DDOS攻擊器

在當今維護網路安全的措施中，防火牆是套用最普遍、提供最基本網路防範功能的一種有效手段。針對威脅網路安全的DDOS攻擊，DDOS防火牆扮演著重要的角色，其產品也是琳琅滿目。隨著用戶對DDOS防火牆的質量要求越來越高，對DDOS防火牆產品的DDOS壓力測試的研究也隨即展開，壓力測試軟體的重要性能夠讓企業及時發現自己網路環境的薄弱點，從而及時防範潛在的黑客攻擊，降低企業的損失。

主要用於目標主機攻擊測試、網站攻擊測試和流量測試，參考眾多國內外優秀的DDOS攻擊測試軟體的特點，並採用全球領先的網路流量控制和系統開銷控制技術，具有速度快，不堵塞，隱蔽性好，攻擊性能強悍等優異的特性，可以充分發掘目標對象的弱點。

業內最近瘋傳SYN攻擊，SYN攻擊也就是堵塞TCP與IP之間的互動，SYN攻擊屬於Ddos攻擊的一種，它利用TCP協定缺陷，通過傳送大量的半連線請求，耗費CPU和記憶體資源。SYN攻擊除了能影響主機外，還可以危害路由器、防火牆等網路系統，事實上SYN攻擊並不管目標是什麼系統，只要這些系統打開TCP服務就可以實施。伺服器接收到連線請求（syn= j），將此信息加入未連線佇列，並傳送請求包給客戶（syn=k,ack=j+1），此時進入SYN_RECV狀態。當伺服器未收到客戶端的確認包時，重發請求包，一直到逾時，才將此條目從未連線佇列刪除。配合IP欺騙，SYN攻擊能達到很好的效果，通常，客戶端在短時間內偽造大量不存在的IP位址，向伺服器不斷地傳送syn包，伺服器回復確認包，並等待客戶的確認，由於源地址是不存在的，伺服器需要不斷的重發直至逾時，這些偽造的SYN包將長時間占用未連線佇列，正常的SYN請求被丟棄，目標系統運行緩慢，嚴重者引起網路堵塞甚至系統癱瘓。

軟體採用支持多種方式的主機上線機制，如 動態域名/URL轉向/FTP上傳IP檔案/固定IP等，最高支持數十萬台主機上線。且不占記憶體不耗服務端CPU，這是以往的軟體不可比擬的，I/O效率遠遠高於同類產品，可同時運算元萬台主機，具有高效的穩定性和優越性。目前支持DNS解析。FTP線上更新，區域網路連線埠映射，花生殼3322等動態域名連線上線，更有VIP專用上線<借鑑前輩灰鴿子>支持客戶自己本地配置服務端，靈活的操作配置完全滿足客戶的需求。

DDOS攻擊器可以設定1~50個並行執行緒，支持常規主機攻擊，如UDP/TCP/ICMP/SYN/ACK/傳奇登入攻擊/DNS巡迴攻擊/HTTP GET/無限CC<穿透防火牆，針對最新版本金盾，獨創智慧型混合攻擊與變種CC攻擊等，服務端完全模擬出JAVA腳本>/循環CC/循環下載檔案等多達12大類攻擊模式，有效測試網站及主機弱點。支持多模式同時攻擊！獨有的UDP攻擊，採用新型的核心技術，傳送數據包不經過快取區直接對目標傳送，且僅占CPU %5，攻擊速度一流。真正做到了UDP攻擊不掉被控端的效果。軟體目前完美兼容常見的作業系統，包括：windows 2000/2003/2008/xp/vista/windows 7不兼容9x系列。

服務端部分代碼由彙編直接完成，體積保持在無殼30KB以下，FSG壓縮完10kB更誘人。支持插入SVCHOST/IE瀏覽器/EXP等多種進程，無DLL完全穿透防火牆。

