DDoS技术——黑客终极利器

核心提示： 当你被Smurf攻击的时候,攻击者用互联网控制信息协议(ICMP)的应答数据包--一种特殊的ping数据包来填充你的路由器.这些数据包的目的IP地址同时是你的广播地址,这使得你的路由器将ICMP数据包广播到网络上的每一台主机.不言自明的是,对于一个大型网络来说,它将引起巨大的网络信息流量.

当你被Smurf攻击的时候,攻击者用互联网控制信息协议(ICMP)的应答数据包--一种特殊的ping数据包来填充你的路由器.这些数据包的目的IP地址同时是你的广播地址,这使得你的路由器将ICMP数据包广播到网络上的每一台主机.不言自明的是,对于一个大型网络来说,它将引起巨大的网络信息流量.而且,就像Land攻击那样,如果黑客将Smurf攻击和欺骗手段结合起来,破坏力就更大.　

避免Smurf攻击的一种简单的方法就是在路由器中禁用广播地址并且设置你的防火墙来过滤ICMP应答协议.你也可以设置你的服务器来使得它不对发送ICMP数据包到IP广播地址的要求做出响应.这些设置不会影响到你的网络的正常工作因为很少有应用程序使用IP协议的广播功能.　

要对付采用UDP冲击方法的DoS攻击就不那么容易了,因为一些合法的应用程序,比方说RealVideo,也使用UDP协议.在一次UDP冲击中,攻击者伪造出一个请求,将一个系统的UDP开启测试服务程序与另一个系统的UDP应答程序连在一起.UDP开启测试服务程序是一个用于测试的从收到的数据包产生字符的程序.结果是,由UDP开启测试服务程序伪随机产生的字符在两个系统间不停的被反射,使得合法应用程序的带宽要求得不到满足.　

一种阻止UDP攻击的方法是禁用或者过滤对主机的所有UDP服务要求.只要你允许非服务请求的UDP请求通过,使用UDP协议的或是把UDP协议当作备用数据传输协议的通常的应用程序将继续正常工作.　

使用这些防御的方法,你可能认为应付DoS攻击就像应付一根火腿肠一样容易.你错了.因为发动DDoS攻击是如此的容易,任何心怀不轨的人都能组织起几十台甚至上百台计算机来对你的系统发动DoS攻击.　

单是巨大的参与攻击的计算机的数量就能冲垮你的堡垒并将你的网络塞满垃圾信息.使用Tribe Force