DDOS攻擊是如何練成的

ddos攻擊原理及黑客組織ddos攻擊過程ddos是英文distributed denial of service的縮寫,意即"分布式拒絕服務",ddos的中文名叫分布式拒絕服務攻擊，俗稱洪水攻擊。

隨著internet網際網路絡頻寬的增加和多種ddos黑客工具的不斷發布，ddos拒絕服務攻擊的實施越來越容易，ddos攻擊事件正在成上公升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素，導致很多idc託管機房、商業站點、遊戲伺服器、聊天網路等網路服務商長期以來一直被ddos攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機使用者受牽連、法律糾紛、商業損失等一系列問題，因此，解決ddos攻擊問題成為網路服務商必須考慮的頭等大事。（龍銘洪）

如何知道主機被ddos攻擊？

ddos的表現形式主要有兩種，一種為流量攻擊，主要是針對網路頻寬的攻擊，即大量攻擊包導致網路頻寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的記憶體被耗盡或cpu被核心及應用程式佔完而造成無法提供網路服務。

如何判斷**是否遭受了流量攻擊呢？可通過ping命令來測試，若發現ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的icmp協議沒有被路由器和防火牆等裝置遮蔽，否則可採取telnet主機伺服器的網路服務埠來測試，效果是一樣的。不過有一點可以肯定，假如平時ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再乙個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠端終端連線**伺服器會失敗。

相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時ping**主機和訪問**都是正常的，發現突然**訪問非常緩慢或無法訪問了，而ping還可以ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用netstat -na命令觀察到有大量的syn_received、time_wait、fin_wait_1等狀態存在，而established很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，ping自己的**主機ping不通或者是丟包嚴重，而ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是**主機遭受攻擊後導致系統核心或某些應用程式cpu利用率達到100%無法回應ping命令，其實頻寬還是有的，否則就ping不通接在同一交換機上的主機了。。（

龍銘洪）

ddos是如何進行對目標攻擊的？

乙個比較完善的ddos攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發起攻擊。請注意控制機與攻擊機的區別，對第4部分的受害者來說，ddos的實際攻擊包是從第3部分攻擊傀儡機上發出的，第2部分的控制機只發布命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權或者是部分的控制權，並把相應的ddos程式上傳到這些平台上，這些程式與正常的程式一樣執行並等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發現。在平時，這些傀儡機器並沒有什麼異常，只是一旦黑客連線到它們進行控制，並發出指令的時候，攻擊傀儡機就成為害人者去發起攻擊了。

有的朋友也許會問道："為什麼黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉一下呢？"。這就是導致ddos攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不願意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據就越多。在占領一台機器後，高水平的攻擊者會首先做兩件事：1. 考慮如何留好後門！2. 如何清理日誌。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業的黑客會不管三七二十一把日誌全都刪掉，但這樣的話網管員發現日誌都沒了就會知道有人幹了壞事了，頂多無法再從日誌發現是誰幹的而已。相反，真正的好手會挑有關自己的日誌專案刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。

但是在第3部分攻擊傀儡機上清理日誌實在是一項龐大的工程，即使在有很好的日誌清理工具的幫助下，黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很乾淨，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那麼他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的。控制傀儡機的數目相對很少，一般一台就可以控制幾十台攻擊機，清理一台計算機的日誌對黑客來講就輕鬆多了，這樣從控制機再找到黑客的可能性也大大降低。。（

龍銘洪）

黑客組織一次ddos攻擊的過程

這裡用"組織"這個詞，是因為ddos並不象入侵一台主機那樣簡單。一般來說，黑客進行ddos攻擊時會經過這樣的步驟：

1. 蒐集了解目標的情況

下列情況是黑客非常關心的情報：

被攻擊目標主機數目、位址情況

目標主機的配置、效能

目標的頻寬

對於ddos攻擊者來說，攻擊網際網路上的某個站點，如有乙個重點就是確定到底有多少臺主機在支援這個站點，乙個大的**可能有很多臺主機利用負載均衡技術提供同乙個**的www服務。以yahoo為例，一般會有下列位址都是提供服務的：

