分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)攻擊中非常常見(jiàn)的攻擊方式，在進(jìn)行攻擊的時(shí)候，這種方式可以對(duì)不同地點(diǎn)的大量計(jì)算機(jī)進(jìn)行攻擊，進(jìn)行攻擊的時(shí)候主要是對(duì)攻擊的目標(biāo)發(fā)送超過(guò)其處理能力的數(shù)據(jù)包，使攻擊目標(biāo)出現(xiàn)癱瘓的情況，不能提供正常的服務(wù)。

　　分布式拒絕服務(wù)攻擊可以對(duì)多個(gè)聯(lián)合起來(lái)的計(jì)算機(jī)進(jìn)行攻擊，進(jìn)行攻擊的時(shí)候可以對(duì)一個(gè)或者是多個(gè)目標(biāo)來(lái)進(jìn)行攻擊，在進(jìn)行攻擊的時(shí)候危害是非常大的。在進(jìn)行攻擊的時(shí)候，攻擊人員可以通過(guò)竊取賬號(hào)的方式來(lái)對(duì)某個(gè)計(jì)算機(jī)來(lái)進(jìn)行主控程序的安裝，在主控程序安裝完成以后再通過(guò)大量代理程序來(lái)進(jìn)行通訊，在進(jìn)行攻擊以前，代理程序已經(jīng)通過(guò)互聯(lián)網(wǎng)被安裝到多臺(tái)計(jì)算機(jī)上，代理程序的作用就是在收到攻擊的指令后就進(jìn)行攻擊，攻擊的時(shí)候，主控程序可以在短時(shí)間內(nèi)就激活上千次的代理程序，導(dǎo)致攻擊目標(biāo)出現(xiàn)無(wú)法正常使用的情況。

　　分布式拒絕服務(wù)攻擊可以使很多的計(jì)算機(jī)在同一時(shí)間遭受到攻擊，使攻擊的目標(biāo)無(wú)法正常使用，分布式拒絕服務(wù)攻擊已經(jīng)出現(xiàn)了很多次，導(dǎo)致很多的大型網(wǎng)站都出現(xiàn)了無(wú)法進(jìn)行操作的情況，這樣不僅僅會(huì)影響用戶的正常使用，同時(shí)造成的經(jīng)濟(jì)損失也是非常巨大的。分布式拒絕服務(wù)攻擊方式在進(jìn)行攻擊的時(shí)候，可以對(duì)源IP地址進(jìn)行偽造，這樣就使得這種攻擊在發(fā)生的時(shí)候隱蔽性是非常好的，同時(shí)要對(duì)攻擊進(jìn)行檢測(cè)也是非常困難的，因此這種攻擊方式也成為了非常難以防范的攻擊。

　　1.分布式拒絕服務(wù)攻擊分析

　　分布式拒絕服務(wù)攻擊在進(jìn)行主機(jī)攻擊的時(shí)候是要花費(fèi)大量的時(shí)間來(lái)進(jìn)行準(zhǔn)備，在主機(jī)完成攻擊以后才能對(duì)更多的從機(jī)進(jìn)行攻擊。在對(duì)從機(jī)進(jìn)行攻擊的時(shí)候需要在從機(jī)上安裝必要的程序，在接到攻擊的指令以后，程序會(huì)向服務(wù)器發(fā)送非常多的虛假地址，服務(wù)器在接收這些信息以后要得到信息回傳，因?yàn)榘l(fā)送的地址都是偽造的，這樣就會(huì)導(dǎo)致服務(wù)器在回傳信息方面要一直進(jìn)行等待，在服務(wù)器等待一定的時(shí)間以后，會(huì)因?yàn)檫B接超時(shí)導(dǎo)致傳輸?shù)男畔⒈磺袛?，這時(shí)受到攻擊的從機(jī)還會(huì)繼續(xù)向服務(wù)器發(fā)送新的請(qǐng)求，這樣反復(fù)的發(fā)送，會(huì)使得服務(wù)器的資源被耗盡，導(dǎo)致系統(tǒng)出現(xiàn)崩潰的情況。

