分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

　　DDoS攻擊通過大量合法的請求占用大量網絡資源，以達到癱瘓網絡的目的。這種攻擊方式可分為以下幾種：

　　通過使網絡過載來干擾甚至阻斷正常的網絡通訊；

　　通過向服務器提交大量請求，使服務器超負荷；

　　阻斷某一用戶訪問服務器；

　　阻斷某服務與特定系統或個人的通訊。

　　ddos攻擊定義：

　　DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。

　　概念理解作個形象的比喻來理解DoS。街頭的餐館是為大眾提供餐飲服務，如果一群地痞流氓要DoS餐館的話，手段會很多，比如霸占著餐桌不結賬，堵住餐館的大門不讓路，騷擾餐館的服務員或廚子不能干活，甚至更惡劣……相應的計算機和網絡系統則是為Internet用戶提供互聯網資源的，如果有黑客要進行DoS攻擊的話，可以想象同樣有好多手段！今天最常見的DoS攻擊有對計算機網絡的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

　　傳統上，攻擊者所面臨的主要問題是網絡帶寬，由于較小的網絡規模和較慢的網絡速度的限制，攻擊者無法發出過多的請求。雖然類似“the ping of death”的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統，但大多數的DoS攻擊還是需要相當大的帶寬的，而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點，DoS攻擊者開發了分布式的攻擊。攻擊者簡單利用工具集合許多的網絡帶寬來同時對同一個目標發動大量的攻擊請求，這就是DDoS（Distributed Denial of Service）攻擊。

　　特點：

　　無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網絡服務的黑客方式，雖然具體的實現方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求。其具體表現方式有以下幾種：

　　1.制造大流量無用數據，造成通往被攻擊主機的網絡擁塞，使被攻擊主機無法正常和外界通信。

　　2.利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷，反復高頻的發出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。

　　3.利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷，反復發送畸形的攻擊數據引發系統錯誤的分配大量系統資源，使主機處于掛起狀態甚至死機。

　　攻擊流程要理解dos攻擊，首先要理解TCP連接的三次握手過程（Three-wayhandshake）。在TCP/IP協議中，TCP協議提供可靠的連接服務，采用三次握手建立一個連接。

　　第一次握手：建立連接時，客戶端發送SYN包（（SYN=i）到服務器，并進入SYN SEND狀態，等待服務器確認;

　　第二次握手：服務器收到SYN包，必須確認客戶的SYN （ACK=i+1 ），同時自己也發送一個SYN包（（SYN=j）}即SYN+ACK包，此時服務器進入S

　　YN_RECV狀態;

　　第三次握手：客戶端收到服務器的SYN+ACK包，向服務器發送確認包ACK（ACK=j+1），此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手，客戶端與服務器開始傳送數據。

　　在上述過程中，還有一些重要的概念：

　　半連接：收到SYN包而還未收到ACK包時的連接狀態稱為半連接，即尚未完全完成三次握手的TCP連接。

　　半連接隊列：在三次握手協議中，服務器維護一個半連接隊列，該隊列為每個客戶端的SYN包（SYN=i ）開設一個條目，該條目表明服務器已收到SYN包，并向客戶發出確認，正在等待客戶的確認包。這些條目所標識的連接在服務器處于SYN_ RECV狀態，當服務器收到客戶的確認包時，刪除該條目，服務器進入ESTABLISHED狀態。

　　Backlog參數：表示半連接隊列的最大容納數目。

　　SYN-ACK重傳次數：服務器發送完SYN-ACK包，如果未收到客戶確認包，服務器進行首次重傳，等待一段時間仍未收到客戶確認包，進行第二次重傳，如果重傳次數超過系統規定的最大重傳次數，系統將該連接信息、從半連接隊列中刪除。注意，每次重傳等待的時間不一定相同。

　　半連接存活時間：是指半連接隊列的條目存活的最長時間，也即服務從收到SYN包到確認這個報文無效的最長時間，該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。

