DDOS的威胁-入门级介绍

　　一般的人比较难以顺利实现这些攻击。因为攻击者必须熟悉一些入侵技巧。出现在一些黑客网站上的两个已知工具可以帮助实现这种攻击。它们是trin00和Tribe Flood Network。源代码包的安装使用过程是比较复杂的，因为编译者首先要找一些internet上有漏洞的主机，通过一些典型而有效的远程溢出漏洞攻击程序，获取其系统控制权，然后在这些机器上装上并运行分布端的攻击守护进程，下面简单地介绍一下trin00的结构：

　　trin00由三部分组成：

　　1、客户端

　　2、主控端(master)

　　3、分布端(broadcast)---攻击守护进程

　　1、客户端可以是telnet之类的常用连接软件，客户端的作用是向主控端(master)发送命令。它通过连接master的27665端口，然后向master发送对目标主机的攻击请求。

　　2、主控端(master)侦听两个端口，其中27655是接收攻击命令，这个会话是需要密码的。缺省的密码是"betaalmostdone"。master启动的时候还会显示一个提示符："??"，等待输入密码。密码为 "gOrave"，另一个端口是31335，等候分布端的UDP报文。

　　在7月份的时候这些master的机器是:

　　129.237.122.40

　　207.228.116.19

　　209.74.175.130

　　3、分布端是执行攻击的角色。分布端安装在攻击者已经控制的机器上,分布端编译前植入了主控端master的IP地址，分布端与主控端用UDP报文通信，发送到主控端的31355端口，其中包含"*HELLO*"的字节数据。主控端把目标主机的信息通过27444 UDP端口发送给分布端，分布端即发起flood攻击。

　　攻击者-->master-->分布端-->目标主机

　　通信端口：

　　攻击者 to Master(s): 27665/tcp

　　Master to 分布端: 27444/udp

　　分布端 to Master(s): 31335/udp

　　从分布端向受害者目标主机发送的D.O.S都是UDP报文，每一个包含4个空字节，这些报文都从一个端口发出，但随机地袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMP Port Unreachable的信息，大量不同主机发来的这些洪水般的报文源源不断，目标主机将很快慢下来，直至剩余带宽变为0。

　　DDos式攻击的步骤

　　透过寻常网路(网络)连线，使用者传送讯息要求服务器予以确认。服务器于是将连线许可回传给使用者。使用者确认后，获准登入服务器。

　　但在“拒绝服务”式攻击的情况下，使用者传送众多要求确认的讯息到服务器，使服务器充斥这种垃圾讯息。所有的讯息都附上捏造的地址，以至于服务器设图回传确认许可时，无法找到使用者。服务器于是暂时等候，有时超过一分钟，然后再切断连线。服务器切断连线时，骇客再度传送新一波佯装成要求确认的讯息，再度启动上述过程，导致服务器无法动弹，服务无限期停摆。这种攻击行动使网站服务器充斥大量要求答覆的讯息，导致系统不胜负荷以至于当机。

　　这种分布式拒绝服务攻击示意图如下：

　　*----------*

　　攻击者 　

　　*----------*

　　*----------*

　　主控端 　

　　*----------*

　　(指挥各个分节点进行攻击)

　　*------------*------*------*------------*

　　v v v v

　　*----------* *----------* *----------* *----------*

　　代理端 　 　 代理端 　 　 代理端 　 　 代理端 　

　　*----------* *----------* *----------* *----------*

　　/ /

　　/ /

　　/ /

　　(大量的垃圾数据包进行攻击)

　　/ /

　　/ /

　　/ /

　　V V V V

　　*-----------------------*

　　被攻击服务器 　

　　*-----------------------*

　　根据网络通讯异常现象监测分布式拒绝服务攻击

　　许多人或工具在监测分布式拒绝服务攻击时常犯的错误是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等。要建立网络入侵监测系统（NIDS）对这些工具的监测规则，必须着重观察分析DDoS网络通讯的普遍特征，不管是明显的，还是模糊的。