66.218.71.87

66.218.71.88

66.218.71.89

66.218.71.80

66.218.71.81

66.218.71.83

66.218.71.84

66.218.71.86

如果要進行ddos攻擊的話，應該攻擊哪乙個位址呢？使66.218.71.87這台機器癱掉，但其他的主機還是能向外提供www服務，所以想讓別人訪問不到的話，要所有這些ip位址的機器都癱掉才行。在實際的應用中，乙個ip位址往往還代表著數台機器：**維護者使用了四層或七層交換機來做負載均衡，把對乙個ip位址的訪問以特定的演算法分配到下屬的每個主機上去。這時對於ddos攻擊者來說情況就更複雜了，他面對的任務可能是讓幾十台主機的服務都不正常。

所以說事先蒐集情報對ddos攻擊者來說是非常重要的，這關係到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點的2臺主機需要2臺傀儡機的話，攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好，不管你有多少臺主機我都用盡量多的傀儡機來攻就是了，反正傀儡機超過了時候效果更好。

但在實際過程中，有很多黑客並不進**報的蒐集而直接進行ddos的攻擊，這時候攻擊的盲目性就很大了，效果如何也要靠運氣。其實做黑客也象網管員一樣，是不能偷懶的。一件事做得好與壞，態度最重要，水平還在其次。。（

龍銘洪）

2. 占領傀儡機

黑客最感興趣的是有下列情況的主機：

鏈路狀態好的主機

效能好的主機

安全管理水平差的主機

這一部分實際上是使用了另一大類的攻擊手段：利用形攻擊。這是和ddos並列的攻擊方式。簡單地說，就是占領和控制被攻擊的主機。取得最高的管理許可權，或者至少得到乙個有許可權完成ddos攻擊任務的帳號。對於乙個ddos攻擊者來說，準備好一定數量的傀儡機是乙個必要的條件，下面說一下他是如何攻擊並占領它們的。

首先，黑客做的工作一般是掃瞄，隨機地或者是有針對性地利用掃瞄器去發現網際網路上那些有漏洞的機器，象程式的溢漏洞、cgi、unicode、ftp、資料庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃瞄結果。隨後就是嘗試入侵了，具體的手段就不在這裡多說了，感興趣的話網上有很多關於這些內容的文章。

總之黑客現在占領了一台傀儡機了！然後他做什麼呢？除了上面說過留後門擦腳印這些基本工作之外，他會把ddos攻擊用的程式上載過去，一般是利用ftp。在攻擊機上，會有乙個ddos的發包程式，黑客就是利用它來向受害目標傳送惡意攻擊包的。

3. 實際攻擊

經過前2個階段的精心準備之後，黑客就開始瞄準目標準備發**。前面的準備做得好的話，實際攻擊過程反而是比較簡單的。就象圖示裡的那樣，黑客登入到做為控制台的傀儡機，向所有的攻擊機發出命令："預備~ ，瞄準~，**!"。這時候埋伏在攻擊機中的ddos攻擊程式就會響應控制台的命令，一起向受害主機以高速度傳送大量的資料報，導致它宕機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊，他們不會"憐香惜玉"。

老到的攻擊者一邊攻擊，還會用各種手段來監視攻擊的效果，在需要的時候進行一些調整。簡單些就是開個視窗不斷地ping目標主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。。（

龍銘洪）

DDOS攻擊是如何練成的

DDOS攻擊是如何練成的

DDoS攻擊介紹，如何防禦DDoS攻擊

什麼是 DDoS 攻擊？

DDOS攻擊是如何練成的

DDOS攻擊是如何練成的

DDoS攻擊介紹，如何防禦DDoS攻擊

什麼是 DDoS 攻擊？

相關推薦