dos攻擊

DoS到底是什麼？接觸PC機較早的同志會直接想到微軟磁碟作業系統的DOS--DiskOperationSystem？不，此DoS非彼DOS也，DoS即DenialOfService，拒絕服務的縮寫。

作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務，如果一群地痞流氓要DoS餐館的話，手段會很多，比如霸占著餐桌不結賬，堵住餐館的大門不讓路，騷擾餐館的服務員或廚子不能幹活，甚至更惡劣……相應的計算機和網路系統則是為Internet用戶提供網際網路資源的，如果有黑客要進行DoS攻擊的話，可以想像同樣有好多手段！今天最常見的DoS攻擊有對計算機網路的頻寬攻擊和連通性攻擊。頻寬攻擊指以極大的通信量衝擊網路，使得所有可用網路資源都被消耗殆盡，最後導致合法的用戶請求無法通過。連通性攻擊指用大量的連線請求衝擊計算機，使得所有可用的作業系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

傳統上，攻擊者所面臨的主要問題是網路頻寬，由於較小的網路規模和較慢的網路速度的限制，攻擊者無法發出過多的請求。雖然類似“the ping of death”的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統，但大多數的DoS攻擊還是需要相當大的頻寬的，而以個人為單位的黑客們很難使用高頻寬的資源。為了克服這個缺點，DoS攻擊者開發了分散式的攻擊。攻擊者簡單利用工具集合許多的網路頻寬來同時對同一個目標發動大量的攻擊請求，這就是DDoS(Distributed Denial of Service)攻擊。

無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網路服務的黑客方式，雖然具體的實現方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網路無法及時接收並處理外界請求，或無法及時回應外界請求。其具體表現方式有以下幾種：

1，製造大流量無用數據，造成通往被攻擊主機的網路擁塞，使被攻擊主機無法正常和外界通信。

2，利用被攻擊主機提供服務或傳輸協定上處理重複連線的缺陷，反覆高頻的發出攻擊性的重複服務請求，使被攻擊主機無法及時處理其它正常的請求。

3，利用被攻擊主機所提供服務程式或傳輸協定的本身實現缺陷，反覆傳送畸形的攻擊數據引發系統錯誤的分配大量系統資源，使主機處於掛起狀態甚至當機。

使用殭屍電腦進行DOS攻擊

殭屍電腦（Zombie computer），簡稱“殭屍（zombie）”，有些人稱之為“肉雞”，接入網際網路的電腦被病毒感染後，受控於黑客，可以隨時按照黑客的指令展開拒絕服務（DoS）攻擊或傳送垃圾信息。通常，一部被侵占的電腦只是殭屍網路裡面眾多中的一環，而且會被用來去運行一連串的或遠端控制的惡意程式。很多“殭屍電腦的擁有者”都沒有察覺到自己的系統已經被“殭屍化”，就仿佛是沒有自主意識的殭屍一般。

要理解dos攻擊，首先要理解TCP連線的三次握手過程(Three-wayhandshake)。在TCP/IP協定中，TCP協定提供可靠的連線服務，採用三次握手建立一個連線。

第一次握手:建立連線時，客戶端傳送SYN包((SYN=i)到伺服器，並進入SYN SEND狀態，等待伺服器確認;

第二次握手:伺服器收到SYN包，必須確認客戶的SYN (ACK=i+1 )，同時自己也傳送一個SYN包((SYN=j)}即SYN+ACK包，此時伺服器進入SYN_RECV狀態;

第三次握手:客戶端收到伺服器的SYN+ACK包，向伺服器傳送確認包ACK(ACK=j+1)，此包傳送完畢，客戶端和伺服器進入ESTABLISHED狀態，完成三次握手，客戶端與伺服器開始傳送數據。

在上述過程中，還有一些重要的概念:

半連線:收到SYN包而還未收到ACK包時的連線狀態稱為半連線，即尚未完全完成三次握手的TCP連線。

半連線佇列:在三次握手協定中，伺服器維護一個半連線佇列，該佇列為每個客戶端的SYN包(SYN=i )開設一個條目，該條目表明伺服器已收到SYN包，並向客戶發出確認，正在等待客戶的確認包。這些條目所標識的連線在伺服器處於SYN_ RECV狀態，當伺服器收到客戶的確認包時，刪除該條目，伺服器進入ESTABLISHED狀態。

Backlog參數:表示半連線佇列的最大容納數目。

SYN-ACK重傳次數:伺服器傳送完SYN-ACK包，如果未收到客戶確認包，伺服器進行首次重傳，等待一段時間仍未收到客戶確認包，進行第二次重傳，如果重傳次數超過系統規定的最大重傳次數，系統將該連線信息、從半連線佇列中刪除。注意，每次重傳等待的時間不一定相同。

