一、DDoS的概念

要想理解DDoS的概念，我們就必須先介紹一下DoS（拒絕服務(wù)），DoS的英文全稱是Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。DoS攻擊的原理如圖1所示。

從圖1我們可以看出DoS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。

DDoS（分布式拒絕服務(wù)），它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。從圖1我們可以看出DoS攻擊只要一臺單機和一個modem就可實現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。DDoS的攻擊原理如圖2所示。

從圖2可以看出，DDoS攻擊分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。

1、攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。

2、主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。

3、代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。

攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機越多，他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當(dāng)攻擊的主控端，一部分主機充當(dāng)攻擊的代理端。最后各部分主機各司其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。由于攻擊者在幕后操縱，所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。

二、DDoS攻擊使用的常用工具

DDoS攻擊實施起來有一定的難度，它要求攻擊者必須具備入侵他人計算機的能力。但是很不幸的是一些傻瓜式的黑客程序的出現(xiàn)，這些程序可以在幾秒鐘內(nèi)完成入侵和攻擊程序的安裝，使發(fā)動DDoS攻擊變成一件輕而易舉的事情。下面我們來分析一下這些常用的黑客程序。

1、Trinoo

Trinoo的攻擊方法是向被攻擊目標(biāo)主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能提供正常服務(wù)，乃至崩潰。它對IP地址不做假，采用的通訊端口是：

攻擊者主機到主控端主機：27665/TCP

主控端主機到代理端主機：27444/UDP

代理端主機到主服務(wù)器主機：31335/UDP

2、TFN

TFN由主控端程序和代理端程序兩部分組成，它主要采取的攻擊方法為：SYN風(fēng)暴、Ping風(fēng)暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。

3、TFN2K

TFN2K是由TFN發(fā)展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。

4、Stacheldraht

Stacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。

三、DDoS的監(jiān)測

現(xiàn)在網(wǎng)上采用DDoS方式進(jìn)行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失。

檢測DDoS攻擊的主要方法有以下幾種：

1、根據(jù)異常情況分析

當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長，超過平常的極限值時，你可一定要提高警惕，檢測此時的通訊；當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的ICP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時都要留神。總之，當(dāng)你的機器出現(xiàn)異常情況時，你最好分析這些情況，防患于未然。

2、使用DDoS檢測工具

當(dāng)攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。

四、DDoS攻擊的防御策略

由于DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對DDoS攻擊行之有效的解決方法。所以我們要加強安全防范意識，提高網(wǎng)絡(luò)系統(tǒng)的安全性。可采取的安全防御措施有以下幾種：

1、及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。對一些特權(quán)帳號（例如管理員帳號）的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。

2、在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的包受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。

3、利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有的可能的偽造數(shù)據(jù)包。

4、比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實現(xiàn)路由的訪問控制和對帶寬總量的限制。

5、當(dāng)你發(fā)現(xiàn)自己正在遭受DDoS攻擊時，你應(yīng)當(dāng)啟動您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。

6、當(dāng)你是潛在的DDoS攻擊受害者，你發(fā)現(xiàn)你的計算機被攻擊者用做主控端和代理端時，你不能因為你的系統(tǒng)暫時沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對你的系統(tǒng)是一個很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時把它清除，以免留下后患。

本文介紹了什么是DDoS，常用的DDoS工具以及如何防御DDoS攻擊，希望對大家更深入的了解DDoS有所幫助。