　　上面三個參數對系統的TCP連接狀況有很大影響。

　　SYN洪水攻擊屬于DoS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。SYN攻擊除了能影響主機外，還可以危害路由器、防火墻等網絡系統，事實上SYN攻擊并不管目標是什么系統，只要這些系統打開TCP服務就可以實施。從圖4-3可看到，服務器接收到連接請求（SYN=i ）將此信息加入未連接隊列，并發送請求包給客戶端（ SYN=j，ACK=i+1 ），此時進入SYN_RECV狀態。當服務器未收到客戶端的確認包時，重發請求包，一直到超時，才將此條目從未連接隊列刪除。配合IP欺騙，SYN攻擊能達到很好的效果，通常，客戶端在短時間內偽造大量不存在的IP地址，向服務器不斷地發送SYN包，服務器回復確認包，并等待客戶的確認，由于源地址是不存在的，服務器需要不斷的重發直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN 請求

　　被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。過程如下：

　　攻擊主機C（地址偽裝后為C’）—–大量SYN包—-》被攻擊主機

　　C‘《——-SYN/ACK包—-被攻擊主機 由于C’地址不可達，被攻擊主機等待SYN包超時。攻擊主機通過發大量SYN包填滿未連接隊列，導致正常SYN包被拒絕服務。另外，SYN洪水攻擊還可以通過發大量ACK包進行DoS攻擊。 攻擊手段拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊。今天，DoS具有代表性的攻擊手段包括PingofDeath dos攻擊快閃族 、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它們又是怎么實現的。

　　死亡之ping （pingofdeath）DengKelen ICMP（InternetControlMessageProtocol，Internet控制信息協議）在Internet上用于錯誤處理和傳遞控制信息。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規定，許多操作系統的TCP/IP協議棧都規定ICMP包大小為64KB，且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區。”PingofDeath”就是故意產生畸形的測試Ping（PacketInternetGroper）包，聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64KB上限，使未采取保護措施的網絡系統出現內存分配錯誤，導致TCP/IP協議棧崩潰，最終接收方宕機。

　　淚滴 淚滴攻擊利用在TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP協議棧（例如NT在servicepack4以前）在收到含有重疊偏移的偽造分段時將崩潰。

　　UDP泛洪 （UDPflood） UDPflood攻擊：如今在Internet上UDP（用戶數據包協議）的應用比較廣泛，很多提供WWW和Mail等服務設備通常是使用Unix的服務器，它們默認打開一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數據包，而原本作為測試功能的chargen服務會在收到每一個數據包時隨機反饋一些字符。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務的漏洞進行惡意攻擊，通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，通過將Chargen和Echo服務互指，來回傳送毫無用處且占滿帶寬的垃圾數據，在兩臺主機之間生成足夠多的無用數據流，這一拒絕服務攻擊飛快地導致網絡可用帶寬耗盡。

　　SYN泛洪 （SYNflood） SYNflood攻擊：我們知道當用戶進行一次標準的TCP（TransmissionControlProtocol）連接時，會有一個3次握手過程。首先是請求服務方發送一個SYN（SynchronizeSequenceNumber）消息，服務方收到SYN后，會向請求方回送一個SYN-ACK表示確認，當請求方收到SYN-ACK后，再次向服務方發送一個ACK消息，這樣一次TCP連接建立成功。“SYNFlooding”則專門針對TCP協議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊，其在實現過程中只進行前2個步驟：當服務方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務方收不到ACK回應，于是服務方會在一定時間處于等待接收請求方ACK消息的狀態。而對于某臺服務器來說，可用的TCP連接是有限的，因為他們只有有限的內存緩沖區用于創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直至緩沖區里的連接企圖超時。如果惡意攻擊方快速連續地發送此類連接請求，該服務器可用的TCP連接隊列將很快被阻塞，系統可用資源急劇減少，網絡可用帶寬迅速縮小，長此下去，除了少數幸運用戶的請求可以插在大量虛假請求間得到應答外，服務器將無法向用戶提供正常的合法服務。

　　Land（LandAttack）攻擊 在Land攻擊中，黑客利用一個特別打造的SYN包–它的原地址和目標地址都被設置成某一個服務 dos攻擊 器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續五分鐘）。 IP欺騙 這種攻擊利用TCP協議棧的RST位來實現，使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。假設有一個合法用戶（100.100.100.100）已經同服務器建了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為100.100.100.100，并向服務器發送一個帶有RST位的TCP數據段。