半連線存活時間:是指半連線佇列的條目存活的最長時間，也即服務從收到SYN包到確認這個報文無效的最長時間，該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連線存活時間為Timeout時間、SYN_RECV存活時間。

上面三個參數對系統的TCP連線狀況有很大影響。

SYN洪水攻擊屬於DoS攻擊的一種，它利用TCP協定缺陷，通過傳送大量的半連線請求，耗費CPU和記憶體資源。SYN攻擊除了能影響主機外，還可以危害路由器、防火牆等網路系統，事實上SYN攻擊並不管目標是什麼系統，只要這些系統打開TCP服務就可以實施。從圖4-3可看到，伺服器接收到連線請求(SYN=i )將此信息加入未連線佇列，並傳送請求包給客戶端( SYN=j,ACK=i+1 )，此時進入SYN_RECV狀態。當伺服器未收到客戶端的確認包時，重發請求包，一直到逾時，才將此條目從未連線佇列刪除。配合IP欺騙，SYN攻擊能達到很好的效果，通常，客戶端在短時間內偽造大量不存在的IP位址，向伺服器不斷地傳送SYN包，伺服器回復確認包，並等待客戶的確認，由於源地址是不存在的，伺服器需要不斷的重發直至逾時，這些偽造的SYN包將長時間占用未連線佇列，正常的SYN 請求

被丟棄，目標系統運行緩慢，嚴重者引起網路堵塞甚至系統癱瘓。過程如下:

攻擊主機C(地址偽裝後為C')-----大量SYN包---->被攻擊主機

C&apos;<-------SYN/ACK包----被攻擊主機

由於C’地址不可達，被攻擊主機等待SYN包逾時。攻擊主機通過發大量SYN包填滿未連線佇列，導致正常SYN包被拒絕服務。另外，SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。

拒絕服務攻擊是一種對網路危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它們又是怎么實現的。

dos攻擊快閃族

ICMP(InternetControlMessageProtocol，Internet控制信息協定)在Internet上用於錯誤處理和傳遞控制信息。最普通的ping程式就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規定，許多作業系統的TCP/IP協定棧都規定ICMP包大小為64KB，且在對包的標題頭進行讀取之後，要根據該標題頭裡包含的信息來為有效載荷生成緩衝區。"PingofDeath"就是故意產生畸形的測試Ping（PacketInternetGroper）包，聲稱自己的尺寸超過ICMP上限，也就是載入的尺寸超過64KB上限，使未採取保護措施的網路系統出現記憶體分配錯誤，導致TCP/IP協定棧崩潰，最終接收方宕機。

淚滴攻擊利用在TCP/IP協定棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP協定棧（例如NT在servicepack4以前）在收到含有重疊偏移的偽造分段時將崩潰。

UDPflood攻擊：如今在Internet上UDP（用戶數據包協定）的套用比較廣泛，很多提供WWW和Mail等服務設備通常是使用Unix的伺服器，它們默認打開一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數據包，而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字元。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務的漏洞進行惡意攻擊，通過偽造與某一主機的Chargen服務之間的一次的UDP連線，回復地址指向開著Echo服務的一台主機，通過將Chargen和Echo服務互指，來回傳送毫無用處且占滿頻寬的垃圾數據，在兩台主機之間生成足夠多的無用數據流，這一拒絕服務攻擊飛快地導致網路可用頻寬耗盡。

SYNflood攻擊：我們知道當用戶進行一次標準的TCP（TransmissionControlProtocol）連線時，會有一個3次握手過程。首先是請求服務方傳送一個SYN（SynchronizeSequenceNumber）訊息，服務方收到SYN後，會向請求方回送一個SYN-ACK表示確認，當請求方收到SYN-ACK後，再次向服務方傳送一個ACK訊息，這樣一次TCP連線建立成功。“SYNFlooding”則專門針對TCP協定棧在兩台主機間初始化連線握手的過程進行DoS攻擊，其在實現過程中只進行前2個步驟：當服務方收到請求方的SYN-ACK確認訊息後，請求方由於採用源地址欺騙等手段使得服務方收不到ACK回應，於是服務方會在一定時間處於等待接收請求方ACK訊息的狀態。而對於某台伺服器來說，可用的TCP連線是有限的，因為他們只有有限的記憶體緩衝區用於創建連線，如果這一緩衝區充滿了虛假連線的初始信息，該伺服器就會對接下來的連線停止回響，直至緩衝區裡的連線企圖逾時。如果惡意攻擊方快速連續地傳送此類連線請求，該伺服器可用的TCP連線佇列將很快被阻塞，系統可用資源急劇減少，網路可用頻寬迅速縮小，長此下去，除了少數幸運用戶的請求可以插在大量虛假請求間得到應答外，伺服器將無法向用戶提供正常的合法服務。

