黑客占領傀儡機

黑客最感興趣的是有下列情況的主機：

鏈路狀態(tài)好的主機

性能好的主機

安全管理水平差的主機

這一部分實際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說，就是占領和控制被攻擊的主機。取得最高的管理權限，或者至少得到一個有權限完成DDoS攻擊任務的帳號。對于一個DDoS攻擊者來說，準備好一定數(shù)量的傀儡機是一個必要的條件，下面說一下他是如何攻擊并占領它們的。

首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器，像程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了，具體的手段就不在這里多說了，感興趣的話網(wǎng)上有很多關于這些內(nèi)容的文章。

總之黑客現(xiàn)在占領了一臺傀儡機了！然后他做什么呢？除了上面說過留后門擦腳印這些基本工作之外，他會把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDoS的發(fā)包程序，黑客就是利用它來向受害目標發(fā)送惡意攻擊包的。

黑客實施實際的DDOS攻擊

經(jīng)過前2個階段的精心準備之后，黑客就開始瞄準目標準備發(fā)射了。前面的準備做得好的話，實際攻擊過程反而是比較簡單的。就象圖示里的那樣，黑客登錄到做為控制臺的傀儡機，向所有的攻擊機發(fā)出命令："預備~ ，瞄準~，開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包，導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊，他們不會"憐香惜玉"。

老道的攻擊者一邊攻擊，還會用各種手段來監(jiān)視攻擊的效果，在需要的時候進行一些調(diào)整。簡單些就是開個窗口不斷地ping目標主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。

DDOS的主要幾個攻擊TCP全連接攻擊和SYN攻擊不同，它是用合法并完整的連接攻擊對方，SYN攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請求，防火墻一般都無法過濾掉這種攻擊，這種攻擊在現(xiàn)在的DDOS軟件中非常常見，有UDP碎片還有SYN洪水，甚至還有TCP洪水攻擊，這些攻擊都是針對服務器的常見流量攻擊SYN變種攻擊發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)這種攻擊會造成一些防火墻處理錯誤鎖死，消耗服務器CPU內(nèi)存的同時還會堵塞帶寬。TCP混亂數(shù)據(jù)包攻擊發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會造成一些防火墻處理錯誤鎖死，消耗服務器CPU內(nèi)存的同時還會堵塞帶寬。

針對用UDP協(xié)議的攻擊很多聊天室，視頻音頻軟件，都是通過UDP數(shù)據(jù)包傳輸?shù)模粽哚槍Ψ治鲆舻木W(wǎng)絡軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護，一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護，但是這樣會造成正常的數(shù)據(jù)包也會被攔截，針對WEB Server的多連接攻擊通過控制大量肉雞同時連接訪問網(wǎng)站，造成網(wǎng)站無法處理癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封，針對WEB Server的變種攻擊通過控制大量肉雞同時連接訪問網(wǎng)站，一點連接建立就不斷開，一直發(fā)送發(fā)送一些特殊的GET訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數(shù)就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。

這種攻擊非常難防護，后面給大家介紹防火墻的解決方案針對WEB Server的變種攻擊通過控制大量肉雞同時連接網(wǎng)站端口，但是不發(fā)送GET請求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是GET字符然后來進行http協(xié)議的分析，這種攻擊，不發(fā)送GET請求就可以繞過防火墻到達服務器，一般服務器都是共享帶寬的，帶寬不會超過10M 所以大量的肉雞攻擊數(shù)據(jù)包就會把這臺服務器的共享帶寬堵塞造成服務器癱瘓，這種攻擊也非常難防護，因為如果只簡單的攔截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包，會錯誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問。

后面給大家介紹防火墻的解決方案針對游戲服務器的攻擊因為游戲服務器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口7000,人物選擇端口7100，以及游戲運行端口7200,7300,7400等,因為游戲自己的協(xié)議設計的非常復雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。

黑客實施DDOS攻擊只是其中手段而已，以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護SYN,或者變種的SYN,ACK攻擊效果不錯,但是不能從根本上來分析tcp，udp協(xié)議，和針對應用層的協(xié)議,比如http,游戲協(xié)議，軟件視頻音頻協(xié)議。

【編輯推薦】

1. 邁克菲表示其黑客調(diào)查報告沒有明確入侵國
2. 網(wǎng)絡安全技術討論：黑客與白帽的較量
3. VoIP安全不可忽視　警惕黑客借“聲”欺詐
4. 卡巴斯基“無縫安全”狙擊黑客
5. 黑客技術之ARP欺騙實例