【文章內(nèi)容簡介】 SYN/ACK）， 而攻擊的辦法就是如何將這個(gè)返回包直接返回到被攻擊主機(jī)上。利用 數(shù)據(jù)包的 IP欺騙方法，來欺騙那些被利用的 TCP主機(jī)認(rèn)為 TCP請(qǐng)求連 接是從被攻擊主機(jī)上發(fā)出來的，這樣就可以導(dǎo)致 DRDoS。 25 三、攻擊方法介紹 1DoS攻擊方法 這種攻擊中，攻擊這發(fā)送大量的半連接，且連接的源地址是偽造的，造成服務(wù)器過載而不能提供服務(wù)。 我們知道在正常的 TCP/IP連接中，用戶想訪問的網(wǎng)站服務(wù)器發(fā)出一條連接請(qǐng)求（ SYN），服務(wù)器接受請(qǐng)求后，確認(rèn)該請(qǐng)求，并發(fā)出確認(rèn)信息（ ACK） ,從而通過這樣三次交流，通常稱為為三次握手，完成一次完整的 TCP連接，以后用戶就可以和網(wǎng)站進(jìn)行交流了。而在 TCPSYNFLOOD攻擊中，攻擊者向服務(wù)器發(fā)出大量的連接請(qǐng)求，使其滿負(fù)荷，并且所有請(qǐng)求的返回地址都是偽造的，當(dāng)服務(wù)器企圖將確認(rèn)信息返回給用戶時(shí)它將無法找到這些用戶，這種情況下服務(wù)器只好等待，并不斷給該用戶發(fā)請(qǐng)求確認(rèn)信息，直到該信息超過時(shí)才能關(guān)閉這種辦連接。當(dāng)服務(wù)器關(guān)閉連接后，攻擊者又發(fā)送一批虛假請(qǐng)求，以上過程又重復(fù)發(fā)生，指導(dǎo)服務(wù)器因過載而拒絕服務(wù)。 26 Dos攻擊方法 在這種攻擊中，攻擊者通過發(fā)送大量的目的地址指向廣播地址且源地址為受害者主機(jī)地址的 ICMP ECHO請(qǐng)求包，從而引起大量的廣播包發(fā)向受害者主機(jī)，是受害者主機(jī)被數(shù)據(jù)包淹沒，引起網(wǎng)絡(luò)擁塞。 ICMP 是在網(wǎng)絡(luò)中用來交流網(wǎng)絡(luò)狀態(tài)和差錯(cuò)控制包括網(wǎng)絡(luò)擁塞及其它網(wǎng)絡(luò)傳輸問題的協(xié)議。 ICMP還可以用來確定某一主機(jī)是否在線。 ICMP是網(wǎng)絡(luò)中進(jìn)行網(wǎng)絡(luò)故障診斷的有效工具。在TCP/IP網(wǎng)絡(luò)中，網(wǎng)絡(luò)中主機(jī)的數(shù)據(jù)包可以發(fā)給任意的主機(jī)或廣播整個(gè)網(wǎng)絡(luò)。如果數(shù)據(jù)包的目的地址是一局域網(wǎng)的廣播地址，則局域網(wǎng)中的每一主機(jī)都可以收到。在 ICMP 廣播攻擊過程中，攻擊者通過發(fā)送大量的偽造 ICMP ECHO 請(qǐng)求包，通常目的地址指向一個(gè)高速局域網(wǎng)的廣播地址，如果該局域網(wǎng)沒有禁止這種 ICMP ECHO請(qǐng)求包，則該局域網(wǎng)上的主機(jī)就回復(fù)這種請(qǐng)求包，從而引起受害主機(jī)的網(wǎng)絡(luò)擁塞，攻擊者制造了許多工具，用來侵入很多網(wǎng)絡(luò)同時(shí)發(fā)起這種攻擊，造成受害主機(jī)被洶涌而至的數(shù)據(jù)包淹沒。 27 DoS攻擊方法 3.―流（ stream）”攻擊 流攻擊發(fā)送帶有 ACK標(biāo)記集或同時(shí)帶有 SYN和 ACK標(biāo)記集的 TCP包。因?yàn)樗麄儾⒉皇沁B接的組成部分，因此他們將“困擾”目標(biāo)計(jì)算機(jī)并且需要操作系統(tǒng)花一定的時(shí)間去處理 。如果這種記憶攻擊以分布式方式進(jìn)行，那么攻擊者只需要較少的主機(jī)就能使目標(biāo)主機(jī)計(jì)算機(jī)超載。 目前還未實(shí)現(xiàn)的特征是多點(diǎn)傳送地址（ multicast addresses）。多點(diǎn)傳送地址由路由器轉(zhuǎn)發(fā)，它可以將一個(gè)數(shù)據(jù)包倍增成多個(gè)數(shù)據(jù)包。其基本概念是從一個(gè)多點(diǎn)傳送源（ ）發(fā)送數(shù)據(jù)包，目標(biāo)計(jì)算機(jī)將給該多點(diǎn)傳送源回送一條錯(cuò)誤信息，并成倍的占用網(wǎng)絡(luò)帶寬。 由于 UDP不提供流量控制， UDP按發(fā)送方的發(fā)送的速率發(fā)送數(shù)據(jù)，不管接收方的緩沖區(qū)是否裝的下，因此提供 UDP服務(wù)的主機(jī)已遭受來自 UDP數(shù)據(jù)風(fēng)暴的攻擊，攻擊者向受害者主機(jī)發(fā)送海量的數(shù)據(jù)，使得受害主機(jī)被淹沒。 28 DoS攻擊方法 故意發(fā)送特殊的字符串，是入侵監(jiān)測系統(tǒng)（ IDS， Intrusion Detection Systems）將他們誤認(rèn)為是非法登陸，由此造成誤報(bào)，最終使 IDS過載或崩潰。 