在Land攻擊中，黑客利用一個特別打造的SYN包--它的原地址和目標地址都被設定成某一個伺服器地址進行攻擊。此舉將導致接受伺服器向它自己的地址傳送SYN-ACK訊息，結果這個地址又發回ACK訊息並創建一個空連線，每一個這樣的連線都將保留直到逾時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續五分鐘）。

dos攻擊

IP欺騙

這種攻擊利用TCP協定棧的RST位來實現，使用IP欺騙，迫使伺服器把合法用戶的連線復位，影響合法用戶的連線。假設有一個合法用戶（100.100.100.100）已經同伺服器建了正常的連線，攻擊者構造攻擊的TCP數據，偽裝自己的IP為100.100.100.100，並向伺服器傳送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後，認為從100.100.100.100傳送的連線有錯誤，就會清空緩衝區中已建立好的連線。這時，合法用戶100.100.100.100再傳送合法數據，伺服器就已經沒有這樣的連線了，該用戶就被拒絕服務而只能重新開始建立新的連線。

具體DoS攻擊方法很多，但大多都可以分為以下幾類：

利用軟體實現的缺陷

OOB攻擊（常用工具winnuke），teardrop攻擊（常用工具teardrop.cboink.cbonk.c），land攻擊，IGMP碎片包攻擊，jolt攻擊，Cisco2600路由器IOSversion12.0（10）遠程拒絕服務攻擊等等，這些攻擊都是利用了被攻擊軟體的實現上的缺陷完成DoS攻擊的。通常這些攻擊工具向被攻擊系統傳送特定類型的一個或多個報文，這些攻擊通常都是致命的，一般都是一擊致死，而且很多攻擊是可以偽造源地址的，所以即使通過IDS或者別的sniffer軟體記錄到攻擊報文也不能找到誰發動的攻擊，而且此類型的攻擊多是特定類型的幾個報文，非常短暫的少量的報文，如果偽造源IP位址的話，使追查工作幾乎是不可能。

軟體主流程圖

那么如何造成這些攻擊的？通常是軟體開發過程中對某種特定類型的報文、或請求沒有處理，導致軟體遇到這種類型的報文運行出現異常，導致軟體崩潰甚至系統崩潰。下面結合幾個具體實例解釋一下這種攻擊的成因。

1997年5月7號有人發布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連線，然後傳送TCP緊急數據，導致對端系統崩潰。139/TCP是Win95/NT系統最常見的偵聽連線埠，所以winnuke.c使用了該連線埠。之所以稱呼這種攻擊為OOB攻擊，因為MSG_OOB標誌，實際應該是TCP緊急數據攻擊。

原始teardrop.c只構造了兩種碎片包，每次同時傳送這兩種UDP碎片包。如果指定傳送次數，將完全重複先前所傳送出去的兩種碎片包。它可以偽造源ip並跨越路由器進行遠程攻擊，影響的系統包括Linux/WinNT/Win95。使用的方法是：

teardrop源ip目的ip[-s源連線埠][-d目的連線埠][-n次數]

比較新的一個DoS攻擊是Windows的SMB實現中的DoS攻擊，2002年8月發布，只要允許匿名連線的windows系統就可以進行遠程攻擊，強烈建議Windows用戶打相應的補丁。它的方法就是先和目標系統建立一個連線，然後傳送一個特定的請求，目標系統就會蘭屏。發布的測試工具SMBdie.exe是圖形界面工具，輸入目標地址NETBIOS名稱即可。

從上面的討論可以看出，這種攻擊行為威力很大，而且難於偵察。但真實情況下它的危害僅現於漏洞發布後的不長的時間段內，相關廠商會很快發布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現實的環境中，通常是無效的。不過最新的攻擊方法還是讓我們不寒而慄，我們可以做的就是關注安全漏洞的發布，及時打上新的補丁。如果你想偷懶的話，購買專業安全服務公司的相關服務應該是個更好的選擇。

如果說上面那種漏洞危害的時間不是很長，那么這種攻擊的生存能力卻非常強。為了能夠在網路上進行互通、互聯，所有的軟體實現都必須遵循既有的協定，而如果這種協定存在漏洞的話，所有遵循此協定的軟體都會受到影響。

