簡介DoS和DDoS的攻擊方法(轉)

簡介DoS和DDoS的攻擊方法(轉)[@more@]　　對DoS而言，其攻擊方式很多，主要使用的攻擊有3種，分別是TCP-SYN flood、UDP flood和ICMP flood。

　　當使用者進行一次標準的TCP連線時，會有一個3次握手過程。首先是請求服務方傳送一個SYN訊息，服務方收到SYN後，會向請求方回送一個SYN-ACK表示確認，當請求方收到SYN-ACK後，再次向服務方傳送一個ACK訊息，這樣，一次TCP連線建立成功。但是TCP-SYN flood在實現過程中只進行前2個步驟：當服務方收到請求方的SYN-ACK確認訊息後，請求方由於採用源地址欺騙等手段使得服務方收不到ACK回應，於是，服務方會在一定時間處於等待接收請求方ACK訊息的狀態。對於某臺伺服器來說，可用的TCP連線是有限的，如果惡意攻擊方快速連續地傳送此類連線請求，該伺服器可用的TCP連線佇列將很快被阻塞，系統可用資源急劇減少，網路可用頻寬迅速縮小，長此下去，網路將無法向使用者提供正常的服務。

　　由於UDP（使用者資料包協議）在網路中的應用比較廣泛，基於UDP攻擊種類也較多。如今在Internet上提供WWW和Mail等服務裝置通常是使用Unix的伺服器，它們預設一些被惡意利用的UDP服務，如echo和chargen服務，它會顯示接收到的每一個資料包，而原本作為測試功能的chargen服務會在收到每一個資料包時隨機反饋一些字元，如果惡意攻擊者將這2個UDP服務互指，則網路可用頻寬將很快耗盡。

　　目前，我們知道的對網路進行DDoS攻擊所使用的工具有：Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。它們的攻擊思路基本相近。

　　1．Trinoo：它是基於UDP flood的攻擊軟體，它向被攻擊目標主機的隨機埠發出全零的4位元組UDP包，在處理這些超出其處理能力垃圾資料包的過程中，被攻擊主機的網路效能不斷下降，直到不能提供正常服務，乃至崩潰。它對IP地址不做假，此攻擊方法用得不多。

　　2．TFN：它是利用ICMP給代理伺服器下命令，其來源可以做假。它可以發動SYN flood、UDP flood、ICMP flood及Smurf（利用多臺伺服器發出海量資料包，實施DoS攻擊）等攻擊。TFN的升級版TFN2k的特點是：對命令資料包加密、更難查詢命令內容、命令來源可以做假，還有一個後門控制代理伺服器。

　　3．Stacheldraht：對命令來源做假，而且可以防範一些路由器用RFC2267過濾。若檢查出有過濾現象，它將只做假IP地址最後8位，從而讓使用者無法瞭解到底是哪幾個網段的哪臺機器被攻擊。此外，它還具有自動更新功能，可隨軟體的更新而自動更新。

　　值得一提的是，像Trinoo和TFN等攻擊軟體都是可以從網上隨意找到的公開軟體，所以任何一個上網者都可能構成網路安全的潛在威脅。