　　2.分布式拒絕服務(wù)攻擊的特點(diǎn)

　　分布式拒絕服務(wù)攻擊采取的攻擊手段就是分布式的，在攻擊的模式改變了傳統(tǒng)的點(diǎn)對(duì)點(diǎn)的攻擊模式，使攻擊方式出現(xiàn)了沒(méi)有規(guī)律的情況，而且在進(jìn)行攻擊的時(shí)候，通常使用的也是常見(jiàn)的協(xié)議和服務(wù)，這樣只是從協(xié)議和服務(wù)的類(lèi)型上是很難對(duì)攻擊進(jìn)行區(qū)分的。在進(jìn)行攻擊的時(shí)候，攻擊數(shù)據(jù)包都是經(jīng)過(guò)偽裝的，在源IP地址上也是進(jìn)行偽造的，這樣就很難對(duì)攻擊進(jìn)行地址的確定，在查找方面也是很難的。這樣就導(dǎo)致了分布式拒絕服務(wù)攻擊在檢驗(yàn)方法上是很難做到的。

　　3.分布式攻擊會(huì)出現(xiàn)的現(xiàn)象

　　計(jì)算機(jī)在遭受到分布式拒絕服務(wù)攻擊以后會(huì)出現(xiàn)特定的現(xiàn)象，主要表現(xiàn)就是被攻擊的主機(jī)會(huì)出現(xiàn)大量的TCP連接等待，這時(shí)在網(wǎng)絡(luò)中就會(huì)出現(xiàn)大量的沒(méi)有用處的數(shù)據(jù)包，這些無(wú)用的數(shù)據(jù)包出現(xiàn)會(huì)導(dǎo)致網(wǎng)絡(luò)在運(yùn)行的過(guò)程中出現(xiàn)堵塞的情況。被攻擊的主機(jī)在受到攻擊以后是無(wú)法同外界進(jìn)行聯(lián)系的，同時(shí)主機(jī)在提供服務(wù)和傳輸協(xié)議上是存在缺陷的，這樣就會(huì)導(dǎo)致主機(jī)在不斷反復(fù)的進(jìn)行服務(wù)請(qǐng)求的發(fā)出，使得主機(jī)無(wú)法對(duì)請(qǐng)求進(jìn)行處理，進(jìn)而會(huì)出現(xiàn)系統(tǒng)癱瘓的情況。

　　4.分布式拒絕服務(wù)攻擊的特性

　　對(duì)分布式攻擊進(jìn)行必要的分析，就可以得到這種攻擊的特性。分布式拒絕服務(wù)在進(jìn)行攻擊的時(shí)候，要對(duì)攻擊目標(biāo)的流量地址進(jìn)行集中，然后在攻擊的時(shí)候不會(huì)出現(xiàn)擁塞控制。在進(jìn)行攻擊的時(shí)候會(huì)選擇使用隨機(jī)的端口來(lái)進(jìn)行攻擊，會(huì)通過(guò)數(shù)千端口對(duì)攻擊的目標(biāo)發(fā)送大量的數(shù)據(jù)包，使用固定的端口進(jìn)行攻擊的時(shí)候，會(huì)向同一個(gè)端口發(fā)送大量的數(shù)據(jù)包。

