【正文】 lood存在的基礎(chǔ)。這時(shí)TCP SYN標(biāo)志置位。客戶端在TCP報(bào)頭的序列號(hào)區(qū)中插入自己的ISN。在第三步中，客戶端確認(rèn)收到服務(wù)端的ISN(ACK標(biāo)志置位)。圖四 Syn Flood惡意地不完成三次握手假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試?！。?） Land 攻擊Land 攻擊是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，造成目標(biāo)主機(jī)解析 Land包時(shí)占用大量系統(tǒng)資源，從而使網(wǎng)絡(luò)功能完全癱瘓的攻擊手段。每個(gè)這樣的空連接到將暫存在服務(wù)器中，當(dāng)隊(duì)列足夠長(zhǎng)時(shí)，正常的連接請(qǐng)求將被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。例如，攻擊者冒充被攻擊者的IP使用PING來(lái)對(duì)一個(gè)C類網(wǎng)絡(luò)的廣播地址發(fā)送ICMP包，該網(wǎng)絡(luò)上的254臺(tái)主機(jī)就會(huì)對(duì)被攻擊者的IP發(fā)送ICMP回應(yīng)包，這樣攻擊者的攻擊行為就被放大了 254 倍。在UDP Flood攻擊中，攻擊者發(fā)送大量虛假源IP的UDP數(shù)據(jù)包或畸形UDP數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。UDP攻擊通?？煞譃閁DP Flood 攻擊、UDP Fraggle攻擊和DNS Query Flood攻擊。②DNS Query Flood攻擊是一種針對(duì)DNS服務(wù)器的攻擊行為。從以上 4種DoS攻擊手段可以看出，DoS攻擊的基本過(guò)程包括以下幾個(gè)階段：①攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請(qǐng)求；②被攻擊者發(fā)送響應(yīng)信息后等待回傳信息；③由于得不到回傳信息，使系統(tǒng)待處理隊(duì)列不斷加長(zhǎng)，直到資源耗盡，最終達(dá)到被攻擊者出現(xiàn)拒絕服務(wù)的現(xiàn)象。DoS攻擊主要是采用一對(duì)一的攻擊方式。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，網(wǎng)絡(luò)帶寬也從百兆發(fā)展到了千兆、萬(wàn)兆，DoS攻擊很難奏效。被DDOS攻擊時(shí)一般回出現(xiàn)以下幾中情況：被攻擊主機(jī)上有大量等待的TCP連接。制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊。嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。圖五DDoS攻擊一旦實(shí)施，攻擊數(shù)據(jù)包就會(huì)像洪水般地從四面八方涌向被攻擊主機(jī)，從而把合法用戶的連接請(qǐng)求淹沒(méi)掉，導(dǎo)致合法用戶長(zhǎng)時(shí)間無(wú)法使用網(wǎng)絡(luò)資源。②利用被攻擊主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)送對(duì)某特定服務(wù)的連接請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理正常業(yè)務(wù)。3 Trinoo攻擊軟件進(jìn)行DDOS攻擊實(shí)例DDoS攻擊不斷在Internet出現(xiàn)，并在應(yīng)用的過(guò)程中不斷的得到完善，已有一系列比較成熟的軟件產(chǎn)品，如Trinoo、獨(dú)裁者DDoS攻擊器、DdoSer、TFN、TFN2K等，他們基本核心及攻擊思路是很相象的，下面就通過(guò)Trinoo對(duì)這類軟件做一介紹。它對(duì)IP地址不做假，采用的通訊端口是：攻擊者主機(jī)到主控端主機(jī)：27665/TCP主控端主機(jī)到代理端主機(jī)：27444/UDP代理端主機(jī)到主服務(wù)器主機(jī)：31335/UDPTrinoo攻擊功能的實(shí)現(xiàn)，是通過(guò)三個(gè)模塊付諸實(shí)施的：攻擊守護(hù)進(jìn)程（NS）；攻擊控制進(jìn)程（MASTER）；客戶端（NETCAT，標(biāo)準(zhǔn)TELNET程序等）。NS運(yùn)行時(shí)，會(huì)首先向攻擊控制進(jìn)程（MASTER）所在主機(jī)的31335端口發(fā)送內(nèi)容為HELLO的UDP包，標(biāo)示它自身的存在，隨后攻擊守護(hù)進(jìn)程即處于對(duì)端口27444的偵聽(tīng)狀態(tài)，等待MASTER攻擊指令的到來(lái)。當(dāng)客戶端連接成功并發(fā)出指令時(shí)， MASTER所在主機(jī)將向攻擊守護(hù)進(jìn)程ns所在主機(jī)的27444端口傳遞指令。dos：對(duì)某一目標(biāo)主機(jī)實(shí)施攻擊，如dos mdie：停止正在實(shí)施的攻擊，使用這一功能需要輸入口令killme，mping：請(qǐng)求攻擊守護(hù)進(jìn)程N(yùn)S回應(yīng)，監(jiān)測(cè)ns是否工作。Trinoo運(yùn)行的總體輪廓可用圖5說(shuō)明： 圖5我們來(lái)看一次攻擊的實(shí)例：被攻擊的目標(biāo)主機(jī)victim IP為： ns被植入三臺(tái)sun的主機(jī)里，他們的IP對(duì)應(yīng)關(guān)系分別為client1： client2： client3： master所在主機(jī)為masterhost： 首先我們要啟動(dòng)各個(gè)進(jìn)程，在client1，2，3上分別執(zhí)行ns，啟動(dòng)攻擊守護(hù)進(jìn)程， 其次，在master所在主機(jī)啟動(dòng)master masterhost ./master ?? gOrave （系統(tǒng)示輸入密碼，輸入gOrave后master成功啟動(dòng)） Trinoo +f3+c [Mar 20 2000：14：38：49] （連接成功） 在任意一臺(tái)與網(wǎng)絡(luò)連通的可使用telnet的設(shè)備上，執(zhí)行：telnet 27665 Escape character is 39。. betaalmostdone （輸入密碼） Trinoo +f3+c..[rpm8d/cb4Sx/] Trinoo （進(jìn)