《30天打造专业红客》第25章

骱螅咚降墓セ髡呋崾紫茸隽郊拢?。　考虑如何留好后门（我以后还要回来的哦）！2。　如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。　
如何组织一次DDoS攻击的？
这里用〃组织〃这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：
1。　搜集了解目标的情况
下列情况是黑客非常关心的情报：　
被攻击目标主机数目、地址情况　
目标主机的配置、性能　
目标的带宽
对于DDoS攻击者来说，攻击互联网上的某个站点，如http：//。W。，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的服务。以yahoo为例，一般会有下列地址都是提供http：//。。服务的：　
66。218。71。87
66。218。71。88
66。218。71。89
66。218。71。80
66。218。71。81
66。218。71。83
66。218。71。84
66。218。71。86　
如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66。218。71。87这台机器瘫掉，但其他的主机还是能向外提供服务，所以想让别人访问不到http：//。。的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。　
所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。
但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要*运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。　
2。　占领傀儡机
黑客最感兴趣的是有下列情况的主机：　
链路状态好的主机　
性能好的主机　
安全管理水平差的主机
这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。　
首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…（简直举不胜举啊），都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。
总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。　
3。　实际攻击
经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令：〃预备~　，瞄准~，开火！〃。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会〃怜香惜玉〃。
老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。　
下面我们再详细说说SYN　Flood攻击
SYN…Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN…Flood的攻击效果最好，应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN…Flood的详细情况。
Syn　Flood原理　…　三次握手
Syn　Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn　Flood存在的基础。　
TCP连接的三次握手　
如图，在第一步中，客户端向服务端提出连接请求。这时TCP　SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应（SYN标志置位），同时确认收到客户端的第一个TCP分段（ACK标志置位）。在第三步中，客户端确认收到服务端的ISN（ACK标志置位）。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程。
Syn　Flood攻击者不会完成三次握手　
假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN＋ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN＋ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN　Timeout，一般来说这个时间是分钟的数量级（大约为30秒…2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源…………数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN＋ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃………即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN　Flood攻击（SYN洪水攻击）。
下面我们来分析一下这些经典的黑客程序。
1、Trinoo
Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：
攻击者主机到主控端主机：27665/TCP
主控端主机到代理端主机：27444/UDP
代理端主机到主服务器主机：31335/UDP
2、TFN
TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。
3、TFN2K
TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络