DoS攻击软件连连看(2)

3．防御

关掉一些不必要的TCP/IP服务，或者对防火墙进行配置，阻断来自Internet的请求这些服务的UDP请求。

分布式拒绝服务——DDoS

1．原理

大名鼎鼎的DDoS在2000年的“电子珍珠港事件”中名声大震，我也没必要说很多。从名字中我们就能得知，它是利用很多台机器一起发动攻击。攻击手法可能只是简单的Ping，也可能是SYN Flood或其它，但是由于它调用了很多台机器，所以规模很大，火力更猛，而且因为它利用了TCP/IP网络协议的缺陷，所以很难防御这种进攻。

2．攻击

2001年用来攻击Yahoo等网站的程序——TFN，Trinoo，TFN2K等都堪称是黑客技术的杰作，而且网上都有它们的源代码。

3．防御

主要谈一下防御。要阻止这种进攻关键是网络出口反欺骗过滤器的功能是否强大，也就是说如果你的WEB服务器收到的数据包的源IP地址是伪造的话，你的边界路由器或防火墙必须能够识别出来并将其丢弃，最快速的方法是和ISP联手通过丢包等方法一起来阻挡这种庞大的进攻。另外针对DDoS进攻是集中于某一个IP地址的特点，使用移动IP地址技术也是一种不错的选择。大多数的DDoS攻击代码是公开的，分析源代码我们也可以根据其特点设计出有效的反击方法，或者使用工具检测这种进攻。现在已经出现了名为Ngrep的工具，它使用DNS来跟踪TFN2K驻留程序。

分布式反射拒绝服务——DRDoS

1．原理

一种比DDoS更可怕的攻击方式已经出现了！它就是DRDoS——分布式反射拒绝服务（Distributed Reflection Denial of Service）。DRDoS不同于以往的拒绝服务方式，它对DDoS作了改进，它是通过对正常的服务器进行网络连接请求来达到攻击目的的。从TCP的三次握手中我们知道了任何合法的TCP连接请求都会得到返回数据包，而这种攻击方法就是将这个返回包直接返回到被攻击的主机上，这里涉及到数据包内的源IP地址问题，就是利用数据包的IP地址欺骗方法，欺骗被利用的网络服务器提供TCP服务，让此服务器认为TCP请求连接都是被攻击主机上发送的，接着它就会发送“SYN+ACK”数据包给被攻击主机，恶意的数据包就从被利用的服务器“反射”到了被害主机上，形成洪水攻击。
DRDoS图解（如图9所示）：

3．攻击

DRDoS很好地隐蔽了攻击者的真实地址，利用时我们也可以使用威力更大的方式。这里提供一款命令行攻击工具——DRDoS（安全焦点有下载），使用很简单，但是威力很大。慎用！

3．防御

防御这种攻击需要相当高的专业技巧，一般来说应该让网络安全事件响应小组来取证分析，并请信息安全服务商来解决。