　　服務器接收到這樣的數據后，認為從100.100.100.100發送的連接有錯誤，就會清空緩沖區中已建立好的連接。這時，合法用戶100.100.100.100再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就被拒絕服務而只能重新開始建立新的連接。攻擊方法具體DoS攻擊方法很多，但大多都可以分為以下幾類： 利用軟件實現的缺陷 OOB攻擊（常用工具winnuke），teardrop攻擊（常用工具teardrop.cboink.cbonk.c），lan 軟件主流程圖 d攻擊，IGMP碎片包攻擊，jolt攻擊，Cisco2600路由器IOSversion12.0（10）遠程拒絕服務攻擊等等，這些攻擊都是利用了被攻擊軟件的實現上的缺陷完成DoS攻擊的。

　　通常這些攻擊工具向被攻擊系統發送特定類型的一個或多個報文，這些攻擊通常都是致命的，一般都是一擊致死，而且很多攻擊是可以偽造源地址的，所以即使通過IDS或者別的sniffer軟件記錄到攻擊報文也不能找到誰發動的攻擊，而且此類型的攻擊多是特定類型的幾個報文，非常短暫的少量的報文，如果偽造源IP地址的話，使追查工作幾乎是不可能。 那么如何造成這些攻擊的？通常是軟件開發過程中對某種特定類型的報文、或請求沒有處理，導致軟件遇到這種類型的報文運行出現異常，導致軟件崩潰甚至系統崩潰。下面結合幾個具體實例解釋一下這種攻擊的成因。

　　1997年5月7號有人發布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連接，然后發送TCP緊急數據，導致對端系統崩潰。139/TCP是Win95/NT系統最常見的偵聽端口，所以winnuke.c使用了該端口。之所以稱呼這種攻擊為OOB攻擊，因為MSG_OOB標志，實際應該是TCP緊急數據攻擊。 原始teardrop.c只構造了兩種碎片包，每次同時發送這兩種UDP碎片包。如果指定發送次數，將完全重復先前所發送出去的兩種碎片包。它可以偽造源ip并跨越路由器進行遠程攻擊，影響的系統包括Linux/WinNT/Win95。使用的方法是： teardrop源ip目的ip［-s源端口］［-d目的端口］［-n次數］ 比較新的一個DoS攻擊是Windows的SMB實現中的DoS攻擊，2002年8月發布，只要允許匿名連接的windows系統就可以進行遠程攻擊，強烈建議Windows用戶打相應的補丁。它的方法就是先和目標系統建立一個連接，然后發送一個特定的請求，目標系統就會蘭屏。發布的測試工具SMBdie.exe是圖形界面工具，輸入目標地址NETBIOS名稱即可。

　　從上面的討論可以看出，這種攻擊行為威力很大，而且難于偵察。但真實情況下它的危害僅現于漏洞發布后的不長的時間段內，相關廠商會很快發布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現實的環境中，通常是無效的。不過最新的攻擊方法還是讓我們不寒而栗，我們可以做的就是關注安全漏洞的發布，及時打上新的補丁。如果你想偷懶的話，購買專業安全服務公司的相關服務應該是個更好的選擇。利用協議的漏洞 如果說上面那種漏洞危害的時間不是很長，那么這種攻擊的生存能力卻非常強。為了能夠在網絡上進行互通、互聯，所有的軟件實現都必須遵循既有的協議，而如果這種協議存在漏洞的話，所有遵循此協議的軟件都會受到影響。

　　最經典的攻擊是synflood攻擊，它利用TCP/IP協議的漏洞完成攻擊。通常一次TCP連接的建立包括3個步驟，客戶端發送SYN包給服務器端，服務器分配一定的資源給這里連接并返回SYN/ACK包，并等待連接建立的最后的ACK包，最后客戶端發送ACK報文，這樣兩者之間的連接建立起來，并可以通過連接傳送數據了。而攻擊的過程就是瘋狂發送SYN報文，而不返回ACK報文，服務器占用過多資源，而導致系統資源占用過多，沒有能力響應別的操作，或者不能響應正常的網絡請求。這個攻擊是經典的以小搏大的攻擊，自己使用少量資源占用對方大量資源。

