1.6.8 拒絕服務攻擊

在前面討論的攻擊方式中，大多數是基于協議的弱點、服務器軟件的缺陷和人為因素而實施的。拒絕服務（DoS，Denial-of-Service）攻擊則與之不同，它們僅僅是過度使用服務，使軟件、硬件過度運行，使網絡連接超出其容量。目的是造成自動關機或系統癱瘓，或者降低服務質量。這種攻擊通常不會造成文件刪除或數據丟失，因此是一種比較溫和的攻擊。

這類攻擊往往比較明顯，較容易發現。例如，關閉一個服務很容易被檢測到。盡管攻擊很容易暴露，但要找到攻擊的源頭卻十分困難。這類攻擊往往生成偽裝的數據包，其中含有隨機和無效的返回地址。

分布式拒絕服務（DDoS，Distributed Denial-of-Service）攻擊使用很多Internet主機，同時向某個目標發起攻擊。通常，參與攻擊的主機卻不明不白地成為攻擊者的幫兇。這些主機可能已經被攻擊者攻破，或者安裝了惡意的代碼。DDoS攻擊通常難以恢復，因為攻擊有可能來自世界各地。

目前，由于黑客采用DDoS攻擊成功地攻擊了幾個著名的網站，如Yahoo、微軟及SCO等，它已經引起全世界的廣泛關注。DDoS其實是DoS攻擊的一種，不同的是它能夠使用許多臺計算機通過網絡同時對某個網站發起攻擊。它們的工作原理如下。

（1）黑客通過Internet將木馬程序植入盡可能多的計算機上。這些計算機分布在全世界不同的區域。被植入的木馬程序綁定在計算機的某個端口上，等待接受攻擊命令。

（2）攻擊者在Internet的某個地方安裝一個主控程序，該主控程序中含有一個木馬程序所處位置的列表。此后，主控程序等待黑客發出命令。

（3）攻擊者等待時機，做好攻擊命令前的準備。

（4）等攻擊的時機一到，攻擊者就會向主控程序發出一個消息，其中包括要攻擊的目標地址。主控程序就會向每個植入木馬程序的計算機發送攻擊命令，這個命令中包含攻擊目標的地址。

（5）這些木馬程序立即向攻擊目標發送大量的數據包。這些數據包的數量巨大，足以使其癱瘓。

從主控程序向下發出的攻擊命令中通常使用偽裝的源地址，有些則采用密碼技術使其難以識別。從植入木馬程序的計算機發出的數據包也使用了偽裝的IP源地址，要想追查數據包的來源非常困難。此外，主控程序常常使用ICMP響應機制與攻擊目標通信。許多防火墻都開放了ICMP協議。

現在網絡上流行許多DDOS攻擊工具，還有它們的許多變種。其中之一是Tribe Flood Network（TFN）。從許多網站上都可以獲得其源代碼。黑客可以選擇使用各種Flood技術，如UDP Flood，TCP SYN Flood，ICMP響應Flood，Smurf攻擊等。從主控程序返回的ICMP響應數據包會告訴木馬程序采用哪一種Flood攻擊方式。此外，還有其他DDOS工具，如TFN2K（比TFN更先進的工具，可以攻擊Windows NT和許多UNIX系統），Trinoo和Stacheldraht等。最后一個工具十分先進，它具有加密連接和自動升級的特征。

現在一些新的工具越來越高明。Slapper是一個攻擊Linux系統的蠕蟲，它可以在許多網絡節點中間建立實體到實體（peer-to-peer）的網絡，使主控程序的通信問題變得更容易。還有一些工具則使用IRC信道作為控制通道。

對于拒絕服務攻擊，沒有什么靈丹妙藥，我們只能采取一些措施減輕攻擊的強度，但絕對不可能完全消除它們。遇到這種攻擊時，可以采取以下四種辦法來進行處理：

（1）尋找一種方法來過濾掉這些不良的數據包；

（2）提高對接收數據進行處理的能力；

（3）追查并關閉那些發動攻擊的站點；

（4）增加硬件設備或提高網絡容量，以從容處理正常的負載和攻擊數據流量。

當然，以上這些措施都不是完美的，只能與攻擊者展開較量。到底誰能取得這場斗爭的勝利，取決于對手能夠走多遠。