● Re: 讨论一下DDoS攻击阿？ - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ymboy (危险人物), 信区: Security
标  题: Re: 讨论一下DDoS攻击阿？
发信站: 荔园晨风BBS站 (Thu Jul 17 09:24:30 2003), 站内信件

分布式拒绝服务攻击(DDoS)的相关资料供大家学习参考:

分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段，目前尚无有
效手段进行防范。本文从概念开始详细介绍了这种攻击方式，着重描述了黑客是如何组
织并发起的DDoS攻击，结合其中的Syn
Flood实例，您可以对DDoS攻击有一个更形象的了解。最后作者结合自己的经验与国内网
络安全的现况探讨了一些防御DDoS的实际手段。

DDoS攻击概念

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务
资源，从而使合法用户无法得到服务的响应。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是
采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不
高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内
存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标
对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击
包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生
什么效果。

这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的
原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再
能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀
儡机来发起进攻，以比从前
更大的规模来进攻受害者。

高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速
网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，
因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，
大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，
攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包，源地址为假
制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受
害主机无法及时处理所有正常请求
严重时会造成系统死机

攻击运行原理

如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部
分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受
害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发
布命令而不参与实际的攻击?
对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传
到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利
用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦
黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一
下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不
愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵）
，而攻击者使用的傀儡机越
多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会
首先做两件事：1. 考虑如何留好后门（我以后还要回来的哦）！2.
如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会
不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了
坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志
项目删掉，让人看不到异常的
情况。这样可以长时间地利用傀儡机。

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理
工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净
，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的
机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的
。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的
日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。
【在 jjksam (fight the future) 的大作中提到: 】 :
有没有人？ --         1、承认自己有不足             2、明白哪里有不足
     3、知道怎么去改善                    4、督促自己去改善                发现
了一个最简单的真理：比我勤奋的人都比我强。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.41]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店