【正文】 并安裝最新的代理程序。 Stacheldraht Stacheldraht也是從 TFN派生出來的，因此它具有 TFN的特性。攻擊方法增加了 Mix和 Targa3。它對 IP地址不做假，采用的通訊端口是： 攻擊者主機到主控端主機： 27665/TCP 主控端主機到代理端主機： 27444/UDP 代理端主機到主服務(wù)器主機： 31335/UDP TFN TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為： SYN風暴、 Ping風暴、 UDP炸彈和 SMURF，具有偽造數(shù)據(jù)包的能力。這種方法在探測漏洞、入侵系統(tǒng)、安裝后門和 rootkit的行動中經(jīng)常被使用。這樣就提高了攻擊的成功率但是這類分布式拒絕服務(wù)攻擊的結(jié)合工具，一般只允許一個攻擊者在同一時間內(nèi)攻擊一個 IP地址。一個特定的漏洞攻擊程序往往只影響某一版本的 TCP/IP協(xié)議。他們主要使用的攻擊方法是利用 TCP/IP協(xié)議中的漏洞，如允許碎片包、大數(shù)據(jù)包、 IP路由選擇、半公開 TCP連接、數(shù)據(jù)包 flood等等，這些都會降低系統(tǒng)性能，甚至使系統(tǒng)崩潰。 這種攻擊實現(xiàn)起來非常簡單，不需要任何其他的程序，只要在 Windows9x、 Windows NT或Linux的命令行上輸入如下命令即可完成攻擊： ping – 165527 –s 1 攻擊目標 IP 31 DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。 30 DoS攻擊方法 Ping ―死亡之 Ping‖攻擊是通過向目標端口發(fā)送大量的超大尺寸的 ICMP包來實現(xiàn)的。 Land也是因特網(wǎng)上最常見的拒絕服務(wù)國際類型之一，它是由著名黑客組織 rootshell發(fā)現(xiàn)的，原理很簡單：利用向目標機發(fā)送大量的源地址和目標地址相同的包，造成目標機解析Land包時占用大量的系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓。當然，普通的ping命令是不允許對廣播地址發(fā)包的，但是攻擊者完全可以使用編程的方法來達到這種效果。 Smurf攻擊的威脅性在于，它是一種具有放大效果的攻擊方式，這種放大效果的原理是這樣的：攻擊者冒充被攻擊者向某個網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請求，然后廣播設(shè)備將請求轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)上的大量設(shè)備，于是所有的這些設(shè)備都向被攻擊者進行回應(yīng)，這樣就達到了使用很小的代價來進行大量攻擊的目的。 由于 UDP不提供流量控制， UDP按發(fā)送方的發(fā)送的速率發(fā)送數(shù)據(jù)，不管接收方的緩沖區(qū)是否裝的下，因此提供 UDP服務(wù)的主機已遭受來自 UDP數(shù)據(jù)風暴的攻擊，攻擊者向受害者主機發(fā)送海量的數(shù)據(jù)，使得受害主機被淹沒。多點傳送地址由路由器轉(zhuǎn)發(fā)，它可以將一個數(shù)據(jù)包倍增成多個數(shù)據(jù)包。如果這種記憶攻擊以分布式方式進行，那么攻擊者只需要較少的主機就能使目標主機計算機超載。 27 DoS攻擊方法 3.―流（ stream）”攻擊 流攻擊發(fā)送帶有 ACK標記集或同時帶有 SYN和 ACK標記集的 TCP包。如果數(shù)據(jù)包的目的地址是一局域網(wǎng)的廣播地址，則局域網(wǎng)中的每一主機都可以收到。 ICMP是網(wǎng)絡(luò)中進行網(wǎng)絡(luò)故障診斷的有效工具。 ICMP 是在網(wǎng)絡(luò)中用來交流網(wǎng)絡(luò)狀態(tài)和差錯控制包括網(wǎng)絡(luò)擁塞及其它網(wǎng)絡(luò)傳輸問題的協(xié)議。