Smurf攻擊的威脅性在于，它是一種具有放大效果的攻擊方式，這種放大效果的原理是這樣的：攻擊者冒充被攻擊者向某個(gè)網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請(qǐng)求，然后廣播設(shè)備將請(qǐng)求轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)上的大量設(shè)備，于是所有的這些設(shè)備都向被攻擊者進(jìn)行回應(yīng)，這樣就達(dá)到了使用很小的代價(jià)來進(jìn)行大量攻擊的目的。 例如，攻擊者冒充被攻擊者的 IP，使用 ping來對(duì)一個(gè) C類網(wǎng)絡(luò)的廣播地址進(jìn)行發(fā)送 ICMP包，這樣，該網(wǎng)絡(luò)上的 254臺(tái)主機(jī)都會(huì)對(duì)被攻擊者的 IP發(fā)送 ICMP回應(yīng)包，那么，攻擊者每發(fā)一個(gè)包就會(huì)給被攻擊者帶來 254個(gè)包的攻擊效果。當(dāng)然，普通的ping命令是不允許對(duì)廣播地址發(fā)包的，但是攻擊者完全可以使用編程的方法來達(dá)到這種效果。 29 DoS攻擊方法 不僅是 ICMP包可以用來進(jìn)行這種攻擊，現(xiàn)在還有一種稱為Fraggle的攻擊工具利用 UDP包對(duì)某一網(wǎng)絡(luò)的廣播地址發(fā)送對(duì)７號(hào)端口（ echo）包的攻擊方式，這樣，開放 7號(hào)端口的主機(jī)會(huì)回應(yīng) UDP包，而沒有開放７號(hào)端口的主機(jī)也會(huì)發(fā)送 ICMP不可達(dá)消息包，同樣可以達(dá)到很好的效果。 Land也是因特網(wǎng)上最常見的拒絕服務(wù)國際類型之一，它是由著名黑客組織 rootshell發(fā)現(xiàn)的，原理很簡單：利用向目標(biāo)機(jī)發(fā)送大量的源地址和目標(biāo)地址相同的包，造成目標(biāo)機(jī)解析Land包時(shí)占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓。 由于這種攻擊是利用 TCP/IP協(xié)議本身的漏洞，所以幾乎所有連在因特網(wǎng)上的系統(tǒng)都會(huì)受到它的影響，尤其是對(duì)路由器進(jìn)行的 Land攻擊威脅更大，會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓。 30 DoS攻擊方法 Ping ―死亡之 Ping‖攻擊是通過向目標(biāo)端口發(fā)送大量的超大尺寸的 ICMP包來實(shí)現(xiàn)的。當(dāng)目標(biāo)收到這些ICMP碎片包后，會(huì)在緩沖區(qū)里重新組合它們，由于這些包的尺寸實(shí)在太大以致于造成緩沖區(qū)溢出，從而導(dǎo)致系統(tǒng)崩潰。 這種攻擊實(shí)現(xiàn)起來非常簡單，不需要任何其他的程序，只要在 Windows9x、 Windows NT或Linux的命令行上輸入如下命令即可完成攻擊： ping – 165527 –s 1 攻擊目標(biāo) IP 31 DDoS攻擊實(shí)施起來有一定的難度，它要求攻擊者必須具備入侵他人計(jì)算機(jī)的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動(dòng) DDoS攻擊變成一件輕而易舉的事情。他們主要使用的攻擊方法是利用 TCP/IP協(xié)議中的漏洞，如允許碎片包、大數(shù)據(jù)包、 IP路由選擇、半公開 TCP連接、數(shù)據(jù)包 flood等等，這些都會(huì)降低系統(tǒng)性能，甚至使系統(tǒng)崩潰。 每個(gè)一致的拒絕服務(wù)漏洞一般都會(huì)有相應(yīng)的攻擊程序公布出來，每個(gè)供給程序都是獨(dú)立的。一個(gè)特定的漏洞攻擊程序往往只影響某一版本的 TCP/IP協(xié)議。發(fā)動(dòng) DDoS的工具就是用各種語言將多種拒絕服務(wù)攻擊結(jié)合起來。這樣就提高了攻擊的成功率但是這類分布式拒絕服務(wù)攻擊的結(jié)合工具，一般只允許一個(gè)攻擊者在同一時(shí)間內(nèi)攻擊一個(gè) IP地址。 為了增加攻擊的效率，多個(gè)攻擊者可以通過 IRC或電話保持聯(lián)系，并每個(gè)人負(fù)責(zé)攻擊不同的系統(tǒng)，以實(shí)現(xiàn)團(tuán)隊(duì)攻擊。這種方法在探測漏洞、入侵系統(tǒng)、安裝后門和 rootkit的行動(dòng)中經(jīng)常被使用。 32 雖然存在一些使用上的限制，但這類集合工具仍然在不斷的增加各種攻擊程序，并形成一個(gè)叫“拒絕服務(wù)集群”的軟件包其中就有 : Trinoo Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的 4字節(jié) UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對(duì) IP地址不做假，采用的通訊端口是： 攻擊者主機(jī)到主控端主機(jī)： 27665/TCP 主控端主機(jī)到代理端主機(jī)： 27444/UDP 代理端主機(jī)到主服務(wù)器主機(jī)： 31335/UDP TFN TFN由主控端程序和代理端程序兩