最經典的攻擊是synflood攻擊，它利用TCP/IP協定的漏洞完成攻擊。通常一次TCP連線的建立包括3個步驟，客戶端傳送SYN包給伺服器端，伺服器分配一定的資源給這裡連線並返回SYN/ACK包，並等待連線建立的最後的ACK包，最後客戶端傳送ACK報文，這樣兩者之間的連線建立起來，並可以通過連線傳送數據了。而攻擊的過程就是瘋狂傳送SYN報文，而不返回ACK報文，伺服器占用過多資源，而導致系統資源占用過多，沒有能力回響別的操作，或者不能回響正常的網路請求。

這個攻擊是經典的以小搏大的攻擊，自己使用少量資源占用對方大量資源。一台P4的Linux系統大約能發到30－40M的64位元組的synflood報文，而一台普通的伺服器20M的流量就基本沒有任何回響了（包括滑鼠、鍵盤）。而且synflood不僅可以遠程進行，而且可以偽造源IP位址，給追查造成很大困難，要查找必須所有骨幹網路運營商，一級一級路由器的向上查找。

對於偽造源IP的synflood攻擊，除非攻擊者和被攻擊的系統之間所有的路由器的管理者都配合查找，否則很難追查。當前一些防火牆產品聲稱有抗DoS的能力，但通常他們能力有限，包括國外的硬體防火牆大多100M防火牆的抗synflood的能力只有20－30Mbps（64位元組syn包），這裡涉及到它們對小報文的轉發能力，再大的流量甚至能把防火牆打當機。有些安全廠商認識到DoS攻擊的危害，開始研發專用的抗拒絕服務產品。

TCP/IP協定結構圖

由於TCP/IP協定相信報文的源地址，另一種攻擊方式是反射拒絕服務攻擊，另外可以利用還有廣播地址，和組播協定輔助反射拒絕服務攻擊效果更好。不過大多數路由器都禁止廣播地址和組播協定的地址。

另一類攻擊方式是使用大量符合協定的正常服務請求，由於每個請求耗費很大系統資源，導致正常服務請求不能成功。如HTTP協定是無狀態協定，攻擊者構造大量搜尋請求，這些請求耗費大量伺服器資源，導致DoS。這種方式攻擊比較好處理，由於是正常請求，暴露了正常的源IP位址，禁止這些IP就可以了。

這種攻擊方式屬於無賴打法，我憑藉著手中的資源豐富，傳送大量的垃圾數據侵占完你的資源，導致DoS。比如，ICMPflood，mstreamflood，Connectionflood。為了獲得比目標系統更多資源，通常攻擊者會發動DDoS（DistributedDos分散式拒絕服務）攻擊者控制多個攻擊傀儡發動攻擊，這樣才能產生預期的效果。前兩類攻擊是可以偽造IP位址的，追查也是非常困難，第3種攻擊由於需要建立連線，可能會暴露攻擊傀儡的IP位址，通過防火牆禁止這些IP就可以了。對於難於追查，禁止的攻擊行為，我們只能期望專用的抗拒絕服務產品了。

smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程式，本文將對它們的原理以及抵禦措施進行論述，以幫助管理員有效地抵禦DoS風暴攻擊，維護站點安全。

Smurf是一種簡單但有效的DDoS攻擊技術，它利用了ICMP(Internet控制信息協定）。ICMP在Internet上用於錯誤處理和傳遞控制信息。它的功能之一是與主機聯繫，通過傳送一個“回音請求”（echorequest）信息包看看主機是否“活著”。最普通的ping程式就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的，然後用一個偽造的源地址連續ping一個或多個計算機網路，這就導致所有計算機所回響的那個計算機並不是實際傳送這個信息包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數量的回響信息量所淹沒。對這個偽造信息包做出回響的計算機網路就成為攻擊的不知情的同謀。

黑客

下面是SmurfDDoS攻擊的基本特性以及建議採用的抵禦策略：

1、Smurf的攻擊平台：smurf為了能工作，必須要找到攻擊平台，這個平台就是：其路由器上啟動了IP廣播功能。這個功能允許smurf傳送一個偽造的ping信息包，然後將它傳播到整個計算機網路中。

2、為防止系統成為smurf攻擊的平台，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能並不需要。

3、攻擊者也有可能從LAN內部發動一個smurf攻擊，在這種情況下，禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊，許多作業系統都提供了相應設定，防止計算機對IP廣播請求做出回響。