當服務(wù)器關(guān)閉連接后，攻擊者又發(fā)送一批虛假請求，以上過程又重復(fù)發(fā)生，指導(dǎo)服務(wù)器因過載而拒絕服務(wù)。 我們知道在正常的 TCP/IP連接中，用戶想訪問的網(wǎng)站服務(wù)器發(fā)出一條連接請求（ SYN），服務(wù)器接受請求后，確認該請求，并發(fā)出確認信息（ ACK） ,從而通過這樣三次交流，通常稱為為三次握手，完成一次完整的 TCP連接，以后用戶就可以和網(wǎng)站進行交流了。利用 數(shù)據(jù)包的 IP欺騙方法，來欺騙那些被利用的 TCP主機認為 TCP請求連 接是從被攻擊主機上發(fā)出來的，這樣就可以導(dǎo)致 DRDoS。這些被反射 的數(shù)據(jù)包返 回到受害者主機 上后就形成了 洪水攻擊。這樣一來路由器就認為這些 SYN是從 ，所以他們便對他們發(fā)送 SYN/ACK數(shù)據(jù)包作為 3次握手過程的第二次握手。但這些洪水般的數(shù)據(jù)包幾乎都是合法的 SYN/ACK連接回應(yīng)包。我們通常以前遭受 UDP和 ICMP洪水攻擊，這些攻擊其實都可以由被攻擊者入侵的主機、 zombie工具及 windows系統(tǒng)簡單的實現(xiàn)，但這次 （上文新聞中提到的受害公司）受的攻擊有所不同。而且由于攻擊者在幕后操縱，所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。 由于整個過程是自動化的，攻擊者能在5秒中之內(nèi)入侵一臺主機并安裝攻擊工具。所以對于 DDOS來說，戰(zhàn)爭早在幾個月之前就已經(jīng)靜悄悄地打響，默默地蔓延。 它的精髓在于用許多臺計算機同時向目標網(wǎng)站發(fā)送大量信息；一個黑客只有 1臺計算機，即使他夜以繼日的黑別人的網(wǎng)站，一年也只能控制 1000臺計算機，要命令這些計算機同時向目標網(wǎng)站進攻，不可能手動完成。 （ 2）在這些被入侵的主機中安裝 DDoS攻擊程序。這些工具入侵主機和安裝程序的過程都是自動化的。這些主機一般需要是UNIX主機。 17 客戶端感染途徑 客戶端計算機 Windows 9x NT Wks. 經(jīng)由軟盤片、光盤等途徑感染 透過網(wǎng)絡(luò)從其它計算機感染 從文件服務(wù)器感染 透過電子郵件、公用數(shù)據(jù)夾感染 透過 SMTP郵件、 HTTP網(wǎng)頁Script、 Web Mail、 HTTP下載、 FTP下載途徑感染 18 Inter DDoS攻擊原理圖 HACKER ① Create ② 感染 , 潛伏 , 擴散 ③ 攻擊 破壞 ④ 拒絕服務(wù) ⑤ 利用系統(tǒng)后門感染 Randomly Attack Randomly Attack Randomly Attack DDOS DDOS DDOS DDOS DDOS DDOS DDOS ① reate ② 感染 潛伏 擴散③ 攻擊破壞 ④ 拒絕服務(wù) ⑤ 利用系統(tǒng)后門感染Activate 100, 300 or 600 threads to attack random IP address servers 沒用補丁 web system 已補丁 web system 19 DDoS 從圖 2可以看出， DDoS攻擊分為 3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。所以不難理解 DDoS攻擊就是攻擊者利用一批受控制的機器（主控端和代理端）向同一臺機器（受害者）發(fā)起攻擊，每個攻擊端也是一臺已被入侵并運行特定程序的系統(tǒng)主機，攻擊端的程序由主控端的攻擊程序來控制。 而要理解 DDoS的原理，首先應(yīng)該搞清楚分布式的意思。 16 DDoS（分布式拒絕服務(wù)），它的英文全稱為 Distributed Denial of Service，它是一種基于 DoS的特殊形式的拒絕服務(wù)攻擊 ,或者說是一種它的變種和增強版，具體就是一種分布、協(xié)作的大規(guī)模攻擊方式，這種攻擊主要瞄準比較大的站點，像商業(yè)公司，搜索引擎和政府部門的站點。所以它