DoS攻击工具基本技术及其发展方向(下)

　　常用的ICMP有 PING 。首先黑客找出网络上有哪些路由器会回应 ICMP 请求。然后用一个虚假的 IP 源地址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备。这些设备又马上回应，这样会产生大量讯息流量，从而占用所有设备的资源及网络带宽，而回应的地址就是受攻击的目标。例如用500K bit/sec 流量的 ICMP echo (PING)包广播到100 台设备，产生 100 个 PING 回应，便产生 50M bit/sec流量。这些流量流向被攻击的服务器,便会使这服务器瘫痪。

　　ICMP Smurf 的袭击加深了ICMP的泛滥程度，导致了在一个数据包产生成千的ICMP数据包发送到一个根本不需要它们的主机中去，传输多重信息包的服务器用作Smurf 的放大器。

图2 Smurf 攻击图

　　3.Fraggle：Fraggle

　　基本概念及做法像 Smurf, 但它是采用UDP echo 讯息。

　　如何阻挡“拒绝服务”的攻击

　　阻挡“拒绝服务”的攻击的常用方法之一是：在网络上建立一个过滤器(filter)或侦测器(sniffer)，在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的攻击行动。如果某种可疑行动经常出现，过滤器能接受指示，阻挡包含那种信息，让网站服务器的对外连接线路保持畅通。

　　DDoS：

　　DDoS(Distributed Denial of Service)其中文含义为分布式拒绝服务攻击。

　　Distributed DoS 是黑客控制一些数量的PC 机或路由器，用这些 PC 机或路由器发动 DoS 攻击。因为黑客自己的 PC 机可能不足够产生出大量的讯息，使遭受攻击的网络服务器处理能力全部被占用。

　　黑客采用 IP Spoofing 技术，令他自己的 IP 地址隐藏，所以很难追查。如果是在 Distributed DoS 情况下，被追查出来的都是被黑客控制的用户的 IP 地址;他们本身也是受害者。

　　黑客一般采用一些远程控制软件，好像Trinoo, Tribal Flood Network, Stacheldraht 及其他DoS 程序。美国政府资助的CERT (Computer Emergency Response Team) 及 FBI都有免费软件如 find_dosv31，给企业检查自己的网络有没有被黑客安装这些远程控制软件。但黑客亦同时在修改软件以逃避这些检查软件。这是一场持久的网上战争。

图3 黑客图

　　攻击者在Client(客户端)操纵攻击过程。每个Handler(主控端)是一台已被入侵并运行了特定程序的系统主机。每个主控端主机能够控制多个Agent(代理端)。每个代理端也是一台已被入侵并运行某种特定程序的系统主机。每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包。

　　在今后的日子里，这些拒绝服务工具包将会得到进一步的发展与完善，功能更强大，隐蔽性更强，关键字符串和控制命令口令将使用更强壮加密算法，甚至对自身进行数字签名，或在被非攻击者自己使用时自行消毁，使用加密通讯通道，使用象ICMP这种令防火墙更难监测或防御的协议进行数据包传输，等等。