这听起来像 50 年代可怕的怪兽电影：“Zombies（僵尸）杀手的攻击。”不幸的是，这竟然轻易地成为近来以社团、政府、教育机构和私人计算机系统为目标的大量网络攻击的标题。在这篇文章中，您将了解到这些攻击的工作原理，以及怎样避免成为恶意攻击者队伍中一个懵懵懂懂的 zombie。

了解问题的实质

zombie 攻击更专业的说法是分布式拒绝服务 (DDoS) 攻击。 这一术语听起来怪吓人的，但实际操作起来却相当简单。让我们从“拒绝服务”开始谈起。假设您镇上的紧急事件响应中心只有一条电话线路，有一个顽劣的人不停地拨打，一直占线。在电话占线的时候，没有任何人能报告真正的紧急事件。这就是“拒绝服务”。

当然，设计紧急事件服务时不应推荐此方法，所以为安全起见，即使小镇也应具有多条接入电话线。我们假设您居住的中型城镇有 100 条接入 911 的电话线。如果有 120 个串通一气的坏家伙，拿起付费电话同时拨打 911，呼叫中心的电话将如洪水涌入，而真正紧急的接入电话却无法接通。但这与前一种攻击不同，同时阻止这些家伙的联合行动会更困难，尤其是在您不知道他们是谁，也不知道他们在什么位置时。这就是 DDoS 中“分布式”说法的由来

但这跟 zombie 又有什么关系呢？这很简单。假设您是一位恶意攻击者，能够巧妙哄骗别人运行您选择的程序。该程序可以蛰伏起来，就像怪兽电影里的僵尸，待您一声令下，它就开始制造网络通信量，发送到一个特定目标。如果能够招募足够多的“zombie”，就能淹没超大型的服务，例如，Yahoo！或者 CNN。

蚕食至死

也许乍一看这是违反常理的--区区几个个人系统怎能缚住像 CNN 这样的宠然大物？答案分两个方面：规模和带宽。假如您能让 500 台计算机，每一台都在普通的 DSL 线路上，去攻击单个主机。一条普通 DSL 线路允许 256Kb/s 的上行带宽，我们保守地假设 500 台计算机能够产生 500 * 128Kb/s = 64000 Kb/s = 62.5 Mb/s 的带宽。结果是，这大约相当于 42 条 T1 线路，或者大约 1.4 条 T3 线路--这是个相当大的带宽。如果目标仅有一条 T1（甚或仅有十二条）线路，就大功告成了。当然，改变主机数量及它们的平均带宽能够改变可承受通信量的大小；但是，很重要的一点是，为数不算太多的独立系统如果协同工作，可轻而易举地淹没超大型网络。还有其他一些花招可用来提高这些攻击的效果，但不是非要了解它们后您才能保护自己。

分布式拒绝服务攻击与您

作者：Paul Robichaux

这听起来像 50 年代可怕的怪兽电影：“Zombies（僵尸）杀手的攻击。”不幸的是，这竟然轻易地成为近来以社团、政府、教育机构和私人计算机系统为目标的大量网络攻击的标题。在这篇文章中，您将了解到这些攻击的工作原理，以及怎样避免成为恶意攻击者队伍中一个懵懵懂懂的 zombie。

了解问题的实质

zombie 攻击更专业的说法是分布式拒绝服务 (DDoS) 攻击。 这一术语听起来怪吓人的，但实际操作起来却相当简单。让我们从“拒绝服务”开始谈起。假设您镇上的紧急事件响应中心只有一条电话线路，有一个顽劣的人不停地拨打，一直占线。在电话占线的时候，没有任何人能报告真正的紧急事件。这就是“拒绝服务”。

当然，设计紧急事件服务时不应推荐此方法，所以为安全起见，即使小镇也应具有多条接入电话线。我们假设您居住的中型城镇有 100 条接入 911 的电话线。如果有 120 个串通一气的坏家伙，拿起付费电话同时拨打 911，呼叫中心的电话将如洪水涌入，而真正紧急的接入电话却无法接通。但这与前一种攻击不同，同时阻止这些家伙的联合行动会更困难，尤其是在您不知道他们是谁，也不知道他们在什么位置时。这就是 DDoS 中“分布式”说法的由来

但这跟 zombie 又有什么关系呢？这很简单。假设您是一位恶意攻击者，能够巧妙哄骗别人运行您选择的程序。该程序可以蛰伏起来，就像怪兽电影里的僵尸，待您一声令下，它就开始制造网络通信量，发送到一个特定目标。如果能够招募足够多的“zombie”，就能淹没超大型的服务，例如，Yahoo！或者 CNN。

