分散式阻斷服務攻擊(DDoS)向來甚為流行，攻擊方法是操控大量有漏洞或被入侵的服務器或電腦發(fā)送極大量無用并無法簡單阻擋的網絡封包，令受害者網絡癱瘓。

　　許多商業(yè)機構因為種種理由(如勒索、惡意競爭等)而一一成為目標。受DDoS攻擊的商業(yè)機構，輕則服務質素受影響，重則網絡完全癱瘓，嚴重損害商業(yè)機構的聲譽和利益。

　　近年來，針對個人的DDoS服務更為猖獗，甚至有人借「網絡壓力測試」之名，在網上為不法之禽提供收費甚至免費的DDoS攻擊服務(booter)。

　　使用DDoS攻擊的電腦技術要求只為低至中低等，只需透過極為簡單的方法取得服務器IP，再登入相關DDoS攻擊服務網站，填入有關資料即可。

　　DDoS攻擊危害

　　在香港，有不少熱愛電子游戲「Minecraft」的人士在家中自架服務器，為其他同樣熱愛Minecraft的大家提供玩樂的地方。但近年來，Minecraft服務器受到攻擊而被逼關閉的情況十分普遍，影響玩家對Minecraft服務器的信心。不法之禽以低技術的小動作已可影響整個游戲社區(qū)，間接令香港的Minecraft熱潮提早進入黃昏，實在令人感到可惜。

　　在外國，關于DDoS的資訊更為流通，不止自架TeamSpeak、CS:GO等游戲服務器的愛好者受到DDoS攻擊，連一般游戲玩家如LoL玩家亦有機會遭殃。

　　只需打開Skype等通訊軟件，你的IP已等同被公開，隨時受到網絡攻擊的目標。不法之禽只要找到你的Skype帳戶，便可隨時對你發(fā)動攻擊。雖然近期Skype已加強保護用戶并隱藏用戶的IP，但這不代表游戲玩家的IP不會從其他途徑洩露，令玩家受到DDoS攻擊。

　　DDoS攻擊方法

　　一般Windows電腦感染木馬后，或者服務器被入侵后，有機會成為僵尸網絡(Botnet)的一部份，不法之徒可利用僵尸網絡產生巨大的UDP網絡流量，從而發(fā)動攻擊。

　　近年較常見的DDoS攻擊方法，是利用帶有漏洞的服務器作出流量放大(Amplification)攻擊。網絡上有一些DNS、NTP、SSDP公共服務器的仍在使用舊版軟件，那些舊版軟件有漏洞，可被利用作發(fā)動攻擊。

　　攻擊者以未遵從BCP38規(guī)則的網絡，成功偽裝為受害者IP，并對有關的服務器發(fā)送大量UDP請求。請求所產生的UDP流量不會返回到攻擊者的IP，而是傳送至受害者IP。

　　攻擊者只向服務器傳送少量的資料，但服務器可傳回相對大量的資料。以NTP Amplification攻擊為例，攻擊者使用舊版NTP公共服務器的monlist指令，以數十bytes的請求資料即可令NTP伺服器傳送數千bytes的資料到受害者IP。換句話說，若攻擊者有以下的條件：

　　·攻擊者的網絡為1Gbps

　　·攻擊者的網絡未遵從BCP38規(guī)則

　　·攻擊者已收集舊版NTP公共服務器列表

　　攻擊者即可向受害者發(fā)動50Gbps起跳的網絡攻擊。

　　UDP協(xié)定為無連線的，受害者并不能以切斷連線的方式阻擋攻擊流量。除非受害者有100Gbps以上的網絡，否則一般只能看著自己的網絡癱瘓，就跟強奸一樣，過程十分殘忍。

　　若攻擊者以TCP協(xié)定或發(fā)動應用層(OSI Model layer 7)攻擊的話，流量還是有機會以技術手段被阻擋的，只是對防護方的電腦或網絡技術和統(tǒng)計學能力要求比較高。此文不對TCP協(xié)定或應用層攻擊作詳細討論。

本文鏈接：http://m.51huadong.com/cloundnews/11000610.html