4、如果攻擊者要成功地利用你成為攻擊平台，你的路由器必須要允許信息包以不是從你的區域網路中產生的源地址離開網路。配置路由器，讓它將不是由你的區域網路中生成的信息包過濾出去，這是有可能做到的。這就是所謂的網路出口過濾器功能。

5、ISP則應使用網路入口過濾器，以丟掉那些不是來自一個已知範圍內IP位址的信息包。

6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應答（echoreply）信息包進行過濾，然後丟棄它們，這樣就能阻止“命中”Web伺服器和區域網路。對於那些使用Cisco路由器的人，另一個選擇是CAR(CommittedAccessRate，承諾訪問速率）。

丟棄所有的回音應答信息包能使網路避免被淹沒，但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標，就要請求ISP對回音應答信息包進行過濾並丟棄。如果不想完全禁止回音應答，那么可以有選擇地丟棄那些指向你的公用Web伺服器的回音應答信息包。CAR技術由Cisco開發，它能夠規定出各種信息包類型使用的頻寬的最大值。例如，使用CAR，我們就可以精確地規定回音應答信息包所使用的頻寬的最大值。

trinoo是複雜的DDoS攻擊程式，它使用“master”程式對實際實施攻擊的任何數量的“代理”程式實現自動控制。攻擊者連線到安裝了master程式的計算機，啟動master程式，然後根據一個IP位址的列表，由master程式負責啟動所有的代理程式。接著，代理程式用UDP信息包衝擊網路，從而攻擊目標。在攻擊之前，侵入者為了安裝軟體，已經控制了裝有master程式的計算機和所有裝有代理程式的計算機。

牽引流量技術在DOS攻擊中套用

下面是trinooDDoS攻擊的基本特性以及建議採用的抵禦策略：

1、在master程式與代理程式的所有通訊中，trinoo都使用了UDP協定。入侵檢測軟體能夠尋找使用UDP協定的數據流（類型17）。

2、Trinoomaster程式的監聽連線埠是27655，攻擊者一般藉助telnet通過TCP連線到master程式所在計算機。入侵檢測軟體能夠搜尋到使用TCP（類型6）並連線到連線埠27655的數據流。

3、所有從master程式到代理程式的通訊都包含字元串“l44”，並且被引導到代理的UDP連線埠27444。入侵檢測軟體檢查到UDP連線埠27444的連線，如果有包含字元串l44的信息包被傳送過去，那么接受這個信息包的計算機可能就是DDoS代理。

4、Master和代理之間通訊受到口令的保護，但是口令不是以加密格式傳送的，因此它可以被“嗅探”到並被檢測出來。使用這個口令以及來自DaveDittrich的trinot腳本，要準確地驗證出trinoo代理的存在是很可能的。

一旦一個代理被準確地識別出來，trinoo網路就可以安裝如下步驟被拆除：

·在代理daemon上使用"strings"命令，將master的IP位址暴露出來。

·與所有作為trinoomaster的機器管理者聯繫，通知它們這一事件。

·在master計算機上，識別含有代理IP位址列表的檔案（默認名“...”），得到這些計算機的IP位址列表。

·向代理髮送一個偽造“trinoo”命令來禁止代理。通過crontab檔案（在UNIX系統中）的一個條目，代理可以有規律地重新啟動，因此，代理計算機需要一遍一遍地被關閉，直到代理系統的管理者修復了crontab檔案為止。

·檢查master程式的活動TCP連線，這能顯示攻擊者與trinoomaster程式之間存在的實時連線。

·如果網路正在遭受trinoo攻擊，那么系統就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意連線埠傳送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP位址、同一目的IP位址、同一源連線埠，但是不同的目的連線埠。

·在美國FBI網站上有一個檢測和根除trinoo的自動程式。

TribeFloodNetwork與trinoo一樣，使用一個master程式與位於多個網路上的攻擊代理進行通訊。TFN可以並行發動數不勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP位址的信息包。可以由TFN發動的攻擊包括：UDP衝擊、TCPSYN衝擊、ICMP回音請求衝擊以及ICMP廣播。

以下是TFNDDoS攻擊的基本特性以及建議的抵禦策略：

1、發動TFN時，攻擊者要訪問master程式並向它傳送一個或多個目標IP位址，然後Master程式繼續與所有代理程式通訊，指示它們發動攻擊。

TFNMaster程式與代理程式之間的通訊使用ICMP回音應答信息包，實際要執行的指示以二進制形式包含在16位ID域中。ICMP(Internet控制信息協定）使信息包協定過濾成為可能。通過配置路由器或入侵檢測系統，不允許所有的ICMP回音或回音應答信息包進入網路，就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程式，比如ping。

