不久前，互联网的核心，位于美国、瑞典、英国、日本的13台肩负互联网数据传输重任的根服务器遭到来历不明的网络攻击，其中有9台根服务器因遭受攻击而陷入瘫痪，造成服务中断1小时。这一事件再次提醒人们：DoS
　　和DDoS仍然是网络的头号威胁。
　　DoS和DDoS
　　
　　拒绝服务攻击（Denial of Service，简称DoS）这种攻击使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
　　
　　“拒绝服务”攻击的过程是，用户传送众多要求确认的信息到服务器，使服务器里充斥着大量无用的信息，所有信息都有需回复的虚假地址，以至于当服务器试图回传时，无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客会再传送一批需要确认的信息，这个过程周而复始，最终导致服务器瘫痪。
　　
　　分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指冒用连接在互联网上的第三方计算机，把过量的信息流发至根服务器，使其无法应付而瘫痪。发动DDoS攻击时，攻击者在Client（客户端）操纵攻击过程。每个Handler（主控端）是一台已被入侵并运行了特定程序的系统主机。每个主控端主机能够控制多个Agent（代理端）。每个代理端也是一台已被入侵并运行特定程序的系统主机。每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包。 攻击者最常使用的分布式拒绝服务攻击工具有Trinoo、TFN、TFN2K和Stacheldraht四种。
　　
　　宽带网络在给大家带来方便的同时，也为DDoS攻击创造了有利的条件。在低速网络时代，黑客占领总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，而现在电信骨干节点之间的连接都是千兆级的，这使得攻击可以从更远的地方发起，攻击者的代理端的位置可以分布在更大的范围。
　　
　　DDoS攻击过程可以分为四步：探测扫描大量主机以寻找可入侵主机目标；入侵有安全漏洞的主机并获取控制权；在每台入侵主机中安装攻击程序；利用已入侵主机继续进行扫描和入侵。由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具，即在一小时之内攻击者可以入侵数千台主机。DDoS是目前破坏力最强的攻击方式。
　　
　　如何阻挡DoS和DDoS
　　
　　对付DoS和DDoS，目前还没有十分有效的防范办法。阻挡DoS常用方法之一是在网络上设立过滤器或侦测器，在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的访问行动。如果可疑访问经常出现，过滤器就会接受指示，阻挡相应的信息，让服务器的对外连接保持畅通。针对DoS消耗系统资源的作法，一些用户通过采用增加系统资源、扩充主机集群数量等方式可以在一定程度上缓解攻击，这种做法显然增加了硬件成本开销和维护开销，不适于资金有限的用户采用。
　　
　　
　　防火墙和VPN是目前阻挡“拒绝服务攻击”的常用设备。其中，防火墙作为访问控制设备，通过设计访问策略，能够对拒绝服务攻击起到一定防范作用。不过，防火墙必须经过正确设置才能发挥防护作用。当防火墙依据多重安全规则，对不同服务进行数据包过滤和代理时，容易导致系统管理者将防火墙的环境设定错误，而留下一些系统安全漏洞，让入侵者有机可乘。
　　
　　
　　目前防火墙在防范DoS 攻击方面存在缺陷。一是防火墙是由人工去设定，不适合动态设定，而且由于每次攻击方式是不同的，用户无法得知攻击者的地址和用来攻击的协议。二是目前防火墙的设定通常不会分辨正常封包与攻击封包之不同。以抵挡ICMP Ping攻击为例，网管员将防火墙设置为能够阻挡所有进来的ICMP　Ping封包，但这时防火墙并不阻挡ICMP　Ping Response封包，这种方式使防火墙外部的用户无法Ping到防火墙内部的IP地址，但却不是一个好办法，目前的黑客已经采用传送大量伪造的ICMP Ping Response 封包的方式进行攻击，防火墙只有挡掉ICMP Ping　Response 的封包，才能阻挡这类攻击，这给防火墙内部用户造成了不便。而对付DDoS，人们只能从网络源头、网络运营商一级设置防火墙、过滤器等安全设备才能有效。

转载地址：http://www.netsp.com.cn/Article/netsafe/attack/200506/20050602134805.html