DDOS***原理及效果詳解

 DDoS***並不是什麼人都可以辦到的，其實瞭解DDOS***原理首先要知道實施DDoS***比較難的原因是應爲***操作者要掌握一定的***技巧。那麼我們這裏就爲大家講述在網上經常會見到的***工具想大家做一個詳細的講解，他們分別是trin00和Tribe Flood Network。

DDOS***原理的進一步瞭解：

對於源代碼包的安裝使用過程是比較複雜的，因爲編譯者首先要找一些internet上有漏洞的主機，通過一些典型而有效的遠程溢出漏洞***程序，獲取其系統控制權，然後在這些機器上裝上並運行分佈端的***守護進程，下面***工具trin00的三大結構：

◆客戶端

◆主控端(master)

◆分佈端(broadcast)---***守護進程

對DDOS***工具trin00結構的認識：

1、客戶端可以是telnet之類的常用連接軟件，客戶端的作用是向主控端(master)發送命令。它通過連接master的27665端口，然後向master發送對目標主機的***請求。

2、主控端(master)偵聽兩個端口，其中27655是接收***命令，這個會話是需要密碼的。缺省的密碼是"betaalmostdone"。master啓動的時候還會顯示一個提示符："??"，等待輸入密碼。密碼爲 "gOrave"，另一個端口是31335，等候分佈端的UDP報文。
在7月份的時候這些master的機器是:

129.237.122.40 
207.228.116.19 
209.74.175.130 

3、分佈端是執行***的角色。分佈端安裝在***者已經控制的機器上,分佈端編譯前植入了主控端master的IP地址，分佈端與主控端用UDP報文通信，發送到主控端的31355端口，其中包含"*HELLO*"的字節數據。主控端把目標主機的信息通過27444 UDP端口發送給分佈端，分佈端即發起flood***。
***者-->master-->分佈端-->目標主機

通信端口：

◆***者 to Master(s): 27665/tcp

◆Master to 分佈端: 27444/udp

◆分佈端 to Master(s): 31335/udp

從分佈端向受害者目標主機發送的D.O.S都是UDP報文，每一個包含4個空字節，這些報文都從一個端口發出，但隨機地襲擊目標主機上的不同端口。目標主機對每一個報文回覆一個ICMP Port Unreachable的信息，大量不同主機發來的這些洪水般的報文源源不斷，目標主機將很快慢下來，直至剩餘帶寬變爲0。

DDOS***原理之實施***的步驟：

透過尋常網路(網絡)連線，使用者傳送訊息要求服務器予以確認。服務器於是將連線許可回傳給使用者。使用者確認後，獲准登入服務器。

但在“拒絕服務”式***的情況下，使用者傳送衆多要求確認的訊息到服務器，使服務器充斥這種垃圾訊息。所有的訊息都附上捏造的地址，以至於服務器設圖回傳確認許可時，無法找到使用者。服務器於是暫時等候，有時超過一分鐘，然後再切斷連線。服務器切斷連線時，駭客再度傳送新一波佯裝成要求確認的訊息，再度啓動上述過程，導致服務器無法動彈，服務無限期停擺。這種***行動使網站服務器充斥大量要求答覆的訊息，導致系統不勝負荷以至於當機。這種分佈式拒絕服務***示意圖如下：

　*----------* 
　 
***者 　 
　 
　*----------* 
　 　 
　 　 
　*----------* 
　 
主控端 　 
　 
　*----------* 
　 　 
(指揮各個分節點進行***) 
　 　 
　 *------------*------*------*------------* 
　 　 　 　 　 
　 　 　 　 　 
v v v v 
*----------* *----------* *----------* *----------* 
　 　 　 　 　 　 　 　 
　 代理端 　 　 代理端 　 　 代理端 　 　 代理端 　 
　 　 　 　 　 　 　 　 
*----------* *----------* *----------* *----------* 
/ / 
　 / / 
　 / / 
(大量的垃圾數據包進行***) 
　 / / 
/ / 
　 / / 
　 V V V V 
　 *-----------------------* 
　 　 　 
　 　 被***服務器 　 
　 　 　 
　 *-----------------------* 

DDOS***原理之網絡通訊異常現象監測：

許多人或工具在監測分佈式拒絕服務***時常犯的錯誤是隻搜索那些DDoS工具的缺省特徵字符串、缺省端口、缺省口令等。要建立網絡***監測系統（NIDS）對這些工具的監測規則，必須着重觀察分析DDoS網絡通訊的普遍特徵，不管是明顯的，還是模糊的。

DDoS***工具產生的網絡通訊信息有兩種：控制信息通訊（在DDoS客戶端與服務器端之間）和***時的網絡通訊（在DDoS服務器端與目標主機之間）。

DDOS***原理之DDoS***的監測：

異常現象0：雖然這不是真正的"DDoS"通訊，但卻能夠用來確定DDoS***的來源。根據分析，***者在進行DDoS***前總要解析目標的主機名。BIND域名服務器能夠記錄這些請求。由於每臺***服務器在進行一個***前會發出PTR反向查詢請求，也就是說在DDoS***前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。

異常現象1：當DDoS***一個站點時，會出現明顯超出該網絡正常工作時的極限通訊流量的現象。現在的技術能夠分別對不同的源地址計算出對應的極限值。當明顯超出此極限值時就表明存在DDoS***的通訊。因此可以在主幹路由器端建立ACL訪問控制規則以監測和過濾這些通訊。

異常現象2：特大型的ICP和UDP數據包。正常的UDP會話一般都使用小的UDP包，通常有效數據內容不超過10字節。正常的ICMP消息也不會超過64到128字節。那些尺寸明顯大得多的數據包很有可能就是控制信息通訊用的，主要含有加密後的目標地址和一些命令選項。一旦捕獲到（沒有經過僞造的）控制信息通訊，DDoS服務器的位置就暴露出來了，因爲控制信息通訊數據包的目標地址是沒有僞造的。

異常現象3：不屬於正常連接通訊的TCP和UDP數據包。最隱蔽的DDoS工具隨機使用多種通訊協議（包括基於連接的協議）通過基於無連接通道發送數據。優秀的防火牆和路由規則能夠發現這些數據包。另外，那些連接到高於1024而且不屬於常用網絡服務的目標端口的數據包也是非常值得懷疑的。

異常現象4：數據段內容只包含文字和數字字符（例如，沒有空格、標點和控制字符）的數據包。這往往是數據經過BASE64編碼後而只會含有base64字符集字符的特徵。TFN2K發送的控制信息數據包就是這種類型的數據包。TFN2K（及其變種）的特徵模式是在數據段中有一串A字符（AAA……），這是經過調整數據段大小和加密算法後的結果。如果沒有使用BASE64編碼，對於使用了加密算法數據包，這個連續的字符就是“”。

異常現象5：數據段內容只包含二進制和high-bit字符的數據包。雖然此時可能在傳輸二進制文件，但如果這些數據包不屬於正常有效的通訊時，可以懷疑正在傳輸的是沒有被BASE64編碼但經過加密的控制信息通訊數據包。（如果實施這種規則，必須將20、21、80等端口上的傳輸排除在外。）

DDOS***原理的基本情況以及根據DDOS***原理所做的監測方面內容就向你介紹到這裏，希望對你瞭解和掌握DDOS***原理有所幫助。