(呼伦贝尔学院信息科学分院，内蒙古 海拉尔 021008)
摘 要：21世纪以来，黑客们采用了一种新的十分难以防范的分布式拒绝服务攻击(ddos)，给很多知名网站和internet带来巨大的损失。本文从概念、攻击原理、攻击现象、攻击方式介绍了这种攻击方法，以及防御ddos的措施。 
关键词：ddos；udp；icmp；acl
中图分类号：tp309.5  文献标识码：a  文章编号：1007—6921(2007)06—0083—02
1 攻击的原理
      分布式拒绝服务攻击(ddos)是在dos（黑客用一台计算机对被攻击的服务器发送大量的信息，这些信息导致服务器消耗大量的系统资源，浪费大量的cpu 时间及阻塞通讯线路，使得正常的服务请求无法得到响应，外界看来，服务器如同瘫痪。）基础上发展而来的。黑客首先利用一台计算机控制一群计算机，这群计算机对一个目标或多个目标实施dos攻击，因而更加具有攻击力，并且很难查出黑客的行踪。
2 被ddos攻击时的现象 
2.1 数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包
      这往往是数据经过 64编码后而只会含有 64字符集字符的特征。tfn2k发送的控制信息数据包就是这种类型的数据包。tfn2k（及其变种）的特征模式是在数据段中有一串a字符（aaa……），这是经过调整数据段大小和加密算法后的结果。如果没有使用 64编码，对于使用了加密算法数据包，这个连续的字符就是“\ 0”。
2.2 不属于正常连接通讯的tcp和udp数据包
      最隐蔽的ddos工具随机使用多种通讯协议（包括基于连接的协议）通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。
2.3 特大型的icmp和udp数据包
      正常的udp会话一般都使用小的udp包，通常有效数据内容不超过10字节。正常的icmp消息也不会超过64～128字节。那些大小明显大得多的数据包很有可能就是控制信息通讯用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通讯，ddos服务器的位置就无所遁形了，因为控制信息通讯数据包的目标地址是没有伪造的。
2.4 当ddos攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象
      现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在ddos攻击的通讯。因此可以在主干路由器端建立acl访问控制规则以监测和过滤这些通讯。
2.5 虽然这不是真正的“ddos”通讯，但却能够用来确定ddos攻击的来源
      根据分析，攻击者在进行ddos攻击前总要解析目标的主机名。bind域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出ptr反向查询请求，也就是说