綜合特色：服務端純SDK打造，無MFC類，方便免殺，採用Shell Code特殊方式注入，無DLL穿越防火牆自動探測系統是否支持raw發包提升攻擊效率30%，註冊服務啟動，安全穩定。客戶端使用IOCP完成連線埠上線，具有強大的自動重連功能，可以自動尋找宿主的外網地址，自動使用代理，支持區域網路內控制。無上線限制，具有高效率，高發包率，不死鎖等特點。

琳琅滿目的DDOS軟體讓用戶應接不暇，那么我們如何選一款適合自己的測試軟體呢？首先要確定你需要測試的範圍，一般分為兩種，

第一種WEB攻擊測試，CC攻擊測試是針對GET可承受量來進行測試，此類攻擊硬防無法防禦，只能使用軟體來過濾訪問，測試軟體防火牆效果使用CC攻擊來測試就是最好的了。

第二種流量攻擊，流量攻擊分為很多種TCP、UDP、ICMP等多重攻擊模式，這時候如果你想測試的話就需要花點功夫來尋找一款好的軟體了，這幾種攻擊模式考驗的是你的硬體防火牆的承受能力。

受害主機在 DDoS 攻擊下，明顯特徵就是大量的不明數據報文流向受害主機，受害主機的網路接入頻寬被耗盡，或者受害主機的系統資源(存儲資源和計算資源)被大量占用，甚至發生當機。前者可稱為頻寬消耗攻擊，後者稱為系統資源消耗攻擊。兩者可能單獨發生，也可能同時發生。

DDoS頻寬消耗攻擊主要為直接洪流攻擊。 直接洪流攻擊採取了簡單自然的攻擊方式，它利用了攻擊方的資源優勢，當大量代理髮出的攻擊流匯聚於目標時，足以耗盡其 Internet 接入頻寬。通常用於傳送的攻擊報文類型有：TCP報文(可含TCP SYN報文)，UDP報文，ICMP報文，三者可以單獨使用，也可同時使用。

在早期的DoS攻擊中，攻擊者只傳送TCP SYN報文，以消耗目標的系統資源。而在 DDoS 攻擊中，由於攻擊者擁有更多的攻擊資源，所以攻擊者在大量傳送TCP SYN報文的同時，還傳送ACK, FIN, RST報文以及其他 TCP 普通數據報文，這稱為 TCP 洪流攻擊。該攻擊在消耗系統資源(主要由 SYN，RST 報文導致)的同時，還能擁塞受害者的網路接入頻寬。由於TCP協定為TCP/IP協定中的基礎協定，是許多重要套用層服務(如WEB 服務，FTP 服務等)的基礎，所以TCP洪流攻擊能對伺服器的服務性能造成致命的影響。據研究統計，大多數DDoS攻擊通過TCP洪流攻擊實現。

用戶數據報協定(UDP)是一個無連線協定。當數據包經由UDP協定傳送時，傳送雙方無需通過三次握手建立連線， 接收方必須接收處理該數據包。因此大量的發往受害主機 UDP 報文能使網路飽和。在一起UDP 洪流攻擊中，UDP 報文發往受害系統的隨機或指定連線埠。通常，UDP洪流攻擊設定成指向目標的隨機連線埠。這使得受害系統必須對流入數據進行分析以確定哪個套用服務請求了數據。如果受害系統在某個被攻擊連線埠沒有運行服務，它將用 ICMP 報文回應一個“目標連線埠不可達”訊息。通常，攻擊中的DDoS工具會偽造攻擊包的源IP位址。這有助於隱藏代理的身份，同時能確保來自受害主機的回應訊息不會返回到代理。UDP洪流攻擊同時也會擁塞受害主機周圍的網路頻寬(視網路構架和線路速度而定)。因此，有時連線到受害系統周邊網路的主機也會遭遇網路連線問題。

Internet 控制報文協定傳遞差錯報文及其它網路管理訊息，它被用於定位網路設備，確定源到端的跳數或往返時間等。一個典型的運用就是 Ping 程式，其使用 ICMP_ECHO REQEST 報文，用戶可以向目標傳送一個請求訊息，並收到一個帶往返時間的回應訊息。ICMP 洪流攻擊就是通過代理向受害主機傳送大量ICMP_ECHO_ REQEST)報文。這些報文涌往目標並使其回應報文，兩者合起來的流量將使受害主機網路頻寬飽和。與UDP洪流攻擊一樣，ICMP洪流攻擊通常也偽造源IP位址。

