有问题。

这就是TCP的三次握手，而UDP为两次握手，对话只有前两句，带来的问题很明显，小芳不能确定自己的发信能力。

了解了握手的过程，就可以理解UDP洪水了，就好比张三一直给小芳发送垃圾信息，这显然不是正常聊天，小芳的做法是选择拉黑张三，但是如果说是王二狗假冒张三给小芳发送消息（假冒IP）那受伤的可就是无辜的张三了。而SYN洪水就是利用了小芳的礼貌，张三发送”在吗“，小芳以为张三有事就发送”在的，有什么事“，过了一会张三没有回话，小芳又说”你有什么事吗“，就这样多次被鸽后，小芳被浪费了大量时间，然后知道自己被耍了，于是拉黑了张三。所以王二狗如果更加卑鄙的话，可以假冒张三对小芳进行SYN洪水，那样的话，张三可就惨了。

四次挥手

如果说三次握手是两个人的相识，大家就能想到，四次挥手就是两个人的告别。这个过程大概是这样的，小芳说“我觉得我们可能不太合适”，张三说“你让我缓一下，我有点难以接受”，张三难过了一会后说“好吧，我同意了”，小芳说“你是个好人，后会有期”。正所谓”相见时难别亦难“，正常的分手需要四次问答才能保证双方的意愿。而上文中提到的RST洪水，就像是有人假冒小芳给张三发送消息”我们分手吧“随后拉黑了张三，留下张三一脸懵逼，但是由于小芳态度很强烈，张三只能无可奈何，这也体现了RST洪水的暴力之处。

复习题

R26. 病毒和蠕虫之间有什么不同？
答案：
病毒：需要用户交互才能感染设备。
蠕虫：不许用户交互就能感染设备。
R27. 描述如何产生一个僵尸网络，以及僵尸网络是怎样被用于DDoS攻击的。
答案：
恶意软件控制了很多网络设备，统称为僵尸网络。
利用恶意软件，僵尸网络中的网络设备向目标主机发送大量的分组，或者创建大量连接等等，使目标主机陷入困境。这就是僵尸网络被用于DDoS攻击的效果。