DDoS攻击的原理与效果

DDoS攻击并不是每个人都能做到的。事实上，要了解DDoS攻击的原理，首先必须知道DDoS攻击更为困难的原因是我们应该掌握一些入侵操作技术，我们将向您介绍我们经常在互联网上看到的攻击工具。我们想给你一个详细的解释，他们是Trin00和Tribe Flood Network。

对DDoS攻击原理的再认识：

对安装过程的源代码更为复杂，因为编译器必须先在互联网上的主机发现了一些漏洞，通过一些典型的、有效的远程溢出攻击程序，对系统的访问控制，那么这些机器的安装和运行配电侧攻击守护进程，三以下的攻击工具trin00：

客户端

主控终端（主控）

分发终端（广播）-攻击后台程序

对DDoS攻击工具trin00结构的认识：

1，客户端可以是telnet等常用的连接软件，客户端的角色是将命令发送到主控终端（主控终端），连接到主机的27665端口，然后向主机发送攻击请求到主机。

2、主控端（主）听两个端口，其中27655是接收攻击命令，这个会议需要一个密码，默认密码是betaalmostdone。当主人开始，提示会显示：密码是狂欢和其他端口31335，等待分布式端UDP报文。

在七月，这些主机器：

129.237.122.40

207.228.116.19

209.74.175.130

3，分布式终端是执行攻击的角色，分布式终端安装在攻击者控制的机器上。主控制终端主机的IP地址植入分布终端之前。分布式终端通过UDP消息与主控终端通信，并发送到主控制端口的31355端口，该端口包含* * hello的字节数据，主控制器通过27444 UDP端口发送目标主机信息到分发端，分配端是洪水攻击。

的分布

通信端口：

攻击者要掌握：（27665）

主到分发终端：27444 UDP

终端到主机的分配：31335

在这里将从分布式端到受害者的主机是UDP报文，每个包含4个空字节，这是从一个端口发送，但随机攻击不同的端口对目标主机，目标主机回复每封邮件一个ICMP端口不可达的信息。大量主机发送的大量消息将不断流，目标主机将慢下来，直到剩余带宽被更改为0。

DDoS攻击原理的实现攻击步骤：

通过一个普通的网络（网络）连接，用户向服务器发送一条消息来确认它，然后服务器将连接权限返回给用户，当用户被确认后，就可以进入服务器。

但在服务型的情况下，攻击和否定，用户发送所需的大量确认信息到服务器，使服务器充满垃圾信息。所有信息连接到制作的地址，用户可以不被发现，当服务器重新设置确认许可证服务器等待的时刻，有时超过一分钟，然后连接被切断，切断服务器的连接，再冒充新黑客传输波需要确认的消息，重新启动的过程，导致服务器搬迁，服务无限。这种攻击与大量的请求回复消息的Web服务器，导致系统过载崩溃。这种分布式拒绝服务冰攻击示意图如下：

---------- * *
攻击者
---------- * *
---------- * *
主控端
---------- * *
（指挥每个节点攻击）
* * * * ------------ ------ ------ ------------ *
v v v v

* * * * * ---------- ---------- ---------- ---------- * * *
侧剂侧剂
* * * * * ---------- ---------- ---------- ---------- * * *
/ /

/ /

（许多垃圾数据包遭到攻击）

/ /

/ /
V v v v

----------------------- * *
攻击服务器
----------------------- * *

DDoS攻击原理的网络通信异常监测：

当监视分布式拒绝服务攻击时，许多人或工具常常出错。他们只搜索默认的特征字符串，默认端口和那些DDoS工具默认密码。建立监测网络入侵监测系统（NIDS）这些工具的规则，我们必须观察和分析DDoS网络通信的一般特征，不管是明显的或模糊的。

DDoS攻击工具产生的网络通信信息主要有两种：控制信息通信（DDOS客户端和服务器端）和网络攻击（DDoS服务器端和目标主机）之间的网络通信。

DDoS攻击原理的DDoS攻击监测：

例外0：虽然这不是一个真正的分布式拒绝服务的通信，它可以用来确定DDoS攻击源。据分析，攻击者总是解析目标主机名进行DDoS攻击之前。绑定域名服务器可以记录这些请求。因为每次攻击服务器将进行攻击之前发出PTR反向查询请求，也就是说，在DDoS攻击，域名服务器将收到大量的PTR查询请求扭转目标主机名称。

例外1：当DDoS攻击一个网站，它的极限流量明显超出了网络的正常工作。目前的技术可以分别计算不同的源地址，相应的限值。DDoS攻击的通信时显示的限制显然是超越极限。因此，ACL访问控制规则可以对骨干建立监控和过滤这些通信。

例外2：特大型ICP和UDP数据包。正常的UDP会话通常使用小的UDP包，通常有效数据量不超过10字节。正常的ICMP消息不会超过64到128个字节。尺寸大得多的数据包有可能控制的信息传播，主要包含加密后的目标地址和命令选项一旦我们抓住了（伪造）控制信息和通信的DDoS服务器的位置暴露，因为控制信息和通信数据包的目标地址是伪造的。

例外3：TCP和UDP数据包不属于正常连接通信。最隐蔽的DDoS工具随机使用多种通信协议，包括无连接协议，发送数据在一个连接的通道。优秀的防火墙和路由规则可以发现这些包。此外，包连接到超过1024的目标端口不属于常见的网络服务也很可疑。

例外4：数据段中的内容只包含文字和数字字符（例如，没有空格，标点符号和控制字符）。这往往是数据的编码是通过Base64和只包含base64字符集字符的字符特征。发送的控制信息包是这两种类型包，对两种特征模式（及其变种）就是在数据段的一串字符（aaahellip；hellip；），这是经过调整后的数据段和加密算法的大小。如果Base64编码是没有用的，因为加密算法包使用，这种连续性是；。

例外5：数据段中的内容只包含二进制和高位字符的数据包。虽然二进制文件可能会在这个时候发送，如果这些包通常不是有效的沟通，可以怀疑是不加密的Base64的控制信息包发送。（如果本规则实施，有必要对20, 21和80端口排除传输）。

介绍了DDoS攻击的基本原理和基于DDoS攻击原理的监控内容，希望能帮助您理解和掌握DDoS攻击原理。