分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)攻擊中非常常見的攻擊方式，在進(jìn)行攻擊的時候，這種方式可以對不同地點(diǎn)的大量計(jì)算機(jī)進(jìn)行攻擊，進(jìn)行攻擊的時候主要是對攻擊的目標(biāo)發(fā)送超過其處理能力的數(shù)據(jù)包，使攻擊目標(biāo)出現(xiàn)癱瘓的情況，不能提供正常的服務(wù)。

　　分布式拒絕服務(wù)攻擊可以對多個聯(lián)合起來的計(jì)算機(jī)進(jìn)行攻擊，進(jìn)行攻擊的時候可以對一個或者是多個目標(biāo)來進(jìn)行攻擊，在進(jìn)行攻擊的時候危害是非常大的。在進(jìn)行攻擊的時候，攻擊人員可以通過竊取賬號的方式來對某個計(jì)算機(jī)來進(jìn)行主控程序的安裝，在主控程序安裝完成以后再通過大量代理程序來進(jìn)行通訊，在進(jìn)行攻擊以前，代理程序已經(jīng)通過互聯(lián)網(wǎng)被安裝到多臺計(jì)算機(jī)上，代理程序的作用就是在收到攻擊的指令后就進(jìn)行攻擊，攻擊的時候，主控程序可以在短時間內(nèi)就激活上千次的代理程序，導(dǎo)致攻擊目標(biāo)出現(xiàn)無法正常使用的情況。

　　分布式拒絕服務(wù)攻擊可以使很多的計(jì)算機(jī)在同一時間遭受到攻擊，使攻擊的目標(biāo)無法正常使用，分布式拒絕服務(wù)攻擊已經(jīng)出現(xiàn)了很多次，導(dǎo)致很多的大型網(wǎng)站都出現(xiàn)了無法進(jìn)行操作的情況，這樣不僅僅會影響用戶的正常使用，同時造成的經(jīng)濟(jì)損失也是非常巨大的。分布式拒絕服務(wù)攻擊方式在進(jìn)行攻擊的時候，可以對源IP地址進(jìn)行偽造，這樣就使得這種攻擊在發(fā)生的時候隱蔽性是非常好的，同時要對攻擊進(jìn)行檢測也是非常困難的，因此這種攻擊方式也成為了非常難以防范的攻擊。

　　1.分布式拒絕服務(wù)攻擊分析

　　分布式拒絕服務(wù)攻擊在進(jìn)行主機(jī)攻擊的時候是要花費(fèi)大量的時間來進(jìn)行準(zhǔn)備，在主機(jī)完成攻擊以后才能對更多的從機(jī)進(jìn)行攻擊。在對從機(jī)進(jìn)行攻擊的時候需要在從機(jī)上安裝必要的程序，在接到攻擊的指令以后，程序會向服務(wù)器發(fā)送非常多的虛假地址，服務(wù)器在接收這些信息以后要得到信息回傳，因?yàn)榘l(fā)送的地址都是偽造的，這樣就會導(dǎo)致服務(wù)器在回傳信息方面要一直進(jìn)行等待，在服務(wù)器等待一定的時間以后，會因?yàn)檫B接超時導(dǎo)致傳輸?shù)男畔⒈磺袛?，這時受到攻擊的從機(jī)還會繼續(xù)向服務(wù)器發(fā)送新的請求，這樣反復(fù)的發(fā)送，會使得服務(wù)器的資源被耗盡，導(dǎo)致系統(tǒng)出現(xiàn)崩潰的情況。

　　2.分布式拒絕服務(wù)攻擊的特點(diǎn)

　　分布式拒絕服務(wù)攻擊采取的攻擊手段就是分布式的，在攻擊的模式改變了傳統(tǒng)的點(diǎn)對點(diǎn)的攻擊模式，使攻擊方式出現(xiàn)了沒有規(guī)律的情況，而且在進(jìn)行攻擊的時候，通常使用的也是常見的協(xié)議和服務(wù)，這樣只是從協(xié)議和服務(wù)的類型上是很難對攻擊進(jìn)行區(qū)分的。在進(jìn)行攻擊的時候，攻擊數(shù)據(jù)包都是經(jīng)過偽裝的，在源IP地址上也是進(jìn)行偽造的，這樣就很難對攻擊進(jìn)行地址的確定，在查找方面也是很難的。這樣就導(dǎo)致了分布式拒絕服務(wù)攻擊在檢驗(yàn)方法上是很難做到的。

　　3.分布式攻擊會出現(xiàn)的現(xiàn)象

　　計(jì)算機(jī)在遭受到分布式拒絕服務(wù)攻擊以后會出現(xiàn)特定的現(xiàn)象，主要表現(xiàn)就是被攻擊的主機(jī)會出現(xiàn)大量的TCP連接等待，這時在網(wǎng)絡(luò)中就會出現(xiàn)大量的沒有用處的數(shù)據(jù)包，這些無用的數(shù)據(jù)包出現(xiàn)會導(dǎo)致網(wǎng)絡(luò)在運(yùn)行的過程中出現(xiàn)堵塞的情況。被攻擊的主機(jī)在受到攻擊以后是無法同外界進(jìn)行聯(lián)系的，同時主機(jī)在提供服務(wù)和傳輸協(xié)議上是存在缺陷的，這樣就會導(dǎo)致主機(jī)在不斷反復(fù)的進(jìn)行服務(wù)請求的發(fā)出，使得主機(jī)無法對請求進(jìn)行處理，進(jìn)而會出現(xiàn)系統(tǒng)癱瘓的情況。

