【DDOS系列一】DDOS攻击的简介

一：简介

DDOS作为DOS攻击的一种扩展，其理论原型从1997年开始得到广泛的讨论，在1999年出现

第一个DDOS的工具。并且在2000年二月七日到二月十一日第一次举世闻名的DDOS攻击开

始了。yahoo, buy.com,ebay, Amazon,Datek, CNN等等网站都出现了不同程度的数小时

之内的不可访问。于是，DDOS的问题从入侵者讨论的范围扩大到学术界。之后出现了

DDOS技术的突飞猛进，也于学术界介入DDOS攻击有着很明显的关系。

DDOS在概念上是很简单的。两台或者两台以上的机器参与对一个目标的服务失效攻击就

被认为是服务失效攻击。

DOS攻击的种类：
1:Smurf: Smurf IP Denial of Service Attack. 这种服务失效攻击起源于IP direct

broadcast,是最早出现的一种DOS攻击。
more details in:http://www.cert.org/advisories/CA-1998-01.html

2:Land attack:这种攻击是由于TCP/IP协议编写的不健壮而到处出现漏洞。是很早的DOS

攻击。
more details in:http://www.cert.org/advisories/CA-1997-28.html

3:WinNuke attack: OOB attack. 感染win95和winNT的机器。 字串5
more details in:http://www.jtan.com/resources/winnuke.html

4: SYN FLOOD: DDoS攻击的原子形式。也是使用最多的方法。绝大部分的DDOS都是使用这

种原子作业方式来完成的。
more details in:http://www.cert.org/advisories/CA-1996-21.html

5: UDP FLOOD:对unused UDP端口进行攻击。经过TCP/IP协议的一再修正，影响力已经不

强。
more details in:http://www.cert.org/advisories/CA-1996-01.html

6: ICMP FLOODS:大部分DDOS攻击仍然采用这种方式。ICMP是网络上用来计算流量的一个

基本工具，比如LUCENT BELL LAB的CHFENG大侠完成的PATHCHAR 就是一个在SUN SOLARIS

下运行的流量发生器。基本上是打谁谁死。
more details in: http://www.cert.org/advisories/CA-1996-26.html

DDOS攻击普及的原因：
1:协议开发的开放性决定了任何人都可以拿到第一手的协议开发资料，并且独立研究，

发现漏洞。

2:互联网上有大量的界面友好的，具备复杂功能的DDOS工具。

3:在很多网站上有free的attack source。比如http://packetstormsecurity.nl/ 字串4
在这些网站上一个稍具经验的人可以获得大量的攻击性代码并且可以自由的修改，发展

。

常用的DDOS工具：
1:Trin00
  在互联网上出现的第一个DDOS工具。
  running protocols: TCP/UDP Communications
  运行平台：
    Solaris
    Linux
    Windows

  code:
     Handler: master.c
    Agent:   ns.c

  TrinOO 配置方式：
  Client to Handler: TCP 27665 用户和主控程序的交互端口
  Handler to Agent : UDP 27444
  Agent to Handler : UDP 31335

  攻击模式: UDP FLOOD.
    

2:Tribe Flood Network(TFN)
3:Stacheldraht
  在TFN被流传之后出现的后继版本。
  Running Protocol: TCP/ICMP Communication
  德国人制造。
  运行平台： 字串4
    Solaris
    Linux(Not reliable)
  Code:
    Handler: mserv.c
    Agent : leaf.c, td.c

  Stacheldraht配置方式：
  Client to Handler: TCP 16660, encrypted channel
  handler to agent : TCP 65000, ICMP_ECHOREPLY
  
  攻击模式：ICMP FLOOD, SYN FLOOD, UDP FLOOD, SMURF.

4:Shaft
  在trin00流传开之后出现的后继版本。
  Running Protocol: TCP/UDP Communication
  运行平台：
    Solaris
    Linux
  Code:
    Handler:  shaftmaster.c
    Agent : shaftnode.c

  Shaft配置方式：
  Client to Handler: TCP 20432
  Handler to Agent : UDP 18753
  Agent to Handler : UDP 20433

字串4

  攻击模式: SYN FLOOD, UDP FLOOD, ICMP FLOOD running concurrently

5:TFN2K
  TFN后续版本
  running protocol:
  运行平台：
    Solaris
    Linux
    Windows NT
  Code:
    Handler: tribe.c
    agent : td.c

  TFN2K配置方式：
  Client to Handler: numerous ways
  Handler to Agent : TCP, UDP, ICMP, or all three running concurrently.  
  Agent to Handler : ICMP_ECHORELAY
  在agent和handler之间的control flow有256-bit加密通讯保护。
  
  攻击模式：SMURF, ICMP FLOOD, UDP FLOOD, TCP FLOOD, "Combo attack"

6:Mstream

Reference: Sean Krulewitch
   Staff
   Indiana University