什么是DDOS
一、前言

2000年2月初网际网路掀起一场风雨，电脑骇客利用巨量伪假的询
求资料，迫使网页伺服器（server）应接不暇，因负荷过重而当机，
进而阻断使用者登站的管道。受波及之网站首当其冲为知名入口网
站Yahoo!（Yahoo.com），导致网站登录管道一度瘫痪，令世界各地
的网路使用者几乎不得其门而入。紧接着遭受攻击的商业网站，包
括Buy.com、拍卖网站电子湾（eBay）、购物网站亚马逊（Amazon.com）、
新闻网站美国有线电视新闻网（CNN.com）以及E-trade等皆亦无法
幸免而宣告瘫痪。

这次骇客攻击的目的并不是试图入侵业者的电脑系统，以盗取或
是窜改网页资料，而是利用网际网略开放系统与传输便利的特性，
采取一种所谓的『分散式阻断服务攻击』（distributed denial of
service attacks，简称DDoS攻击）方式，利用分散于不同地方的多
部电脑主机，发送大量伪造来源地址（spoofed source IP addresses）
的封包，瘫痪受害者所在的网路电脑主机伺服器，使得正常的接通
率降到1%以下，导致无法服务正常的使用者。这种情形就如同有心
人士不停地拨电话进某家公司的电话总机，使之占据有限的电话线
路，进而导致该公司无法接通其他正常使用者的来电。

本文将探讨DDoS攻击原理与方式，及其防范之道，以供系统管理
者在面临网站遭受类似攻击时，能马上做最适当的临场应变与防护，
把攻击的伤害减到最低。

二、分散式阻断服务（DDoS）攻击

分散式阻断服务（DDoS）攻击的前身是所谓的『阻断服务（Denial-
of-Service，简称DoS）攻击』。DoS攻击并不以篡改或窃取主机资料
为目的，而是瘫痪系统主机使之无法正常运作。换言之，由于一般网
路系统的系统资源（例如记忆体、磁碟空间以及网路频宽等）皆有限，
因此骇客可以根据部分网路系统或者相关通信协定等之设计或实作上
的漏洞，在一段期间内透过传送大量且密集的封包至特定网站，使该
网站无法立即处理这些封包而导致瘫痪，进而造成网路用户无法连上
该网站而被阻绝在外。这种攻击对网站本身而言，并不具破坏性，只
是造成系统无法即时处理骇客所送来的大量讯息而停滞或当机。早在
1999年8月美国明尼苏达大学就曾遭受到DoS攻击，使该校网站被迫暂
时关闭。目前已知的DoS攻击方式有数十种之多，然而主要攻击方式
为『点对点』的攻击，任何人只要握有一攻击程式即可让未受保护的
网路或装置瘫痪，例如：WinNuke攻击程式便可让未受保护的MS Windows
电脑当机。

基本上，DDoS是DoS的一种变形，因为它是透过网路分散来源的技
巧，所以将之称作分散式DoS（Distributed DoS，简称DDoS）攻击。
DDoS攻击方式在于它是从网路上的许多台主机同时发动类似DoS的攻
击行为，所以遭受攻击的主机同时面对的敌人数目将是数百台来自
不同网域的主机，这种独特之处，使得DDoS攻击不一定要真正把遭
攻击主机的系统程式给异常终止掉，只需要同时送出远超过网路负
荷或者是远超过遭攻击主机所能允许的最大连线数量的资料，就能
达到瘫痪目标网站之目的。

由上述得知，DDoS攻击需要一定数量的网路主机，以作为发动攻
击的攻击伺服器（Daemon），待骇客发出攻击命令时，才可透过这
些攻击伺服器同时对特定目标进行瘫痪性攻击。为了隐密而不被发
现地准备发动DDoS攻击所需之足够数量的攻击伺服器，骇客会先用
盗取、监听的方式取得不合法的帐号以取得某些发起机器（Master），
并且将入侵的后门程式放置在发起机器上，然后透过发起机器上的
后门程式开始尝试侵入为数众多的网路主机，藉此取得足够数量的
主机以作为攻击伺服器。最后，骇客会在发起机器上放置攻击发起
程式用以通知攻击伺服器发动DDoS攻击，并且在击伺服器上放置实
际攻击程式以实际执行瘫痪攻击。在此值得注意的是骇客可能会使
用许多可以远端侵入网路主机的系统程式，例如Solaris的toolTalk、
csdmd等入侵程式、并且藉由扫描网路上机器以作为攻击之用。在取
得足够数量的网路主机帐号之后，骇客下一阶段性开始计画如何去
发起这样的瘫痪攻击。DDoS的攻击命令可以透过图一中攻击者
（Attacker）－发起机器（Master）－攻击伺服器（Daemon）的路
线完成，而由最底层的攻击伺服器实际执行瘫痪攻击。DDoS攻击的
网路结构如图一所示。

