2000年2月黑客对微软、Amazon、Yahoo、eBay、CNN和Bus.com等大型商务网站进行大规模的DDos攻击造成10多亿美元的损失，被誉为“电子珍珠港事件”。3月，国内新浪、163网站也遭遇类似攻击。

    据美国联邦调查局（FBI）和美国计算机犯罪（CSI）报告指出，2001年，美国38%的网站遭受Dos/DDos攻击，平均每次损失均超过100万元，平均每星期就有4000多起攻击事件，给网络安全带来极大的威胁。

    Dos（Denial of Service拒绝服务）攻击，首先攻击者向受害者发送大量的带有虚假源地址的服务请求，受害者在接受到请求服务后返回确认信息，由于攻击者所发送请求的源地址是虚假不真实的，所以受害者无法接收到确认，一直处于等待状态，而分配给这次的请求资源却始终没被释放。虽受害者等待到一定的时间后，连接会因超时而被中断，但攻击者还会继续传送新的一批请求。在这周而复始的过程中，受害者的资源最终会被耗尽，直到瘫痪。Dos攻击通常会导致被攻击主机无法正常访问、破坏系统正常运行，最终使用户网络连接失败。

 

 

 

    DDoS（Distributed Denial of Service分布式拒绝服务攻击）是比较特殊的Dos攻击，是一种分布、协作、大规模攻击方式，通常对一些大型商务网站或服务系统进行攻击，攻击强度和造成的威胁及破坏力远远比Dos攻击严重。

    DDos攻击是基于服务器/客户机模式，由攻击者、主控端和代理端三部分组成，每部分在攻击过程中扮演着不同的角色。

    攻击者：是指整个DDos攻击中的主控制台，它负责向主控端发送攻击命令。

    主控端：是攻击者非法入侵并控制的一些主机，通过这些主机分别控制大量的代理端。攻击者首先需要获得主控端主机控制权限，然后安装能够接受攻击者发来的特殊指令，并且可把这些命令发送到代理端上。

    代理端：代理端同样也是攻击者入侵并控制的一批主机，它们只接受和运行主控端发送来的命令以及运行攻击程序攻击受害者。代理端是攻击的执行者。

    在实施DDos攻击之前，攻击者首先对网络主机进行漏洞扫描，找到漏洞主机，然后利用这些漏洞获得大量主机的控制权，并植入特定程序及DDos攻击软件，以用来发动攻击，其中一部分主机充当主控端，一部分主机扮演代理端。然后各部分主机在攻击者统一指挥下对受害主机发动攻击。由于攻击者是幕后操纵，身份不容易发现。

 

    Flood的字面意思是“淹没”，Flood是Dos攻击的一种手段，具有高带宽的计算机可以通过大量发送TCP、UDP、ICMP报文，将低带宽的计算机“淹没”，降低受害者计算机的响应速度，最终导致系统蓝屏或者死机。

    攻击者首先（利用IP Spoofed）假冒目标主机向路由器发出ICMP Echo Request数据报。因为目的地址是广播地址，路由器收到数据报后会对该网段内的所有主机发出此ICMP包。而所有的主机在接收到此信息后对源地址（被假冒的攻击目标）发出ICMP Echo Request响应。这样，所有的 ICMP数据报在极短的时间内涌入目标主机，使目标主机因为无法响应如此多的系统中断而死机或暂停服务。

    Land利用向目标系统发送大量源地址和目标地址相同的包。目标系统接收到Land包后，向包中的目标地址（目标系统本身）发送SYN-ACK包，收到这个包后再向“目的地址”发送ACK，并创建一个空连接，从而目标系统在解释Land包时占用大量系统资源，使网络功能完全瘫痪。

 

    Trinoo攻击是由大量主控端、代理端组成。 Trinoo网络进行攻击时，攻击者先连接主控端，输入发动攻击指令，使用端口是27665/TCP，随后主控端与各代理端进行通信，传送攻击指令和目标主机IP，使用端口是27444/UDP，最后代理端向目标发动攻击。

    TFN2K由客户程序、守护程序、主控端、代理端及目标主机组成。进行TFN2K攻击时，主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据报向代理端主机发送命令。对目标主机攻击方法包括TCP/SYN、UDP、ICMP/PING、SMURF等。主控端和代理端之间数据报的头信息也是随机的，TFN2K的守护程序是完全沉默的，它不会对接收到的命令作任何响应。客户端重复发送每一个命令20次，并且认为守护程序应该至少能接收到1次。这些命令数据报可能混杂了许多随机IP地址的伪造数据报。所有命令都经过CAST-255算法加密，加密密钥在程序编译时定义，并作为TFN2K客户端程序的口令，所有加密数据在发送前都被编码成打印的ACSⅡ字符。TFN2K守护程序接收数据报并解密数据，守护进程为每一个攻击产生子进程。TFN2K的客户守护程序还通过修改argv[0]的内容，即可以执行文件名以及修改进程名以更好地掩饰自己。