　　一臺P4的Linux系統大約能發到30－40M的64字節的synflood報文，而一臺普通的服務器20M的流量就基本沒有任何響應了（包括鼠標、鍵盤）。而且synflood不僅可以遠程進行，而且可以偽造源IP地址，給追查造成很大困難，要查找必須所有骨干網絡運營商，一級一級路由器的向上查找。 對于偽造源IP的synflood攻擊，除非攻擊者和被攻擊的系統之間所有的路由器的管理者都配合查找，否 TCP/IP協議結構圖 則很難追查。當前一些防火墻產品聲稱有抗DoS的能力，但通常他們能力有限，包括國外的硬件防火墻大多100M防火墻的抗synflood的能力只有20－30Mbps（64字節syn包），這里涉及到它們對小報文的轉發能力，再大的流量甚至能把防火墻打死機。有些安全廠商認識到DoS攻擊的危害，開始研發專用的抗拒絕服務產品

　　。 由于TCP/IP協議相信報文的源地址，另一種攻擊方式是反射拒絕服務攻擊，另外可以利用還有廣播地址，和組播協議輔助反射拒絕服務攻擊效果更好。不過大多數路由器都禁止廣播地址和組播協議的地址。另一類攻擊方式是使用大量符合協議的正常服務請求，由于每個請求耗費很大系統資源，導致正常服務請求不能成功。如HTTP協議是無狀態協議，攻擊者構造大量搜索請求，這些請求耗費大量服務器資源，導致DoS。這種方式攻擊比較好處理，由于是正常請求，暴露了正常的源IP地址，禁止這些IP就可以了。 進行資源比拼 這種攻擊方式屬于無賴打法，我憑借著手中的資源豐富，發送大量的垃圾數據侵占完你的資源，導致DoS。

　　比如，ICMPflood，mstreamflood，Connectionflood。為了獲得比目標系統更多資源，通常攻擊者會發動DDoS（DistributedDos分布式拒絕服務）攻擊者控制多個攻擊傀儡發動攻擊，這樣才能產生預期的效果。前兩類攻擊是可以偽造IP地址的，追查也是非常困難，第3種攻擊由于需要建立連接，可能會暴露攻擊傀儡的IP地址，通過防火墻禁止這些IP就可以了。對于難于追查，禁止的攻擊行為，我們只能期望專用的抗拒絕服務產品了。攻擊程序smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序，本文將對它們的原理以及抵御措施進行論述，以幫助管理員有效地抵御DoS風暴攻擊，維護站點安全。

　　“smurf攻擊”，如何抵御 Smurf是一種簡單但有效的DDoS攻擊技術，它利用了ICMP（Internet控制信息協議）。ICMP在Internet 黑客 上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯系，通過發送一個“回音請求”（echorequest）信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的，然后用一個偽造的源地址連續ping一個或多個計算機網絡，這就導致所有計算機所響應的那個計算機并不是實際發送這個信息包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。下面是SmurfDDoS攻擊的基本特性以及建議采用的抵御策略：

　　1、Smurf的攻擊平臺：smurf為了能工作，必須要找到攻擊平臺，這個平臺就是：其路由器上啟動了IP廣播功能。這個功能允許smurf發送一個偽造的ping信息包，然后將它傳播到整個計算機網絡中。

　　2、為防止系統成為smurf攻擊的平臺，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能并不需要。

　　3、攻擊者也有可能從LAN內部發動一個smurf攻擊，在這種情況下，禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊，許多操作系統都提供了相應設置，防止計算機對IP廣播請求做出響應。

　　4、如果攻擊者要成功地利用你成為攻擊平臺，你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網絡。配置路由器，讓它將不是由你的內網中生成的信息包過濾出去，這是有可能做到的。這就是所謂的網絡出口過濾器功能。

　　5、ISP則應使用網絡入口過濾器，以丟掉那些不是來自一個已知范圍內IP地址的信息包。

　　6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應答（echoreply）信息包進行過濾，然后丟棄它們，這樣就能阻止“命中”Web服務器和內網。對于那些使用Cisco路由器的人，另一個選擇是CAR（CommittedAccessRate，承諾訪問速率）。 丟棄所有的回音應答信息包能使網絡避免被淹沒，但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標，就要請求ISP對回音應答信息包進行過濾并丟棄。