在此攻击架构中，攻击者不限定只有一位，只要每位攻击者能够
同时掌管数台主要的发起机器，而每一台发起机器叫能同时管理数
十台、数百台的攻击伺服机器，在收到发起机器的攻击讯号的同时，
会送出攻击封包至发起机器所指定的目标主机。因此，骇客使用盗
取而来的帐号，先要对一定数量的发起机器上机预先作好入侵动作，
然后用『等比级数』的方式在去入侵更下层的攻击伺服器，这样子
才能达到大量攻击的日标。当一切部署完成后，骇客只要由上层的
入侵帐号下令攻击，在最短的时间差内，遭受攻击的目标主机将会
收到非常大量的瘫痪攻击。

由上述知道，要达到DDoS分散式攻击有许多特定的条件。首先，
一定要有足够的数量，且要有着快速网路频宽的发起机器、攻击伺
服器。因为要在最短的时问内将攻击程式分散到所有的发起机器、
攻击伺服器上，要达成完美的瘫痪攻击，网路连线的速度是最重要
的关键点。其次是要在发起机器与攻击伺服器上『隐藏』骇客所安
装的攻击发起程式、实际攻击程式、还有入侵的后门程式等。为了
隐藏自己的行踪，骇客会想尽办法来延迟被追踪的时间，例如运用
IP Spoofing的技术来入侵系统，达到隐藏入侵者身分、或是加强
DDoS的攻击能力。所谓的IP Spoofing主要是更改封的表头，让整
个攻击封包看起来像是来自可信任的网域，而被允许进入Router或
防火墙（firewall），直接攻击网路主机。

三、DDoS攻击种类

DDoS的攻击原理大都是利用TCP/IP网路协定本身的漏洞与特性，
使受攻击之目标主机或网路因无法处理由骇客所发出或伪造的大量
垃圾封包，而导致系统停滞或当机。目前电脑骇客常用的DDoS攻击
程式，大致上可以分为下列三种：

1.利用网路主机处理封包的特性进行攻击，其做法是向受攻击之目
标主机发出超过其负荷之垃圾封包，使之因无法即时处理而导致
当机；或者是改变封包的控制资料，使网路主机无法正确地处理
所收到的封包。例如：Ping of Death、TearDrop攻击。

　‧Ping of Death攻击：运用网路上最常见的Ping工具程式，来
产生超过IP协定所能允许的最大封包。若是没有检查机制的系
统收到这些过量的封包时，则有可能会造成系统当机。

　‧TearDrop攻击：利用IP封包重组的漏洞来进行攻击。当资料要
经由网路传送时，其IP封包常被切割成许多小片段；每个小片
段和原来封包的结构除了某些记载位移的资讯不同外，其余大
致都相同，其中这些位移资讯是要使网路主机在收到这些小片
段时能够正确地重组IP封包。TearDrop攻击则凭空创造出一些
IP片段，但这些片段包含了重叠的位移值。当这些片段被传送
到达目的地时，会重组成原来的IP封包，此时可能会造成系统
当机。

2.利用icmp做洪水或倍增型攻击。例如：smurf、icmp攻击。

　‧smurf攻击：直接对网路进行广播，造成网路很快地充满垃圾封
包而中断。smurf会不断地将小量伪造的icmp要求封包送给IP广
播位址（IP broadcast address），然后广播位址会传回大量
的icmp回应封包给目标主机。这种smurf的攻击方式除了攻击特
定目标主机，也能在网路上塞满icmp的要求封包与回应封包而
造成网路中断，所以常被称为smurf倍增型攻击。