    （1）根据分析，攻击者在进行DDos攻击前总需要解析目标的主机名。BIND域名服务器能够记录这些请求。在DDos攻击前，域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。

    （2）当DDos攻击一个网站时，会出现明显超出该网络正常工作时极限通信流量的现象。因此，可以在主干路由器建立ACL访问控制规则，以监测和过滤这些通信数据流。

    （3）检测特大型的ICMP和UDP数据报。正常的UDP会话一般都使用小的UDP包，通常有效数据内容不超过10字节。正常的ICMP消息一般为64~128字节。那些明显大的数据报很有可能就是控制通信用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通信，DDos服务器的位置就无可遁形了，因为控制信息通信数据报的目标地址是不能伪造的。

    （4）检查不属于正常连接通信的TCP和UDP数据报。最隐秘的DDos工具随机使用多种通信协议（包括基于连接的协议）通过信道发送数据。优秀的防火墙和路由规则能够发现这些数据报。另外那些连接高于1024而且不属于常用网络服务的目标端口也是非常值得怀疑的。

    （5）检测数据段内容只包含文字和数字字符的数据报。检测数据段内容只包含文字和数字字符（例如：没有标点、空格和控制字符）的数据报。这往往是数据经过Base 64编码后而只会含有Base 64字符集的特征。TFN2K发送的控制信息数据报就是此种类型的数据报。TFN2K的特征模式是在数据段中有一种‘A’（AAAA…），这里经过调整数据段大小和加密算法的结果。如果没有使用Base 64编码，对于使用了加密算法的数据报，这个连续字符就是‘\0’。

    （6）数据段内容只包含二进制和high-bit字符的数据报。虽然此时可能在传输二进制文件，但如果这些数据报不属于正常有效的通信时，可以怀疑正在传输的是没有被BASE 64编码但经过加密的控制信息通信数据报（如果实施这种规则，必须将20、21、80等端口的数据排除在外）。

    （1）利用防火墙防范Dos/DDos攻击。目前绝大数的主流防火墙（如Cisco PIX、NetScreen、SmartHammer等）都支持IP Inspect（IP检测）功能，防火墙会对进入防火墙的信息进行严格的检测。这样，各种针对系统漏洞的攻击包会自动被系统过滤掉，从而保护了网络免受来自外部的系统漏洞攻击。

    （2）使用路由器防范Dos/DDos攻击。对路由器进行合理设置，升级版本过低的IOS版本，为路由器建立Log server，设置SYN包速率。设置ACL过滤、TCP监听功能，过滤不必要的UDP和ICMP数据报。使用Unicast reverst-path功能。

    （3）提高计算机系统的安全性，安装杀毒软件及防火墙工具，及时对系统进行检测及病毒扫描，及时对系统升级，安装漏洞补丁，合理设置登录密码，及时审查日志，关闭不常用的服务。

    （4）入侵检测系统（IDS）抵御Dos/DDos攻击。入侵检测系统对正常通信数据量作了基线定义（也可以自定义具体正常数据量），系统能够检测到与基线不一致的数据量，当检测到与基线不一致的数据量时会告知管理员，并做相应的处理。

    （5）与网络服务提供商进行充分的协作。请求网络服务商说明实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有量。当受到攻击时，应及时告知服务商，寻求服务商提供说明及解决方案。

    （6）退让策略，采用DNS轮循或通过网络负载、服务器集群等技术增加响应主机数量，但成本较高。

    （7） 协议改进，典型SYN Cookie技术，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续收到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。

    （8）作好使用分析，当受到Dos/DDos攻击时，就可以发现某IP地址发送过来的流量势必会大量增加。当检测是Dos/DDos攻击时，应当中断该IP的网络连接，拒绝该IP访问。

    （9）遭受Dos/DDos攻击，立即启动预定的应对策略，尽快的反方向追踪攻击数据报的来源，并且迅速与网络提供商和有关应急组织取得联系，分析受影响的系统，确定涉及的其它节点，从而阻挡已知攻击节点的攻击流量，必要时断开网络连接。

    Dos/DDos攻击严重的威胁着网络安全，给网络带来了巨大的灾难。攻击者往往利用协议漏洞和软件缺陷，所以我们增强计算机系统安全体系建设的同时也须加大网络安全管理力度，使用先进的防御技术及采用优秀的防御工具，对网络实施实时监控，在遭受攻击时采取一定的应对措施，定能有效的防范攻击。