提到DDoS攻擊，大家會覺得很難，自己沒有“肉雞”(也稱傀儡電腦)，怎么發(fā)動(dòng)得了?其實(shí)還有一種超級簡單的辦法，就算你一臺“肉雞”都沒有，也可以發(fā)動(dòng)DDoS攻擊，不信?請看下文。

鄰居老張自從建立了自己的網(wǎng)站后，大半空閑時(shí)間都耗費(fèi)到上面了，來我家串門的次數(shù)也少了，就算來了話題都離不開他的“寶貝”——網(wǎng)站。這天老張來串門了，我琢磨著他又有什么問題要咨詢我。果不其然，我們才聊了幾句，就談到了網(wǎng)站。

“最近我聽別的站長說了一個(gè)事情，說是做網(wǎng)站要小心DDoS攻擊，這個(gè)是怎么回事?”

“這是黑客攻擊網(wǎng)站的一種方式，非常暴力。DDoS是英文Distributed Denial of Service的縮寫，意思為‘分布式拒絕服務(wù)’，俗稱‘洪水攻擊’?！?/P>

“什么是‘分布式拒絕服務(wù)’?聽起來好深?yuàn)W?！?/P>

“簡單明了地說，所有能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。打個(gè)比方，老張你的網(wǎng)站好比是一個(gè)餐館，可以同時(shí)容納100人就餐，但現(xiàn)在沖進(jìn)來200個(gè)黑衣人，一半人霸占了所有的位置，剩下的一半人在排隊(duì)等候位置，可這些黑衣人卻一個(gè)菜也不點(diǎn)。其他食客來到你的餐館自然就無法用餐了?！?/P>

“我明白了，這種方式也太卑鄙了!可攻擊者為什么要這樣做呢?”

“無組織的DDoS攻擊，一般都是為了炫耀或者發(fā)泄，沒有明顯的利益訴求。像你那樣的個(gè)人網(wǎng)站主要防范對象就是他們。這種攻擊方式需要控制很多肉雞，讓它們同時(shí)訪問某一個(gè)網(wǎng)站。

說到這里，我給你說說什么是‘肉雞’。一臺電腦能被人遠(yuǎn)程控制，就算是‘肉雞’了。一般情況下，一臺電腦帶寬就是1MB~2MB，如果有幾百臺‘肉雞’同時(shí)發(fā)動(dòng)攻擊，一般的服務(wù)器就會崩潰。”

“這種攻擊方式難度要求很高，一般人做不了吧!”

“如果要用到‘肉雞’，的確較難，一般人做不到。但是，如果用代理服務(wù)器的話，不是黑客也可以發(fā)動(dòng)DDoS攻擊?！?/P>

“這也行?不會吧?”

“試試就知道了……”

尋找代理服務(wù)器

攻擊原理：專用的DDoS攻擊軟件會向代理服務(wù)器發(fā)送特殊命令，該命令可以讓代理服務(wù)器向攻擊的目標(biāo)網(wǎng)站發(fā)送連接請求。如果代理服務(wù)器非常多，同時(shí)連接目標(biāo)網(wǎng)站的請求就會非常多，該網(wǎng)站所在的服務(wù)器就可能崩潰。

我打開電腦，開始尋找代理服務(wù)器。代理服務(wù)器的資源十分豐富，一些網(wǎng)站和軟件會公布一些免費(fèi)的代理服務(wù)器地址，例如代理中國、代理服務(wù)器網(wǎng)、《QQ代理公布器》等，可以在這些網(wǎng)站和軟件上尋找代理服務(wù)器地址(圖1)。

不過找到的代理服務(wù)器可能因?yàn)闀r(shí)間原因而失效了，因此在使用它們進(jìn)行DDoS攻擊之前，我要先驗(yàn)證它們的有效性。我下載了驗(yàn)證工具《代理獵手》。

安裝《代理獵手》并啟動(dòng)后，我新建了一個(gè)文本文件，然后把收集到的代理資源復(fù)制到里面并進(jìn)行保存。接著，我單擊軟件主界面的“搜索結(jié)果”選項(xiàng)卡(圖2)，再點(diǎn)擊右側(cè)的“導(dǎo)入結(jié)果”按鈕，將文本文件中的代理資源全部導(dǎo)入軟件中。　　

我又點(diǎn)擊“驗(yàn)證全部”按鈕，讓軟件對每一個(gè)代理服務(wù)器地址進(jìn)行驗(yàn)證。驗(yàn)證完畢后，再點(diǎn)擊“精簡結(jié)果”按鈕，在“精簡搜索結(jié)果”窗口中將除了“Free”外的選項(xiàng)都勾上(圖3)，點(diǎn)擊“確定”，在軟件窗口中剩下的就是有效的代理資源了。　　

發(fā)動(dòng)DDoS攻擊

準(zhǔn)備好代理服務(wù)器，我就正式開始發(fā)動(dòng)DDoS攻擊，旁邊的老張目不轉(zhuǎn)睛地看著我操作。我調(diào)出了《DDoS攻擊器》，在“攻擊URL”中填入了老張網(wǎng)站的地址。在“攻擊選項(xiàng)”中勾選“隨機(jī)攻擊”和“隨機(jī)字符”(圖4)。接著我將“攻擊速度”選項(xiàng)設(shè)置為2000(默認(rèn)為1000)，攻擊線程設(shè)置為500(默認(rèn)為10)。需要注意的是，這兩個(gè)選項(xiàng)的數(shù)值是根據(jù)電腦的性能來設(shè)置的，性能越高，數(shù)值可以相應(yīng)地設(shè)置得高些?！　?/P>

然后在“代理列表”選項(xiàng)中填入代理服務(wù)器的IP地址和端口號，為了避免一個(gè)一個(gè)手工添加代理地址，我點(diǎn)擊下方的“導(dǎo)入”按鈕，導(dǎo)入了包含代理地址的文本文件。如果有多個(gè)攻擊目標(biāo)，那么在“攻擊列表”中填入需要攻擊的URL，再點(diǎn)擊“添加”按鈕即可。

“怎么樣，是不是很簡單?”

“這就完了?”

沒有多久，老張的網(wǎng)站就無法訪問了，訪客只能看到“該頁無法顯示”的頁面。老張?jiān)谝慌阅康煽诖簟?/P>

經(jīng)驗(yàn)：使用DDoS進(jìn)行攻擊時(shí)，會讓服務(wù)器的CPU占用率一直處于高位狀態(tài)，很可能造成服務(wù)器上的所有網(wǎng)站無法打開，后果十分嚴(yán)重，所以這種攻擊方法不要輕易使用。此外， DDoS還有一些更有難度的用法，有興趣的朋友可以參考相關(guān)資料。

要防范DDoS攻擊，硬件防火墻效果不錯(cuò)，能有效抵擋低密度的攻擊。如果沒有硬件防火墻，就要建立IP地址和流量監(jiān)控機(jī)制，一旦發(fā)現(xiàn)某個(gè)IP地址的流量出現(xiàn)異常，路由器就立即斷開與該IP地址的聯(lián)系。

【編輯推薦】

1. 談DoS攻擊和DDoS的攻擊方式
2. 應(yīng)對DoS/DDoS攻擊的十條軍規(guī)
3. 典型DoS攻擊原理及抵御措施