TFNMaster程式讀取一個IP位址列表，其中包含代理程式的位置。這個列表可能使用如“Blowfish”的加密程式進行了加密。如果沒有加密的話，就可以從這個列表方便地識別出代理信息。

2、用於發現系統上TFN代理程式的程式是td，發現系統上master程式的程式是tfn。TFN代理並不查看ICMP回音應答信息包來自哪裡，因此使用偽裝ICMP信息包沖刷掉這些過程是可能的。

TFN2K是TFN的一個更高級的版本，它“修復”了TFN的某些缺點：

1、在TFN2K下，Master與代理之間的通訊可以使用許多協定，例如TCP、UDP或ICMP，這使得協定過濾不可能實現。

2、TFN2K能夠傳送破壞信息包，從而導致系統癱瘓或不穩定。

3、TFN2K偽造IP源地址，讓信息包看起來好像是從LAN上的一個臨近機器來的，這樣就可以挫敗出口過濾和入口過濾。

4、由於TFN2K是被識破的，因此還沒有一項研究能夠發現它的明顯弱點。

在人們能夠對TFN2K進行更完全的分析之前，最好的抵禦方法是：

·加固系統和網路，以防系統被當做DDoS主機。

·在邊界路由器上設定出口過濾，這樣做的原因是或許不是所有的TFN2K源地址都用內部網路地址進行偽裝。

·請求上游供應商配置入口過濾。

Stacheldraht也是基於TFN和trinoo一樣的客戶機/伺服器模式，其中Master程式與潛在的成千個代理程式進行通訊。在發動攻擊時，侵入者與master程式進行連線。Stacheldraht增加了以下新功能：攻擊者與master程式之間的通訊是加密的，以及使用rcp(remotecopy，遠程複製）技術對代理程式進行更新。

Stacheldraht同TFN一樣，可以並行發動數不勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP位址的信息包。Stacheldraht所發動的攻擊包括UDP衝擊、TCPSYN衝擊、ICMP回音應答衝擊以及ICMP播放。

以下是StacheldrahtDDoS攻擊的基本特徵以及建議採取的防禦措施：

1、在發動Stacheldraht攻擊時，攻擊者訪問master程式，向它傳送一個或多個攻擊目標的IP位址。Master程式再繼續與所有代理程式進行通訊，指示它們發動攻擊。

Stacheldrahtmaster程式與代理程式之間的通訊主要是由ICMP回音和回音應答信息包來完成的。配置路由器或入侵檢測系統，不允許一切ICMP回音和回音應答信息包進入網路，這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程式，例如ping。

2、代理程式要讀取一個包含有效master程式的IP位址列表。這個地址列表使用了Blowfish加密程式進行加密。代理會試圖與列表上所有的master程式進行聯繫。如果聯繫成功，代理程式就會進行一個測試，以確定它被安裝到的系統是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統或使用嗅探器來搜尋它們的簽名信息，可以探測出這兩個行為。

代理會向每個master傳送一個ICMP回音應答信息包，其中有一個ID域包含值666，一個數據域包含字元串“skillz”。如果master收到了這個信息包，它會以一個包含值667的ID域和一個包含字元串“ficken”的數據域來應答。代理和master通過交換這些信息包來實現周期性的基本接觸。通過對這些信息包的監控，可以探測出Stacheldraht。

一旦代理找到了一個有效master程式，它會向master傳送一個ICMP信息包，其中有一個偽造的源地址，這是在執行一個偽造測試。這個假地址是“3.3.3.3”。如果master收到了這個偽造地址，在它的應答中，用ICMP信息包數據域中的“spoofworks”字元串來確認偽造的源地址是奏效的。通過監控這些值，也可以將Stacheldraht檢測出來。

3、Stacheldraht代理並不檢查ICMP回音應答信息包來自哪裡，因此就有可能偽造ICMP信息包將其排除。

4、Stacheldraht代理程式與TFN和trinoo一樣，都可以用一個C程式來探測。

DoS攻擊幾乎是從網際網路絡的誕生以來，就伴隨著網際網路的發展而一直存在也不斷發展和升級。值得一提的是，要找DoS的工具一點不難，黑客群居的網路社區都有共享黑客軟體的傳統，並會在一起交流攻擊的心得經驗，你可以很輕鬆的從Internet上獲得這些工具，像以上提到的這些DoS攻擊軟體都是可以從網上隨意找到的公開軟體。所以任何一個上網者都可能構成網路安全的潛在威脅。DoS攻擊給飛速發展的網際網路安全帶來重大的威脅。

dos攻擊

要避免系統免受DoS攻擊，從前兩點來看，網路管理員要積極謹慎地維護系統，確保無安全隱患和漏洞；而針對第三點的惡意攻擊方式則需要安裝防火牆等安全設備過濾DoS攻擊，同時強烈建議網路管理員應當定期查看安全設備的日誌，及時發現對系統的安全威脅行為。