　　如果不想完全禁止回音應答，那么可以有選擇地丟棄那些指向你的公用Web服務器的回音應答信息包。CAR技術由Cisco開發，它能夠規定出各種信息包類型使用的帶寬的最大值。例如，使用CAR，我們就可以精確地規定回音應答信息包所使用的帶寬的最大值。 “trinoo”，如何抵御 trinoo是復雜的DDoS攻擊程序，它使用“master”程序對實際實施攻擊的任何數量的“代理” 牽引流量技術在DOS攻擊中應用程序實現自動控制。攻擊者連接到安裝了master程序的計算機，啟動master程序，然后根據一個IP地址的列表，由master程序負責啟動所有的代理程序。接著，代理程序用UDP信息包沖擊網絡，從而攻擊目標。在攻擊之前，侵入者為了安裝 軟件，已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。

　　下面是trinooDDoS攻擊的基本特性以及建議采用的抵御策略： 1、在master程序與代理程序的所有通訊中，trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流（類型17）。 2、Trinoomaster程序的監聽端口是27655，攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP（類型6）并連接到端口27655的數據流。 3、所有從master程序到代理程序的通訊都包含字符串“l44”，并且被引導到代理的UDP端口27444。

　　入侵檢測軟件檢查到UDP端口27444的連接，如果有包含字符串l44的信息包被發送過去，那么接受這個信息包的計算機可能就是DDoS代理。 4、Master和代理之間通訊受到口令的保護，但是口令不是以加密格式發送的，因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自DaveDittrich的trinot腳本，要準確地驗證出trinoo代理的存在是很可能的。 一旦一個代理被準確地識別出來，trinoo網絡就可以安裝如下步驟被拆除： ·在代理daemon上使用”strings”命令，將master的IP地址暴露出來。

　　在master計算機上，識別含有代理IP地址列表的文件（默認名“…”），得到這些計算機的IP地址列表。 ·向代理發送一個偽造“trinoo”命令來禁止代理。通過crontab文件（在UNIX系統中）的一個條目，代理可以有規律地重新啟動，因此，代理計算機需要一遍一遍地被關閉，直到代理系統的管理者修復了crontab文件為止。 ·檢查master程序的活動TCP連接，這能顯示攻擊者與trinoomaster程序之間存在的實時連接。 ·如果網絡正在遭受trinoo攻擊，那么系統就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。

　　2、Smurf攻擊：

　　原理：

　　發送偽裝的ICMP數據包，目的地址設為某個網絡的廣播地址，源地址設為要攻擊的目的主機，使所有收到此ICMP數據包的主機都將對目的主機發出一個回應，使被攻擊主機在某一段時間內收到 成千上萬的數據包

　　防范：

　　在cisco路由器上配置如下可以防止將包傳遞到廣播地址上：

　　Router（config-if）# no ip directed-broadcast

　　3、Ping of Death

　　原理：

　　“ping of death”攻擊就是我們常說的”死亡Ping”

　　這種攻擊通過發送大于65536字節的ICMP包使操作系統崩潰；通常不可能發送大于65536個字節的ICMP包，但可以把報文分割成片段，然后在目標主機上重組；最終會導致被攻擊目標緩沖區溢 出，引起拒絕服務攻擊。有些時候導致telne和http服務停止，有些時候路由器重啟。

　　4、淚滴攻擊

　　原理：

　　對于一些大的IP數據包，往往需要對其進行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個6 000字節的IP包，在MTU為2 000的鏈路上傳輸的時候，就需要分成3個IP 包。在IP報頭中有一個偏移字段和一個拆分標志（MF）。如果MF標志設置為1，則表示這個IP包是一個大IP包的片段，其中偏移字段指出了這個片段在整個IP包中的位置。例如，對一個6 000字 節的IP包進行拆分（MTU為2 000），則3個片段中偏移字段的值依次為0，2 000，4 000。這樣接收端在全部接收完IP數據包后，就可以根據這些信息重新組裝這幾個分次接收的拆分IP包。在這 里就有一個安全漏洞可以利用了，就是如果黑客們在截取IP數據包后，把偏移字段設置成不正確的值，這樣接收端在收到這些分拆的數據包后，就不能按數據包中的偏移字段值正確組合這些拆分的數據包，但接收端會不斷嘗試，這樣就可能致使目標計算機操作系統因資源耗盡而崩潰。

　　5、DRDOS

　　原理：

　　攻擊時，攻擊者巧妙的利用了反彈服務器群來將洪水數據包反彈給目標主機 反彈服務是指某些服務器在收到一個請求數據報后就會產生一個回應數據報。所有的 Web 服務器、DNS 服務器及路 由器都是反彈服務器，他們會對 SYN 報文或其他 TCP 報文回應 SYNACKs 或 RST 報文， 以及對一些 IP 報文回應 ICMP 數據報超時或目的地不可達消息的數據 報。任何用于普通目的 TCP 連接許可的網絡服務器都可以用做數據包反射服務器

