很遗憾，在99年7月份，微软视窗操作系统的又一个Bug被黑客们发现，并且黑客们已利用此漏洞成功进行了多次攻击。这种新的攻击方式被称为分布式拒绝服务(Distributed Denial Of Service)攻击，简称D’O’S攻击。据称国外一些高性能的商业网络和教育网络都遭受到了这种攻击。

　　D’O’S攻击是拒绝服务攻击的一种特殊形式。

一、D’O’S攻击方式的原理及实现

　　这种攻击的基本原理，是利用攻击者已经侵入并控制的主机（可能是数百台），对某一单机发起攻击。在悬殊的带宽力量对比下，被攻击的主机会很快失去反应。

　　这种攻击方式被证实是非常有效的，而且非常难以抵挡。但这种攻击方式的实现有一定的难度，一般的人比较难以顺利实施，因为攻击者必须熟悉一些入侵技巧。但是令人不安的是，已经有帮助实现这种攻击的工具被黑客们编写出来了，已知的两个是trin00和TribeFloodNetwork，源代码包的安装使用过程是比较复杂的，因为编译者首先要找一些internet上有漏洞的主机，通过一些典型而有效的远程溢出漏洞攻击程序，获取其系统控制权，然后在这些机器上装上并运行分布端的攻击守护进程。

二、用工具软件实现D’O’S攻击

　　了解这种新出现的攻击方式，对于我们防范此类攻击是非常有用的，下面就简单地介绍一下trin00的结构以及采用这种工具实现D’O’S攻击的大致方法。

　　trin00由三部分组成：

1、客户端

　　客户端可以是telnet之类的常用连接软件，客户端的作用是向主控端(master)发送命令。它通过连接master的27665端口，然后向master发送对目标主机的攻击请求。

2、主控端(master)

　　主控端侦听两个端口，其中27655是接收攻击命令，这个会话是需要密码的。缺省的密码是“betaalmostdone”。master启动的时候还会显示一个提示符：“??”，等待输入密码。密码为“gOrave”，另一个端口是31335，等候分布端的UDP报文。

3、分布端(broadcast)——攻击守护进程

　　分布端则是执行攻击的角色。分布端安装在攻击者已经控制的机器上，分布端编译前植入了主控端的IP地址，分布端与主控端用UDP报文通信，发送到主控端的31355端口，其中包含"*HELLO*"的字节数据。主控端把目标主机的信息通过27444UDP端口发送给分布端，分布端即发起“潮水”（flood）攻击。

　　攻击的流向是这样的：“攻击者-->master-->分布端-->目标主机”。

　　从分布端向受害者目标主机发送的D.O.S都是UDP报文，每一个包含4个空字节，这些报文都从一个端口发出，但随机地袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMP Port Unreachable的信息，大量不同主机发来的这些洪水般的报文源源不断，目标主机将很快慢下来，直至剩余带宽变为0。

三、应付D’O’S攻击的策略

　　有几种方式可以查到这种攻击，但由于这种攻击的主要目的是消耗主机的带宽，所以很难抵挡。必须开发一些动态的IDS产品，才有助于对付这种攻击。IDS的检测方法是：分析一系列的UDP报文，寻找那些针对不同目标端口，但来自于相同源端口的UDP报文。或者取10个左右的UDP报文，分析那些来自于相同的IP，相同的目标IP，相同的源端口，但不同的目标端口的报文。这样可以逐一识别攻击的来源。还有一种方法是寻找那些相同的源地址和相同的目标地址的ICMP Port Unreachable的信息。

主目录 分目录