Internet支持工具就是其中的主要解決方案之一，包括SuperStack3Firewall、WebCache以及ServerLoadBalancer。不但作為安全網關設備的3ComSuperStack3防火牆在預設預配置下可探測和防止“拒絕服務”（DoS）以及“分散式拒絕服務”（DDoS）等黑客侵襲，強有力的保護您的網路，使您免遭未經授權訪問和其他來自Internet的外部威脅和侵襲；而且3ComSuperStack3ServerLoadBalancer在為多伺服器提供硬體線速的4-7層負載均衡的同時，還能保護所有伺服器免受“拒絕服務”（DoS）攻擊；同樣3ComSuperStack3WebCache在為企業提供高效的本地快取的同時，也能保證自身免受“拒絕服務”（DoS）攻擊。

原理：
問題就出在TCP連線的三次握手中，假設一個用戶向伺服器傳送了SYN報文後突然當機或掉線，那么伺服器在發出SYN+ACK應答報文後是無法收到客戶端的ACK報文的（第三次握手無法完成），這 種情況下伺服器端一般會重試（再次傳送SYN+ACK給客戶端）並等待一段時間後丟棄這個未完成的連線，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數量級（大約為30秒 -2分鐘）；一個用戶出現異常導致伺服器的一個執行緒等待1分鐘並不是什麼很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，伺服器端將為了維護一個非常大的半連線列表而消耗非常 多的資源----數以萬計的半連線，即使是簡單的保存並遍歷也會消耗非常多的CPU時間和記憶體，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果伺服器的TCP/IP棧不夠強大，最 後的結果往往是堆疊溢出崩潰---即使伺服器端的系統足夠強大，伺服器端也將忙於處理攻擊者偽造的TCP連線請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時從 正常客戶的角度看來，伺服器失去回響，這種情況我們稱作：伺服器端受到了SYN Flood攻擊（SYN洪水攻擊）。
防範：
第一種是縮短SYN Timeout時間
第二種方法是設定SYN Cookie，就是給每一個請求連線的IP位址分配一個Cookie，如果短時間內連續受到某個IP的重複SYN報文，就認定是受到了攻擊，以後從這個IP位址來的包會被一概丟棄。
>netstat -n -p tcp >result.txt

原理：
傳送偽裝的ICMP數據包，目的地址設為某個網路的廣播地址，源地址設為要攻擊的目的主機，使所有收到此ICMP數據包的主機都將對目的主機發出一個回應，使被攻擊主機在某一段時間內收到 成千上萬的數據包
防範：
在cisco路由器上配置如下可以防止將包傳遞到廣播地址上:
Router(config-if)# no ip directed-broadcast

原理：
"ping of death"攻擊就是我們常說的"死亡Ping"
這種攻擊通過傳送大於65536位元組的ICMP包使作業系統崩潰；通常不可能傳送大於65536個位元組的ICMP包，但可以把報文分割成片段，然後在目標主機上重組；最終會導致被攻擊目標緩衝區溢 出，引起拒絕服務攻擊。有些時候導致telne和http服務停止，有些時候路由器重啟。

原理：
對於一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個6 000位元組的IP包，在MTU為2 000的鏈路上傳輸的時候，就需要分成3個IP 包。在IP報頭中有一個偏移欄位和一個拆分標誌（MF）。如果MF標誌設定為1，則表示這個IP包是一個大IP包的片段，其中偏移欄位指出了這個片段在整個IP包中的位置。例如，對一個6 000字 節的IP包進行拆分（MTU為2 000），則3個片段中偏移欄位的值依次為0，2 000，4 000。這樣接收端在全部接收完IP數據包後，就可以根據這些信息重新組裝這幾個分次接收的拆分IP包。在這 里就有一個安全漏洞可以利用了，就是如果黑客們在截取IP數據包後，把偏移欄位設定成不正確的值，這樣接收端在收到這些分拆的數據包後，就不能按數據包中的偏移欄位值正確組合這些拆 分的數據包，但接收端會不斷嘗試，這樣就可能致使目標計算機作業系統因資源耗盡而崩潰。