　　配置路由器、防火墻和入侵檢測系統來抵御常見DDoS攻擊

　　Smurf

　　·確定你是否成為了攻擊平臺：對不是來自于你的內部網絡的信息包進行監控；監控大容量的回音請求和回音應答信息包。

　　·避免被當做一個攻擊平臺：在所有路由器上禁止IP廣播功能；將不是來自于內部網絡的信息包過濾掉。

　　·減輕攻擊的危害：在邊界路由器對回音應答信息包進行過濾，并丟棄；對于Cisco路由器，使用CAR來規定回音應答信息包可以使用的帶寬最大值。

　　trinoo

　　·確定你是否成為攻擊平臺：在master程序和代理程序之間的通訊都是使用UDP協議，因此對使用UDP

　　dos攻擊

　　協議（類別17）進行過濾；攻擊者用TCP端口27655與master程序連接，因此對使用TCP（類別6）端口27655連接的流進行過濾；master與代理之間的通訊必須要包含字符串“l44”，并被引導到代理的UDP端口27444，因此對與UDP端口27444連接且包含字符串l44的數據流進行過濾。

　　·避免被用作攻擊平臺：將不是來自于你的內部網絡的信息包過濾掉。

　　·減輕攻擊的危害：從理論上說，可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾，并丟棄它們。

　　TFN

　　·確定你是否成為攻擊平臺：對不是來自于內部網絡的信息包進行監控。

　　·避免被用作攻擊平臺：不允許一切到你的網絡上的ICMP回音和回音應答信息包，當然這會影響所有要使用這些功能的Internet程序；將不是來源于內部網絡的信息包過濾掉。

　　Stacheldraht

　　·確定你是否成為攻擊平臺：對ID域中包含值666、數據域中包含字符串“skillz”或ID域中包含值667、數據域中包含字符串“ficken”的ICMP回音應答信息包進行過濾；對源地址為“3.3.3.3”的ICMP信息包和ICMP信息包數據域中包含字符串“spoofworks”的數據流進行過濾。

　　·手工防護

　　一般而言手工方式防護DDOS主要通過兩種形式：

　　系統優化――主要通過優化被攻擊系統的核心參數，提高系統本身對DDoS攻擊的響應能力。但是這種做法只能針對小規模的DDOS進行防護。

　　網絡追查――遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網絡運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。

　　退讓策略為了抵抗DDOS攻擊，DengKelen客戶可能會通過購買硬件的方式來提高系統抗DDOS的能力。但是這種退讓策略的效果并不好，一方面由于這種方式的性價比過低，另一方面，黑客提高供給流量之后，這種方法往往失效，所以不能從根本意義上防護DDoS攻擊。

　　防火墻防火墻幾乎是最常用的安全產品，但是防火墻設計原理中并沒有考慮針對DDOS攻擊的防護，在某些情況下，防火墻甚至成為DDOS攻擊的目標而導致整個網絡的拒絕服務。

　　首先是防火墻缺乏DDOS攻擊檢測的能力。通常，防火墻作為三層包轉發設備部署在網絡中，一方面在保護內部網絡的同時，它也為內部需要提供外部Internet服務的設備提供了通路，如果DDOS攻擊采用了這些服務器允許的合法協議對內部系統進行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區分出攻擊流量。雖然有些防火墻內置了某些模塊能夠對攻擊進行檢測，但是這些檢測機制一般都是基于特征規則，DDOS攻擊者只要對攻擊數據包稍加變化，防火墻就無法應對，對DDOS攻擊的檢測必須依賴于行為模式的算法。

　　第二個原因就是傳統防火墻計算能力的限制，傳統的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降，不能有效地完成包轉發的任務。最好防火墻的部署位置也影響了其防護DDOS攻擊的能力。傳統防火墻一般都是部署在網絡入口位置，雖然某種意義上保護了網絡內部的所有資源，但是其往往也成為DDOS攻擊的目標，攻擊者一旦發起DDOS攻擊，往往造成網絡性能的整體下降，導致用戶正常請求被拒絕。