　　5.分布式拒絕服務(wù)攻擊的程序

　　在進(jìn)行網(wǎng)絡(luò)攻擊的時(shí)候，分布式拒絕服務(wù)攻擊主要有幾種攻擊的程序。第一種是Trinoo，這種程序是出現(xiàn)最早的攻擊程序，在進(jìn)行攻擊的時(shí)候主要是通過(guò)遠(yuǎn)程控制程序和主控通訊，對(duì)服務(wù)器程序發(fā)動(dòng)攻擊。服務(wù)器程序是存在于系統(tǒng)中的，在進(jìn)行攻擊的時(shí)候，攻擊者要控制多臺(tái)計(jì)算機(jī)，在這些計(jì)算機(jī)上進(jìn)行分布式拒絕服務(wù)軟件的安裝，然后建立起來(lái)相應(yīng)的網(wǎng)絡(luò)，這樣就可以隨時(shí)對(duì)攻擊的目標(biāo)進(jìn)行攻擊。第二種是TFN，它由客戶端程序和守護(hù)程序組成。通過(guò)綁定到TCP端口的Root Shell控制，實(shí)施ICMP Flood，SYN Flood，UDPFlood和Smuff等多種拒絕服務(wù)的分布式網(wǎng)絡(luò)攻擊。TFN客戶端、主控端和代理端主機(jī)相互間通信時(shí)使用ICMP Echo和Icmp EchoReply數(shù)據(jù)包。第三種是Stacbeldraht，它結(jié)合了Tfinoo與TFN的特點(diǎn)，并添加了一些補(bǔ)充特征，如加密組件之間的通信和自動(dòng)更新守護(hù)進(jìn)程。Stachd—draht使用TCP和ICMP通信，攻擊者與主控端交互，同時(shí)主控端控制代理端。Stacheldraht在功能上與Trlnoo和TFN相近。最后一種是TFN2k，TFN2k代表TFN 2000版。它允許端口上隨機(jī)通信及加密，這樣就繞過(guò)了邊界路由器上端口阻擋的防護(hù)措施和入侵檢測(cè)軟件。TFN2k攻擊不但可以與SYN、UDP、ICMP和Smud攻擊相配合。而且還可以在不同的攻擊方式之間隨機(jī)切換。

　　按照TCP/MP協(xié)議的層次可將DDOS攻擊分為基于ARP的攻擊、基于ICMP的攻擊、基于IP的攻擊、基于UDP的攻擊、基于TCP的攻擊和基于應(yīng)用層的攻擊。

　　1.基于ARP的攻擊

　　ARP是無(wú)連接的協(xié)議，當(dāng)收到攻擊者發(fā)送來(lái)的ARP應(yīng)答時(shí)。它將接收ARP應(yīng)答包中所提供的信息。更新ARP緩存。因此，含有錯(cuò)誤源地址信息的ARP請(qǐng)求和含有錯(cuò)誤目標(biāo)地址信息的ARP應(yīng)答均會(huì)使上層應(yīng)用忙于處理這種異常而無(wú)法響應(yīng)外來(lái)請(qǐng)求，使得目標(biāo)主機(jī)喪失網(wǎng)絡(luò)通信能力。產(chǎn)生拒絕服務(wù)，如ARP重定向攻擊。

　　2.基于ICMP的攻擊

　　攻擊者向一個(gè)子網(wǎng)的廣播地址發(fā)送多個(gè)ICMP Echo請(qǐng)求數(shù)據(jù)包。并將源地址偽裝成想要攻擊的目標(biāo)主機(jī)的地址。這樣，該子網(wǎng)上的所有主機(jī)均對(duì)此ICMP Echo請(qǐng)求包作出答復(fù)，向被攻擊的目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，使該主機(jī)受到攻擊，導(dǎo)致網(wǎng)絡(luò)阻塞。

　　3.基于IP的攻擊

　　TCP/IP中的IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。到達(dá)目的地后再進(jìn)行合并重裝。在實(shí)現(xiàn)分段重新組裝的進(jìn)程中存在漏洞，缺乏必要的檢查。利用IP報(bào)文分片后重組的重疊現(xiàn)象攻擊服務(wù)器，進(jìn)而引起服務(wù)器內(nèi)核崩潰。如Teardrop是基于IP的攻擊。

　　4.基于應(yīng)用層的攻擊

　　應(yīng)用層包括SMTP，HTTP，DNS等各種應(yīng)用協(xié)議。其中SMTP定義了如何在兩個(gè)主機(jī)問(wèn)傳輸郵件的過(guò)程，基于標(biāo)準(zhǔn)SMTP的郵件服務(wù)器，在客戶端請(qǐng)求發(fā)送郵件時(shí)，是不對(duì)其身份進(jìn)行驗(yàn)證的。另外，許多郵件服務(wù)器都允許郵件中繼。攻擊者利用郵件服務(wù)器持續(xù)不斷地向攻擊目標(biāo)發(fā)送垃圾郵件大量侵占服務(wù)器資源。