分布式DoS攻击.docx

DDoS攻击概念
DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请 求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。 单一的DoS攻击一般是采用一此，含有 错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答 均会使上层应用忙于处理这种异常而无法响应外来请求，使得目标主 机丧失网络通信能力。产生拒绝服务，如ARP重定向攻击。
基于ICMP
攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。 并将源地址伪装成想要攻击的目标主机的地址。这样，该子网上的所 有主机均对此ICMP Echo请求包作出答复，向被攻击的目标主机发 送数据包，使该主机受到攻击，导致网络阻塞。
基于IP
TCP/IP中的IP数据包在网络传递时，数据包可以分成更小的片 段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存 在漏洞，缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击 服务器，进而引起服务器内核崩溃。如Teardrop是基于IP的攻击。 基于应用层
应用层包括SMTP, HTTP, DNS等各种应用协议。其中SMTP 定义了如何在两个主机间传输邮件的过程，基于标准SMTP的邮件 服务器，在客户端请求发送邮件时，是不对其身份进行验证的。另外， 许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地 向攻击目标发送垃圾邮件，大量侵占服务器资源。
流程
DDoS并不象入侵一台主机那样简单。了解这些原理之后，你便 会更加明白入侵者的意图，从此便掌握了预防的技巧。一般来说，黑 客进行DDoS攻击时会经过这样的步骤：
搜集资料
下列情况是黑客非常关心的情报：被攻击目标主机数目、地址情 况目标主机的配置、性能目标的宽带。
对于DDoS攻击者来说，攻击互联网上的某个站点，有一个重点 就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很 多台主机利用负载均衡技术提供同一个网站的
WWW服务。
如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使这台机 器瘫痪，但其他的主机还是能向外提供WWW服务，所以想让别人访 问不到网站的话，要所有这些IP地址的机器都瘫掉才行。在实际的 应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四 层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算 法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就 更复杂了，他面对的任务可能是让几十台主机的服务都不正常。
所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系 到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同 的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5 台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越 好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀 儡机超过了时候效果更好。
但在实际过程中，有很多黑客并不进行情报的搜集而直接进行 DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。 其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态 度最重要，水平还在其次。
占领
黑客最感兴趣的是有下列情况的主机：网络状态好的主机性能好
的主机安全管理