DDoS系統資源消耗攻擊包括惡意誤用 TCP/IP 協定通信和傳送畸形報文兩種攻擊方式。兩者都能起到占用系統資源的效果。具體有以下幾種：

TCP SYN攻擊。DoS的主要攻擊方式，在DDoS攻擊中仍然是最常見的攻擊手段之一。只不過在 DDoS 方式下，它的攻擊強度得到了成百上千倍的增加。
TCP PSH+ACK 攻擊。在 TCP 協定中，到達目的地的報文將進入 TCP棧的緩衝區，直到緩衝區滿了，報文才被轉送給接收系統。此舉是為了使系統清空緩衝區的次數達到最小。然而，傳送者可通過傳送 PSH 標誌為 1 的TCP 報文來起強制要求接受系統將緩衝區的內容清除。TCP PUSH+ACK 攻擊與 TCP SYN 攻擊一樣目的在於耗盡受害系統的資源。當代理向受害主機傳送PSH和ACK標誌設為1的TCP報文時， 這些報文將使接收系統清除所有 TCP 緩衝區的數據(不管緩衝區是滿的還是非滿)，並回應一個確認訊息。如果這個過程被大量代理重複，系統將無法處理大量的流入報文。 畸形報文攻擊。顧名思義，畸形報文攻擊指的是攻擊者指使代理向受害主機傳送錯誤成型的IP報文以使其崩潰。有兩種畸形報文攻擊方式。一種是IP 地址攻擊，攻擊報文擁有相同的源 IP 和目的 IP 地址。它能迷惑受害主機的作業系統，並使其消耗大量的處理能力。另一個是IP報文可選段攻擊。攻擊報文隨機選取IP報文的可選段並將其所有的服務比特值設為1。對此，受害系統不得不花費額外的處理時間來分析數據包。當發動攻擊的代理足夠多時，受害系統將失去處理能力。

典型如國內流行的傳奇假人攻擊，這種攻擊利用傀儡機，模擬了傳奇伺服器的數據流，能夠完成普通傳奇戲伺服器的註冊、登入等功能，使得伺服器運行的傳奇遊戲內出現大量的假人，影響了正常玩家的登入和遊戲，嚴重時完全無法登入。

在探討DDoS 之前我們需要先對DoS 有所了解，DoS泛指黑客試圖妨礙正常使用者使用網路上的服務，例如剪斷大樓的電話線路造成用戶無法通話。而以網路來說，由於頻寬、網路設備和伺服器主機 等處理的能力都有其限制，因此當黑客產生過量的網路封包使得設備處理不及，即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相 對小得多的撥接或 ADSL 使用者，則受害者就會發現他要連的網站連不上或是反應十分緩慢。

DoS攻擊並非入侵主機也不能竊取機器上的資料，但是一樣會造成攻擊目標的傷害，如果攻擊目標是個電子商務網站就會造成顧客無法到該網站購物。

DDoS 則是DoS 的特例，黑客利用多台機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以後，在被害主機上安裝DDoS 攻擊程控被害主機對攻擊目標展開攻擊;有些DDoS 工具採用多層次的架構，甚至可以一次控制高達上千台電腦展開攻擊，利用這樣的方式可以有效產生極大的網路流量以癱瘓攻擊目標。早在2000年就發生過針對 Yahoo, eBay, Buy 和CNN 等知名網站的DDoS攻擊，阻止了合法的網路流量長達數個小時。

