DDoS技术——黑客终极利器

　　Mazu网络公司为DDoS设计的TrafficMaster Inspector通过不停地进行以G为单位的以太网速度的数据检查,并且尽可能远的追溯数据来源.简单的说,Mazu希望能够实时的探测到网络攻击,然后让正常的数据包通过同时将DDoS数据包阻挡起来.它对网络的这种保护使得它适合于ISP和数据中心服务器.　

　　通常,DoS攻击的目标是你网络的TCP/IP内层结构.这些攻击分为三种:一种是利用给定的TCP/IP协议栈软件的弱点;二种是利用TCP/IP协议的漏洞;第三种是不断尝试的野蛮攻击.　

　　破坏TCP/IP　

　　一个利用TCP/IP协议软件弱点进行进攻的经典的例子是Ping of Death攻击.利用的具体方法是,你的对手创建一个超过了IP标准的最大长度--65535个字节的IP数据包.当这个"浮肿的"数据包到达的时候,它就使得一个使用脆弱的TCP/IP协议软件和操作系统的服务器瘫痪.　

　　所有现代的操作系统和协议软件对Ping of Death攻击都有免疫力,但是老的Unix系统可能仍然是脆弱的.　

　　另一个利用粗制滥造的TCP/IP软件进行攻击的例子是Teardrop,它利用了系统重组IP数据包过程中的漏洞.一个数据包在从互联网的另一端到你这里的路上也许会被分拆成更小的数据报文.这些数据报中的每一个都拥有最初的IP数据报的报头,同时还拥有一个偏移字节来标示它拥有原始数据报中的哪些字节.通过这些信息,一个被正常分割的数据报文能够在它的目的地被重新组装起来,并且网络也能够正常运转而不被中断.当一次Teardrop攻击开始时,你的服务器将受到拥有重叠的偏移字段的IP数据包的轰炸.如果你的服务器或是路由器不能丢弃这些数据包而且如果企图重组它们,你的服务器就会很快瘫痪.如果你的系统被及时更新了,或者你拥有一个可以阻挡Teardrop数据包的防火墙,你应该不会有什么麻烦.