原理：
攻擊時，攻擊者巧妙的利用了反彈伺服器群來將洪水數據包反彈給目標主機 反彈服務是指某些伺服器在收到一個請求數據報後就會產生一個回應數據報。所有的 Web 伺服器、DNS 伺服器及路 由器都是反彈伺服器，他們會對 SYN 報文或其他 TCP 報文回應 SYNACKs 或 RST 報文， 以及對一些 IP 報文回應 ICMP 數據報逾時或目的地不可達訊息的數據 報。任何用於普通目的 TCP 連 接許可的網路伺服器都可以用做數據包反射伺服器

·確定你是否成為了攻擊平台：對不是來自於你的內部網路的信息包進行監控；監控大容量的回音請求和回音應答信息包。

·避免被當做一個攻擊平台：在所有路由器上禁止IP廣播功能；將不是來自於內部網路的信息包過濾掉。

·減輕攻擊的危害：在邊界路由器對回音應答信息包進行過濾，並丟棄；對於Cisco路由器，使用CAR來規定回音應答信息包可以使用的頻寬最大值。

·確定你是否成為攻擊平台：在master程式和代理程式之間的通訊都是使用UDP協定，因此對使用UDP協定（類別17）進行過濾；攻擊者用TCP連線埠27655與master程式連線，因此對使用TCP（類別6）連線埠27655連線的流進行過濾；master與代理之間的通訊必須要包含字元串“l44”，並被引導到代理的UDP連線埠27444，因此對與UDP連線埠27444連線且包含字元串l44的數據流進行過濾。

dos攻擊

·避免被用作攻擊平台：將不是來自於你的內部網路的信息包過濾掉。

·減輕攻擊的危害：從理論上說，可以對有相同源IP位址的、相同目的IP位址的、相同源連線埠的、不通目的連線埠的UDP信息包序列進行過濾，並丟棄它們。

·確定你是否成為攻擊平台：對不是來自於內部網路的信息包進行監控。

·避免被用作攻擊平台：不允許一切到你的網路上的ICMP回音和回音應答信息包，當然這會影響所有要使用這些功能的Internet程式；將不是來源於內部網路的信息包過濾掉。

Stacheldraht

·確定你是否成為攻擊平台：對ID域中包含值666、數據域中包含字元串“skillz”或ID域中包含值667、數據域中包含字元串“ficken”的ICMP回音應答信息包進行過濾；對源地址為“3.3.3.3”的ICMP信息包和ICMP信息包數據域中包含字元串“spoofworks”的數據流進行過濾。

·手工防護

一般而言手工方式防護DDOS主要通過兩種形式：

系統最佳化――主要通過最佳化被攻擊系統的核心參數，提高系統本身對DDoS攻擊的回響能力。但是這種做法只能針對小規模的DDOS進行防護。

網路追查――遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網路運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。

為了抵抗DDOS攻擊，DengKelen客戶可能會通過購買硬體的方式來提高系統抗DDOS的能力。但是這種退讓策略的效果並不好，一方面由於這種方式的性價比過低，另一方面，黑客提高供給流量之後，這種方法往往失效，所以不能從根本意義上防護DDoS攻擊。

防火牆幾乎是最常用的安全產品，但是防火牆設計原理中並沒有考慮針對DDOS攻擊的防護，在某些情況下，防火牆甚至成為DDOS攻擊的目標而導致整個網路的拒絕服務。

首先是防火牆缺乏DDOS攻擊檢測的能力。通常，防火牆作為三層包轉發設備部署在網路中，一方面在保護內部網路的同時，它也為內部需要提供外部Internet服務的設備提供了通路，如果DDOS攻擊採用了這些伺服器允許的合法協定對內部系統進行攻擊，防火牆對此就無能為力，無法精確的從背景流量中區分出攻擊流量。雖然有些防火牆內置了某些模組能夠對攻擊進行檢測，但是這些檢測機制一般都是基於特徵規則，DDOS攻擊者只要對攻擊數據包稍加變化，防火牆就無法應對，對DDOS攻擊的檢測必須依賴於行為模式的算法。

第二個原因就是傳統防火牆計算能力的限制，傳統的防火牆是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而DDOS攻擊中的海量流量會造成防火牆性能急劇下降，不能有效地完成包轉發的任務。最好防火牆的部署位置也影響了其防護DDOS攻擊的能力。傳統防火牆一般都是部署在網路入口位置，雖然某種意義上保護了網路內部的所有資源，但是其往往也成為DDOS攻擊的目標，攻擊者一旦發起DDOS攻擊，往往造成網路性能的整體下降，導致用戶正常請求被拒絕。