蚕食至死

也许乍一看这是违反常理的--区区几个个人系统怎能缚住像 CNN 这样的宠然大物？答案分两个方面：规模和带宽。假如您能让 500 台计算机，每一台都在普通的 DSL 线路上，去攻击单个主机。一条普通 DSL 线路允许 256Kb/s 的上行带宽，我们保守地假设 500 台计算机能够产生 500 * 128Kb/s = 64000 Kb/s = 62.5 Mb/s 的带宽。结果是，这大约相当于 42 条 T1 线路，或者大约 1.4 条 T3 线路--这是个相当大的带宽。如果目标仅有一条 T1（甚或仅有十二条）线路，就大功告成了。当然，改变主机数量及它们的平均带宽能够改变可承受通信量的大小；但是，很重要的一点是，为数不算太多的独立系统如果协同工作，可轻而易举地淹没超大型网络。还有其他一些花招可用来提高这些攻击的效果，但不是非要了解它们后您才能保护自己。（如果想了解详细信息，SANS 提供了一个完整的_ddos.htm">攻击方法摘要。)

攻击的工作原理

在前面已说明了 DDoS 攻击依赖于使 DDoS 客户端在大范围的计算机上运行。常用手段是将它打包为“特洛伊木马”，一个看似无害但偷偷作恶的程序，毫无戒心的用户会运行该程序。关键词是“毫无戒心”。许多计算机用户在运行从未知来源获得的可执行程序或附件之前，往往不会三思而行，特别是当他们认为下载的程序能为他们带来某些东西（例如，免费色情资料或中奖机会）而又不用花一分钱时。例如，我知道有一个 DDoS 攻击者，会伪装成少女潜入 AOL 的聊天室，将“她”的自动播放幻灯片提供给与“她”聊天的人。当然，“幻灯片”实际上是伪装的“特洛伊”，过一段时间后，这个攻击者就能够网罗到大量的 DDoS 客户端听他的号令。当然，那些试图建立 DDoS 客户端武库的人，不会浪费时间将“特洛伊”发送给受过良好安全教育的专业人员；他们会选择将“特洛伊”发送给一些不假思索就会运行此恶意代码的用户，如果这些用户不太会注意到计算机被感染，则更是合适的目标。

一旦“特洛伊”被激活后，它一般要做的第一件事就是在某处的注册他的存在，具体做法通常是向一个著名的目的地发送 TCP/IP 数据包。盛行的 SubSeven“特洛伊”通过把消息发送到攻击者选择的 IRC 通道来进行注册。这些注册消息通常标明已成为“zombie”的计算机的 IP 地址，很可能包括一些有用信息，如 zombie 与预选择目标间的表面带宽。

一台计算机一旦被感染后，通常会保持在这一状态。依靠“特洛伊”，它会主动尝试伪装自己（与近来的“红色代码”变种一样，“红色代码”变种可将第二个假的 explorer.exe 添加到感染的计算机上），或者利用用户的麻痹大意而藏匿不露。无论何时，只要攻击者愿意，他就可以向一个或所有受感染的 zombie 计算机发送一个触发指令，该指令将告知“特洛伊”发送大量数据包来攻击一个指定的目标。“特洛伊”还可能试图扩展自己，许多“特洛伊”都可以为攻击者提供对受攻击计算机的直接远程控制。

如何保护自己

对付 DDoS 的攻击很难。实际上有两个独立的问题：让您的网络保持不受其他网络的攻击，强化您的计算机，以便不在攻击中受到威胁并被利用。

第一步是保护自己的网络免受攻击。做到这点很困难，因为任何网络都容易因貌似合法的通信量涌入而超载。打开入站筛选（如在 RFC 2267 中说明的）将帮助您滤除垃圾数据包。另外，有大量的 Windows NT/2000 TCP/IP 协议栈设置，可调整这些设置以应对常见的攻击。下面是具体的操作：

1. 访问 Microsoft 的安全公告站点。下载所有尚未安装的合适的修补程序。请现在就去下载，然后回来阅读随后的内容。（在该站点中时，请注册以便自动获得公告。）
   
2. 配置防火墙，阻止任何实际不需要的端口上（或者，最好忽略）的通信量。如果不知道应为特定服务打开哪些端口，请参阅 Microsoft Knowledge Base (KB) 文章 Q150543。
   
