黑客攻防案例精选.0014

再来说一下DDoS(分布式拒绝服务)，它的英文全称为“Distributed Denial of Service”，这是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政府部门的站点。

通常，DoS攻击只要一台单机和一个modem就可实现，而DDoS攻击是利用一大批受控制的计算机向一台目标计算机发起攻击，这种来势迅猛的攻击令人难以防备，因此具有极大的破坏性。DDos的原理可以参见下图所示。

大概说明一下：

* 攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，

120

它向主控端发送攻击命令。

* 主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机上安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

* 代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，这使得DDoS攻击的困难程度加大了。目标对恶意攻击包的“消化能力”加强了不少，例如黑客的攻击软件

每秒钟可以发送3,000个攻击包，但目标主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

在目标计算机被大量执行DDoS攻击时，可能会产生如下几种现象

* 被攻击主机上有大量等待的TCP连接。如，原来可以很流畅地打开几十个IE浏览器窗口，现在只能很困难地打开1~2个后，别的都处于等待中。

* 网络中充斥着大量的无用的数据包，源地址为假。如，没有进行任何网络操作，可是交换机上的数据灯却在狂闪。

* 制造高流量无用数据，造成网络堵塞，使受害主机无法正常和外界通讯；当对方的攻击极为猛烈，已经远远超出目标主机的带宽消化能力时，目标主机将无法进行任何网络操作。

* 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。

* 严重时会造成系统死机。

德罗巴——网络炸弹与暴力攻击 CHAPTER 05 的确，高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

那么，如果和黑客同处相同带宽的网络中，他的攻击还能有效吗？没错，如果一对一攻击的话，效果的确不会有什么显著的效果，但是黑客总会通过种种方法控制多台计算机，形成“多比一”的攻击局面，这时，目标电脑自然就承受不了，如图所示。

可能会有读者在问：“为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？”。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：

一是考虑如何留好后门。

二是如何清理日志。这就是擦掉脚印，不让自己做的事被别人知道，如图所示。

比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。

二、目标的确定

黑客是如何组织一次DDoS攻击的？这可能是很多读者在思考的事情。这里用“组织”这个词很值得寻味，在《现代汉语词典》中可以看到如下的解释：

安排分散的人或事物使其具有一定的系统性和整体性。

显然，这是对DDoS这次行动的一个较好的概括。是黑客一手将分散在全球的计算机“组织”了起来，形成了一个庞大的、有份量的攻击

源。这与入侵一台主机是完全不同的两回事，一般来说，黑客在组织一次DDoS攻击时，通常会首先进行目标的情况收集，如被攻击目标主机数目、地址情况、目标主机的配置、性能、目标的带宽，等等。

还记得以前我们说过的查询www.sohu.com网站使用的IP地址列表的方法吗？

【第1步】在任意安装了Windows 2000/XP/2003的计算机中，在“运行”栏中输入命令“CMD”。

【第2步】在打开的“命令提示符”窗口

121

黑客攻防最佳十一人中输入命令“Nslookup”后，在提示符“>”右侧输入“www.sohu.com”，如图所示。

【第3步】接着，会返回如图所示的信息。从中可以获得www.sohu.com服务器群的IP地址列表。

【第4步】没错，这个信息对于组织DDoS的黑客来说非常重要。而平时，我们根本想不到这样的一条命令会有人对它抱有极大的兴趣。

如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使其中一个IP地址瘫掉吗，但其他的主机还是能向外提供www服务，所以想让别人访问不到http://www.sohu.com的话，要所有这些IP地址的机器都瘫掉才行。更何况在实际的应用中，一个IP地址往往还代表着数台机器呢——网站维护者通常使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了目标主机的数量时效果更好。

122

但在实际过程中，有很多黑客会在不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也像网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

很多时候，攻击的机会只有一次，甚至是

“0.1”！所以，收集好每一个信息，把握好一次或更少的攻击机会，可能是黑客成功的极有限的机会中的关键之处！为了把握好这次机会，黑客需要计算出攻击目标主机所需要的傀儡机数量，并慢慢地使用手工或是黑客工具等方法去逐一占领。对于傀儡机，黑客最感兴趣的是有下列情况的主机：

* 链路状态好的主机

* 性能好的主机* 安全管理水平差的主机

对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件——随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞………这些都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

总之黑客现在占领了一些傀儡机了！然后他做什么呢？这个时候，我想大家都可以猜得到，黑客会把用于DDoS攻击的程序上载到这些被控制的傀儡机中。这个上载的方法不管用什么方式都可以，只要能把攻击程序放上去就可以了。

经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就像前面图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令：“预备”、“瞄准”、“开火”。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起