DDOS攻击原理分析.docVIP

DDOS攻击的原理分析 拒绝服务算是网络安全中最令人厌恶的攻击方式之一。这种攻击主要是用来攻击域名服务器，路由器以及其他网络操作服务，攻击之后造成被攻击者无法正常运行和工作，严重的可以使网络陷入瘫痪。本文着重讲述的是发起DDoS攻击的原理，希望能对你解决问题有所帮助。 DDoS是一种特殊形式的拒绝服务攻击，它是利用多台已经被攻击者所控制的机器对某一台单机很容易失去反应能力。目前所见过的分布攻击系统一般都是基于客户机／服务器模式，随着攻击者手法的不断进步，这种模式正在向着更高的方向发展，也进一步使它的攻击更加隐秘，并完全具备隐藏自己真是位置的能力。现在这种方式被认为是最有效的攻击形式，并且很难与防备。我们要了解它，首先就得知道它的攻击路径。用图来表示如下： 上图是典型的分布式拒绝服务攻击的系统流程。攻击者控制着几台机器作为master，这些master主机分别控制着大量的接点主机即Broadcast（分布端攻击守护进程），这些大量的被控主机是对被攻击者进行攻击的机器，所有的机器目标汇集在一起向一个目标发起进攻。这种攻击方式可以让攻击者很容易地就隐藏起自己地真实身份，也可以隐藏那些master主机。这一点从图中不难看出。也就是说，所谓的DDoS分布攻击并不是一台机跟一台机之间地较量，而是群组机跟一台机地较量！ 这就说明，要想实施这样的攻击首先要做到的就是能控制很多机器，再在这些机器上编译出主控端（master），攻击者控制住那些已经编译好且运行着主控端（master）的机器，而主控端（master）之外攻击者还必须控制大量的机器来作为发起最后攻击的Broadcast机器。这绝对是一个繁琐而有用心良苦的大工程。 从目前已经发生的一些DDoS攻击事件来看，此类攻击大都有一些共同点，那就是攻击者所攻击用的主控端（master）和Broadcast的驻留程序一般都可能安装在没有打过补丁或没有进行安全设置的主机上，而受攻击形式的影响，这些程序有的需要运行用到raw sokets或者其他特殊权限对攻击者来说，拥有root权限是必须的，其他的一些驻留程序有可能仅需要普通用户的权限就可以。在目前的Internet中，由于用户安全级别和意识不同，所以经常会有一些机器允许攻击者使用普通用户的权限来做管理员权限的事情，像安装管理员级别的工具等，这就使得网络安全隐患进一步增大。 攻击者往往必须安装一定的基本程序在已被控制的机器上。除了需要能力和时间去控制那些攻击所需要的主机之外，要攻击者还需要花大量的体力和精力在这些基础程序的编写、安装、控制上。攻击者通过对脚本程序的修改加快了这些基础下部组织的安装时间，使得攻击者可以随心所欲地快速对攻击进行配置，这些程序所需要的网络流量和驻留程序都比较小，而攻击者作为攻击时在那些已经被他所控制的主机上建立一个自己的账户也是相当必要的。 在主控端（master）都已经做好之后，对主控端（master）所控制的下个接点的那些机器将开始做工作－－－安装驻留程序Broadcast。当驻留程序Broadcast在那些已经被控制的机器上安装调试完毕可以正常运行之后，Broadcast便会向master主机发来一个信号，说明她已经安装成功。这个也是驻留程序安装过程中的一部分，因为它知道master主机的位置以及它所监听的端口。主控端（master）主机可以完全控制这些Broadcast，可以自由决定时间和目标，然后指令被控主机在什么时间去攻击某个目标。大多使用DDoS作为攻击的攻击者为了更加完美得隐藏自己，他们往往一般会把那些主控端（master）系统设置为自动清理埋伏态，如log等，通过这些系统得配置恢复到攻击前得样子，这样就避免被追踪而发现自己。而有的攻击者则习惯于关闭或更改master服务器，但下次进行攻击得时候就的从0再来了。 掌握一定得入侵技巧是进行DDoS攻击的基础，而大量的编写、翻译和繁琐德安装那些驻留程序却是一件很麻烦且令人头疼的事情，也是检验攻击语言和系统技术掌握能力德时候。这也是DDoS只能在一定范围内被攻击者所使用德最重要的原因之一。但是，TFN（Tribe Flood Network）的出现大大减低了DDoS攻击时的复杂程度。可TFN并不是一个完全的工具，随着Trin00的出现则让DDoS工具化、简单化、傻瓜化了。也就是说，只要攻击者有一定的入侵技巧，那么就有可能成为一次DDoS的实施者。 Trin00由3部分构成，分别是客户端、主控端（master）和Broadcast（即分布端攻击守护进程）。 客户端时telnet的程序，作用是向目标主制端（master）攻击发送命令。 主控端（master）主要是监听两个连接的端口27655和31335.其中27655用来接受客户端发来的命令，这个执行要求密码，确省密