【文章內容簡介】 者不能提供正常的服務，甚至造成系統資源耗盡、系統死機。由于UDP協議是一種無連接的服務，只要被攻擊者開放有一個UDP服務端口，即可針對該服務發(fā)動攻擊。UDP攻擊通?？煞譃閁DP Flood 攻擊、UDP Fraggle攻擊和DNS Query Flood攻擊。①UDP Fraggle攻擊的原理與Smurf攻擊相似，也是一種“放大”式的攻擊，不同的是它使用UDP回應代替了ICMP回應。②DNS Query Flood攻擊是一種針對DNS服務器的攻擊行為。攻擊者向DNS的UDP 53端口發(fā)送大量域名查詢請求，占用大量系統資源，使服務器無法提供正常的查詢請求。從以上 4種DoS攻擊手段可以看出，DoS攻擊的基本過程包括以下幾個階段：①攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請求；②被攻擊者發(fā)送響應信息后等待回傳信息；③由于得不到回傳信息，使系統待處理隊列不斷加長，直到資源耗盡，最終達到被攻擊者出現拒絕服務的現象。2 DDOS攻擊DoS攻擊主要是采用一對一的攻擊方式。當目標計算機的配置較低或網絡帶寬較小時，其攻擊的效果較為明顯。隨著計算機及網絡技術的發(fā)展，計算機的處理能力迅速增長，網絡帶寬也從百兆發(fā)展到了千兆、萬兆，DoS攻擊很難奏效。DDoS攻擊是DoS攻擊的一種演變，它改變了傳統的一對一的攻擊方式，利用網絡調動大量傀儡機，同時向目標主機發(fā)起攻擊，攻擊效果極為明顯。被DDOS攻擊時一般回出現以下幾中情況：被攻擊主機上有大量等待的TCP連接。網絡中充斥著大量的無用的數據包，源地址為假。制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊。利用受害主機提供的服務或傳輸協議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求。嚴重時會造成系統死機。（1） DDOS攻擊原理DDoS主要采用了比較特殊的3層客戶機/服務器結構，即攻擊端、主控端和代理端，這3者在攻擊中各自扮演著不同的角色。攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機，進入系統后在其上面安裝后門程序，攻擊者入侵的主機越多，他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。最后各部分主機各司其職，在攻擊者的調遣下對攻擊對象發(fā)起攻擊。這種3層客戶機/服務器結構，使DDos具有更強的攻擊能力，并且能較好地隱藏攻擊者的真實地址。圖五DDoS攻擊一旦實施，攻擊數據包就會像洪水般地從四面八方涌向被攻擊主機，從而把合法用戶的連接請求淹沒掉，導致合法用戶長時間無法使用網絡資源。（2） DDOS攻擊的主要形式①通過大量偽造的IP 向某一固定目標發(fā)出高流量垃圾數據，造成網絡擁塞，使被攻擊主機無法與外界通信。②利用被攻擊主機提供的服務或傳輸協議上的缺陷，反復高速地發(fā)送對某特定服務的連接請求，使被攻擊主機無法及時處理正常業(yè)務。③利用被攻擊主機所提供服務中數據處理上的缺陷，反復高速地發(fā)送畸形數據引發(fā)服務程序錯誤，大量占用系統資源，使被攻擊主機處于假死狀態(tài)，甚至導致系統崩潰。3 Trinoo攻擊軟件進行DDOS攻擊實例DDoS攻擊不斷在Internet出現，并在應用的過程中不斷的得到完善，已有一系列比較成熟的軟件產品，如Trinoo、獨裁者DDoS攻擊器、DdoSer、TFN、TFN2K等，他們基本核心及攻擊思路是很相象的，下面就通過Trinoo對這類軟件做一介紹。Trinoo是基于UDP flood的攻擊軟件，它向被攻擊目標主機隨機端口發(fā)送全零的4字節(jié)UDP包，被攻擊主機的網絡性能在處理這些超出其處理能力垃圾數據包的過程中不斷下降，直至不能提供正常服務甚至崩潰。它對IP地址不做假，采用的通訊端口是：攻擊者主機到主控端主機：27665/TCP主控端主機到代理端主機：27444/UDP代理端主機到主服務器主機：31335/UDPTrinoo攻擊功能的實現，是通過三個模塊付諸實施的：攻擊守護進程（NS）；攻擊控制進程（MASTER）；客戶端（NETCAT，標準TELNET程序等）。攻擊守護進程NS是真正實施攻擊的程序，它一般和攻擊控制進程（MASTER）所在主機分離，需要加入可控制其執(zhí)行的攻擊控制進程MASTER所在主機IP，（）編譯成功后，黑客通過目前比較成熟的主機系統漏洞破解（，）可以方便的將大量NS植入因特網中有上述漏洞主機內。NS運行時，會首先向攻擊控制進程（MASTER）所在主機的31335端口發(fā)送內容為HELLO的UDP包，標示它自身的存在，隨后攻擊守護進程即處于對端口27444的偵聽狀態(tài)，等待MASTER攻擊指令的到來。攻擊控制進程（MASTER）在收到攻擊守護進程的HELLO包后，會在自己所在目錄生成一個加密的名為...的可利用主機表文件， MASTER的啟動是需要密碼的，在正確輸入默認密碼gOrave后， MASTER即成功啟動，它一方面?zhèn)陕牰丝?1335，等待攻擊守護進程的HELLO包，另一方面?zhèn)陕牰丝?7665，等待客戶端對其的連接。當客戶端連接成功并發(fā)出指令時， MASTER所在主機將向攻擊守護進程ns所在主機的27444端口傳遞指令。客戶端不是Trinoo自帶的