DDOS說明

分散式阻斷服務（DDoS）

攻擊的前身是所謂的『阻斷服務（Denial-of-Service，簡稱DoS）攻擊』。DoS攻擊並不以篡改或竊取主機資料為目的，而是癱瘓系統主機使之無法正常運作。換言之，由於一般網路系統的系統資源（例如記憶體、磁碟空間以及網路頻寬等）皆有限，因此駭客可以根據部分網路系統或者相關通信協定等之設計或實作上的漏洞，在一段期間內透過傳送大量且密集的封包至特定網站，使該網站無法立即處理這些封包而導致癱瘓，進而造成網路用戶無法連上該網站而被阻絕在外。

這種攻擊對網站本身而言，並不具破壞性，只是造成系統無法即時處理駭客所送來的大量訊息而停滯或當機。早在1999年8月美國明尼蘇達大學就曾遭受到DoS攻擊，使該校網站被迫暫時關閉。目前已知的DoS攻擊方式有數十種之多，然而主要攻擊方式為『點對點』的攻擊，任何人只要握有一攻擊程式即可讓未受保護的網路或裝置癱瘓，例如：WinNuke攻擊程式便可讓未受保護的MS Windows電腦當機。基本上，DDoS是DoS的一種變形，因為它是透過網路分散來源的技巧，所以將之稱作分散式DoS（Distributed DoS，簡稱DDoS）攻擊。DDoS攻擊方式在於它是從網路上的許多台主機同時發動類似DoS的攻擊行為，所以遭受攻擊的主機同時面對的敵人數目將是數百台來自不同網域的主機，這種獨特之處，使得DDoS攻擊不一定要真正把遭攻擊主機的系統程式給異常終止掉，只需要同時送出遠超過網路負荷或者是遠超過遭攻擊主機所能允許的最大連線數量的資料，就能達到癱瘓目標網站之目的。

由上述得知，DDoS攻擊需要一定數量的網路主機，以作為發動攻擊的攻擊伺服器（Daemon），待駭客發出攻擊命令時，才可透過這些攻擊伺服器同時對特定目標進行癱瘓性攻擊。為了隱密而不被發現地準備發動DDoS攻擊所需之足夠數量的攻擊伺服器，駭客會先用盜取、監聽的方式取得不合法的帳號以取得某些發起機器（Master），並且將入侵的後門程式放置在發起機器上，然後透過發起機器上的後門程式開始嘗試侵入為數眾多的網路主機，藉此取得足夠數量的主機以作為攻擊伺服器。最後，駭客會在發起機器上放置攻擊發起程式用以通知攻擊伺服器發動DDoS攻擊，並且在擊伺服器上放置實際攻擊程式以實際執行癱瘓攻擊。在此值得注意的是駭客可能會使用許多可以遠端侵入網路主機的系統程式，例如Solaris的toolTalk、csdmd等入侵程式、並且藉由掃描網路上機器以作為攻擊之用。在取得足夠數量的網路主機帳號之後，駭客下一階段性開始計畫如何去發起這樣的癱瘓攻擊。DDoS的攻擊命令可以透過圖一中攻擊者（Attacker）－發起機器（Master）－攻擊伺服器（Daemon）的路線完成，而由最底層的攻擊伺服器實際執行癱瘓攻擊。

DDoS攻擊防範之道

由DDoS攻擊方式得知，駭客會先在許多機器上放置DDoS的常駐攻擊程式，進而利用DDoS攻擊迫使網路主機癱瘓，因此為要有效防制DDoS攻擊，系統管理者只要能找出已經被放置這些常駐攻擊程式的網站主機，就能解決被DDoS攻擊的威脅。目前已有許多偵測攻擊常駐程式的工具，例如Windows系統可以利用IIS的Internet Scanner 6.01程式與RealSecure 3.2.1程式來進行掃描。前者能有效地掃描出TribeFlood Network的常駐攻擊程式，並且亦可協助找出網站漏洞，以避免該網站成為駭客進行DDoS攻擊的幫凶。另外，後者能夠偵測出在DDoS的發起主機與攻擊伺服器聯繫時的通訊，進而有效地阻止駭客啟動DDoS攻擊。除此之外，英國NIPC亦針對DDoS攻擊發展出find_ddos程式，此程式能讓系統管理者針對自己的系統進行偵測，以確定是否曾被安裝了DDoS之類的攻擊程式。最後，系統管理者也可以監控主機或Router，把怪異的偽造來源IP封包過濾掉，例如：10.0.0.0/8 172.16.0.0/12、192.168.0.0/16；或是把網路主機不需要的serviceport關掉；同時，也可以在網路主機或Router上設ACL（tcp_wrapper）限制可登錄之對象等等來防止入侵。