　　4.分布式拒絕服務(wù)攻擊的特性

　　對分布式攻擊進(jìn)行必要的分析，就可以得到這種攻擊的特性。分布式拒絕服務(wù)在進(jìn)行攻擊的時候，要對攻擊目標(biāo)的流量地址進(jìn)行集中，然后在攻擊的時候不會出現(xiàn)擁塞控制。在進(jìn)行攻擊的時候會選擇使用隨機(jī)的端口來進(jìn)行攻擊，會通過數(shù)千端口對攻擊的目標(biāo)發(fā)送大量的數(shù)據(jù)包，使用固定的端口進(jìn)行攻擊的時候，會向同一個端口發(fā)送大量的數(shù)據(jù)包。

　　5.分布式拒絕服務(wù)攻擊的程序

　　在進(jìn)行網(wǎng)絡(luò)攻擊的時候，分布式拒絕服務(wù)攻擊主要有幾種攻擊的程序。第一種是Trinoo，這種程序是出現(xiàn)最早的攻擊程序，在進(jìn)行攻擊的時候主要是通過遠(yuǎn)程控制程序和主控通訊，對服務(wù)器程序發(fā)動攻擊。服務(wù)器程序是存在于系統(tǒng)中的，在進(jìn)行攻擊的時候，攻擊者要控制多臺計(jì)算機(jī)，在這些計(jì)算機(jī)上進(jìn)行分布式拒絕服務(wù)軟件的安裝，然后建立起來相應(yīng)的網(wǎng)絡(luò)，這樣就可以隨時對攻擊的目標(biāo)進(jìn)行攻擊。第二種是TFN，它由客戶端程序和守護(hù)程序組成。通過綁定到TCP端口的Root Shell控制，實(shí)施ICMP Flood，SYN Flood，UDPFlood和Smuff等多種拒絕服務(wù)的分布式網(wǎng)絡(luò)攻擊。TFN客戶端、主控端和代理端主機(jī)相互間通信時使用ICMP Echo和Icmp EchoReply數(shù)據(jù)包。第三種是Stacbeldraht，它結(jié)合了Tfinoo與TFN的特點(diǎn)，并添加了一些補(bǔ)充特征，如加密組件之間的通信和自動更新守護(hù)進(jìn)程。Stachd—draht使用TCP和ICMP通信，攻擊者與主控端交互，同時主控端控制代理端。Stacheldraht在功能上與Trlnoo和TFN相近。最后一種是TFN2k，TFN2k代表TFN 2000版。它允許端口上隨機(jī)通信及加密，這樣就繞過了邊界路由器上端口阻擋的防護(hù)措施和入侵檢測軟件。TFN2k攻擊不但可以與SYN、UDP、ICMP和Smud攻擊相配合。而且還可以在不同的攻擊方式之間隨機(jī)切換。

　　按照TCP/MP協(xié)議的層次可將DDOS攻擊分為基于ARP的攻擊、基于ICMP的攻擊、基于IP的攻擊、基于UDP的攻擊、基于TCP的攻擊和基于應(yīng)用層的攻擊。

　　1.基于ARP的攻擊

　　ARP是無連接的協(xié)議，當(dāng)收到攻擊者發(fā)送來的ARP應(yīng)答時。它將接收ARP應(yīng)答包中所提供的信息。更新ARP緩存。因此，含有錯誤源地址信息的ARP請求和含有錯誤目標(biāo)地址信息的ARP應(yīng)答均會使上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求，使得目標(biāo)主機(jī)喪失網(wǎng)絡(luò)通信能力。產(chǎn)生拒絕服務(wù)，如ARP重定向攻擊。

　　2.基于ICMP的攻擊

　　攻擊者向一個子網(wǎng)的廣播地址發(fā)送多個ICMP Echo請求數(shù)據(jù)包。并將源地址偽裝成想要攻擊的目標(biāo)主機(jī)的地址。這樣，該子網(wǎng)上的所有主機(jī)均對此ICMP Echo請求包作出答復(fù)，向被攻擊的目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，使該主機(jī)受到攻擊，導(dǎo)致網(wǎng)絡(luò)阻塞。

　　3.基于IP的攻擊

　　TCP/IP中的IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段。到達(dá)目的地后再進(jìn)行合并重裝。在實(shí)現(xiàn)分段重新組裝的進(jìn)程中存在漏洞，缺乏必要的檢查。利用IP報(bào)文分片后重組的重疊現(xiàn)象攻擊服務(wù)器，進(jìn)而引起服務(wù)器內(nèi)核崩潰。如Teardrop是基于IP的攻擊。

　　4.基于應(yīng)用層的攻擊

　　應(yīng)用層包括SMTP，HTTP，DNS等各種應(yīng)用協(xié)議。其中SMTP定義了如何在兩個主機(jī)問傳輸郵件的過程，基于標(biāo)準(zhǔn)SMTP的郵件服務(wù)器，在客戶端請求發(fā)送郵件時，是不對其身份進(jìn)行驗(yàn)證的。另外，許多郵件服務(wù)器都允許郵件中繼。攻擊者利用郵件服務(wù)器持續(xù)不斷地向攻擊目標(biāo)發(fā)送垃圾郵件大量侵占服務(wù)器資源。