3. 查看 TCP/IP 强化设置，具体方法请参阅“针对网络攻击的安全考虑”。将它们应用到所有直接与 Internet 相连的服务器。

不幸的是，因为攻击者不断改变他们的伎俩，保护计算机免受攻击是件困难的事。相比之下，避免计算机成为“zombie”并在 DDoS 攻击中推波助澜则较为简单。现在可以采取一些简单步骤来达到这一目的：

保护计算机免受威胁。首先，若计算机没有“特洛伊”，它们就不会作为 DDoS 的参与者发挥作用。




1. 应小心从事。请不要运行从未知或可疑来源获得的附件。注意那些从（或者宣称为从）成人站点、在线游戏以及此类站点获得的程序。如果正运行 Windows 2000 或者 Windows XP，千万不要使用 Administrator 帐户，或者任何有类似特权的帐户执行日常任务。感染“特洛伊”当然糟糕，但是更糟糕的是“特洛伊”以管理特权运行。
   
2. 应防患未然。让计算机远离“特洛伊”的一个有效的方法是部署 _MSPSS_gn_SRCH&SPR=OL2002">Outlook E-mail Security Update （已内置于 Outlook 2002，或者作为一个下载文件用于Outlook 2000/98）。该升级文件能控制使用 Outlook 发送与打开的附件类型。


1. 使用操作系统的安全措施。对于 Windows 2000 和 Windows XP，确保启用了系统文件检查 (SFC)。如果使用 Windows XP，应确保已启用 Internet 连接防火墙 (ICF)。在默认情况下，该选项是关闭的，打开该选项能大大增强连接到 Internet 的 XP 计算机的防御能力。ICF 还提供了一定级别的出站筛选。
   
2. 限制连接性。如果您具有直接连接到 Internet 的计算机，应配置路由器和防火墙限制其连接性。例如，在典型的客户端计算机上，您可能仅允许少量选定端口（HTTP、SMTP、FTP、IMAP、和 POP）上的通信量从这些计算机通过防火墙出去。
   
3. 使用杀毒软件。当新的“特洛伊”出现时，主要的杀毒软件供应商都能够立即发布产品升级更新。勤使用这些工具将有助于保持计算机的健康，特别地，如果在执行新文件之前能使用它们扫描这些文件，会更有好处。
   
4. 在个人计算机上使用个人防火墙。可以找到许多优秀的“个人防火墙”。Windows XP 中包括 ICF，而且其他供应商，如 ZoneAlarm 和 Symantec 等，为其它 Windows 版本设计防火墙。这些程序筛选入站与出站通信量，并在发生特殊事件时发出警报。例如，ZoneAlarm 将在计算机上的应用程序每次试图打开出站 TCP/IP 连接时都发出警告。通过注意这些警告，可以很快将无害通信量（例如，从 Internet Explorer 发出的 HTTP 请求）与可疑通信量（例如，自称从 winword.exe 产生的 IRC 通信量）区别开来。
   
5. 启用出站筛选。P.T. Barnum 曾挂出“这里是出口”的方向指示标志来戏耍观看其马戏团演出的观众，并因此名声大噪，而您，如果知道了出站筛选是一种控制哪些数据包可以从网络外出的方法时，就会明白它为什么有用。一般说来，出站筛选使路由器禁止转发任何实际源地址与真实地址不符的数据包。DDoS 攻击通常要假冒攻击数据包的原始地址；如果打开出站筛选，则网络不再将这些数据包转发到其他地方。
   

   多加注意。这听起来像是老生常谈，但确实有重申的必要，因为并不是每个人都能做到应有的勤勉。为保持安全，您需要：
   

   
   
   1. 留意网络通信量。这对于家庭用户和小型网络尤为重要，在这些环境中您对“正常”的出站通信量是什么样子已经有了一定的认识。如果您的电缆调制解调器正常情况下每分钟都会闪烁几次，但忽然有一天“传输”指示灯突然亮起来而且不熄灭，这就是一个表明发生了不正常事件的信号。
      
   2. 关注新闻。我不是在谈论 CNN，但是经常访问 http://www.microsoft.com/security，即 Computer Emergency Response Team（计算机紧急事件响应组）(CERT) 网站，以及诸如 ntbugtraq.com 等之类的网站，将帮助您了解最新的病毒与对策。
      
   3. 不要闻警则喜。使用像 ZoneAlarm 等之类的工具时，很容易对它产生的警告消息上瘾，而竟至于在询问是否允许程序 X 访问 Internet 时，稀里糊涂地就点击了“确定”。不要自满！