DDoS攻擊程式的分類，可以依照幾種方式分類，以自動化程度可分為手動、半自動與自動攻擊。早期的DDoS攻擊程式多半屬於手動攻擊，黑客手動尋找可入侵的計算機入侵併植入攻擊程式，再下指令攻擊目標;半自動的攻擊程式則多半具有 handler 控制攻擊用的agent 程式，黑客散布自動化的入侵工具植入agent 程式，然後使用handler 控制所有agents 對目標發動DDoS 攻擊;自動攻擊更進一步自動化整個攻擊程式，將攻擊的目標、時間和方式都事先寫在攻擊程式里，黑客散布攻擊程式以後就會自動掃描可入侵的主機植入agent 並在預定的時間對指定目標發起攻擊，例如近期的 W32/Blaster 網蟲即屬於此類。

若以攻擊的弱點分類則可以分為協定攻擊和暴力攻擊兩種。協定攻擊是指黑客利用某個網路協定設計上的弱點或執行上的bug消耗大量資源，例如TCP SYN 攻擊、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的在線上消耗被害目標的資源，由於黑客會準備多台主機發起DDoS 攻擊目標，只要單位時間內攻擊方發出的網路流量高於目標所能處理速度，即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。

若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下達以後，攻擊主機就全力持續攻擊，因此會瞬間產生大量流量阻 斷目標的服務，也因此很容易被偵測到;變動頻率攻擊則較為謹慎，攻擊的頻率可能從慢速漸漸增加或頻率高低變化，利用這樣的方式延緩攻擊被偵測的時間。

DDoS的攻擊策略側重於通過很多“殭屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機傳送大量看似合法的網路包，從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務。分散式拒絕服務攻擊一旦被實施，攻擊網路包就會猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源。

判斷網站是否遭受了流量攻擊很簡單，可通過Ping命令來測試，若發現Ping逾時或丟包嚴重，則可能遭受了流量攻擊。此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。

那么當遭受DDoS 攻擊的時候要如何設法存活並繼續提供正常服務呢?由先前的介紹可以知道，若黑客攻擊規模遠高於你的網路頻寬、設備或主機所能處理的能力，其實是很難以抵抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。

首先是調查攻擊來源，由於黑客經由入侵機器進行攻擊，因此你可能無法查出黑客是由哪裡發動攻擊，我們必須一步一步從被攻擊目標往回推，先調 查攻擊是由管轄網路的哪些邊界路由器進來，上一步是外界哪台路由器，連絡這些路由器的管理者(可能是某個ISP或電信公司)並尋求他們協助阻擋或查出攻擊 來源，而在他們處理之前可以進行哪些處理呢?

如果被攻擊的目標只是單一ip，那么試圖改個ip 並更改其 DNS mapping 或許可以避開攻擊，這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務，更改ip的方式雖然避開攻擊，以另一角度來看黑客也達到了他 的目的。此外，如果攻擊的手法較為單純，可以由產生的流量找出其規則，那么利用路由器的ACLs(Access Control Lists)或防火牆規則也許可以阻擋，若可以發現流量都是來自同一來源或核心路由器，可以考慮暫時將那邊的流量擋起來，當然這還是有可能將正常和異常的 流量都一併擋掉，但至少其它來源可以得到正常的服務，這有時是不得已的犧牲。如果行有餘力，則可以考慮增加機器或頻寬作為被攻擊的緩衝之用，但這只是治標 不治本的做法。最重要的是必須立即著手調查並與相關單位協調解決。

DDoS 必須透過網路上各個團體和使用者的共同合作，制定更嚴格的網路標準來解決。每台網路設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防 毒和防火牆軟體、隨時注意系統安全，避免被黑客和自動化的DDoS 程式植入攻擊程式，以免成為黑客攻擊的幫凶。

有些DDoS 會偽裝攻擊來源，假造封包的來源ip，使人難以追查，這個部份可以透過設定路由器的過濾功能來防止，只要網域內的封包來源是其網域以外的ip，就應該直接丟棄此封包而不應該再送出去，如果網管設備都支持這項功能，網管人員都能夠正確設定過濾掉假造的封包，也可以大量減少調查和追蹤的時間。

網域之間保持聯絡是很重要的，如此才能有效早期預警和防治DDoS 攻擊，有些ISP會在一些網路節點上放置感應器偵測突然的巨大流量，以提早警告和隔絕DDoS 的受害區域，降低顧客的受害程度。