　‧icmp攻击：将大量『伪造来源位址』的icmp要求封包送给目标
主机，目标主机会回应等量的icmp回应封包而造成目标主机无
法负荷而当机。

3.利用TCP/IP通讯协定中诘问－回应模式的漏洞进行攻击。网路上，
通讯双方为了要确保彼此的连结沟通，通常会由一方发出诘问讯
息给另一方，并且等候对方回应一个正确的讯息。若是对方能够
回应一个正确的讯息，则能确保讯讯双方的彼此连结。具体而言，
在TCP/IP通讯协定中，甲端跟乙端的连结沟通方式，甲端会先送
出SYN封包给乙端，当乙端收到此封包之后，会回应一个SYN-ACK
的封包给甲端，最后甲端会再送一个ACK的封包给乙端作为确认
之用。在完成这些程序之后，甲端与乙端便能确认彼此的连结，
进而能够传送与收发沟通资料。骇客便针对这种沟通模式，企图
产生一些大量的SYN封包给特定主机，然而却不回送ACK的封包给
该主机，使之停滞或因无法处理而瘫痪。例如：SYN Flood、LAND
攻击。

　‧SYN Flood攻击：骇客只对目标主机发送一连串的SYN封包，每
个封包都要求目标主机系统回应一个SYN-ACK封包，然后目标
主机系统在回应SYN-ACK封包后会等待对方送出ACK封包。由于
骇客并不产生任何ACK封包给目标主机，因此目标主机的系统
伫列里面会暂存大量的SYN-ACK封包，这些封包必须等到收到
对方的ACK封包或是超过逾时时间之后才会被移除。如此目标
主机系统会因为充满了SYN-ACK封包而造成无法再处理其他使
用者的服务与要求。

　‧LAND攻击：运用IP Spoofing技术送出一连串SYN封包给目标主
机，让目标主机系统误以为这些封包是由自己发送的。由于目
标主机在处理这些封包的时候，它自己并无法回应给自己SYN-ACK
封包，因而造成系统当机。值得注意的是LAND攻击程式原本是
设计用来造成Windows95当机，但经过实际测试结果发现，许多
Unix工作站、甚至Router也受其影响。

四、DDoS攻击防范之道

由DDoS攻击方式得知，骇客会先在许多机器上放置DDoS的常驻攻
击程式，进而利用DDoS攻击迫使网路主机瘫痪，因此为要有效防制
DDoS攻击，系统管理者只要能找出已经被放置这些常驻攻击程式的
网站主机，就能解决被DDoS攻击的威胁。目前已有许多侦测攻击常
驻程式的工具，例如Windows系统可以利用IIS的Internet Scanner 6.01
程式与RealSecure 3.2.1程式来进行扫描。前者能有效地扫描出Tribe
Flood Network的常驻攻击程式，并且亦可协助找出网站漏洞，以避
免该网站成为骇客进行DDoS攻击的帮凶。另外，后者能够侦测出在
DDoS的发起主机与攻击伺服器联系时的通讯，进而有效地阻止骇客
启动DDoS攻击。除此之外，英国NIPC亦针对DDoS攻击发展出find_ddos
程式，此程式能让系统管理者针对自己的系统进行侦测，以确定是
否曾被安装了DDoS之类的攻击程式。最后，系统管理者也可以监控
主机或Router，把怪异的伪造来源IP封包过滤掉，例如：10.0.0.0/8、
172.16.0.0/12、192.168.0.0/16；或是把网路主机不需要的service
port关掉；同时，也可以在网路主机或Router上设ACL（tcp_wrapper）
限制可登录之对象等等来防止入侵。

五、结论

近几年来，由于网际网路的快速成长，加上电子商务的掘起，使
得人们对于网路所可能带来的商机存在着无限美好的愿景，然而在
仰赖资讯科技的同时，仍然存在许多潜在的网路安全威胁与骇客攻
击。上述所描述的DDoS攻击只是骇客攻击网站或主机的其中一种方
式。目前许多网路安全漏洞或骇客攻击已被找出并且有其防范之道，
但是随着科技的进步，骇客攻击技术也随之日新月异。因此为了能
够建立一个安全的网路环境，系统管理者有必要深入探讨系统可能
面临的各种攻击，进而完备一套健全的防御机制。（本文作者为国
立台湾科技大学资管系博士班研究生）



以上转载至http://bbs.ecstart.com/arc...16738.html