第三章網絡安全威脅11TCPIP經典威脅1.1ARP欺騙1.2RIP源路由欺騙1.3TCP欺騙1.4WEB欺騙2ARP欺騙防范措施：可利用一些工具（如ARPWatch）來監視局域網內所有的MAC地址和IP地址的映射對，一旦有改變，將產生告警或日志。3IP源路由欺騙IP報文首部的可選項中有“源站選路”,可以指定到達目的站點的路由。正常情況下,目的主機如果有應答或其他信息返回源站,就可以直接將該路由反向運用作為應答的回復路徑。4條件主機A(假設IP地址是1)是主機B的被信任主機主機X想冒充主機A從主機B（假設IP為）獲得某些服務攻擊過程攻擊者修改距離X最近的路由器G2，使得到達此路由器且包含目的地址的數據包以主機X所在的網絡為目的地攻擊者X利用IP欺騙（把數據包的源地址改為1）向主機B發送帶有源路由選項(指定最近的路由器G2)的數據包。當B回送數據包時，按收到數據包的源路由選項反轉使用源路由，就傳送到被更改過的路由器G2。由于G2路由表已被修改，收到B的數據包時，G2根據路由表把數據包發送到X所在網絡，X可在其局域網內較方便的進行偵聽，收取此數據包。5TCP欺騙基本流程：步驟一，攻擊者X要確定目標主機A的被信任主機B不在工作狀態，若其在工作狀態，也可使用SYNflooding等攻擊手段使其處于拒絕服務狀態。步驟二，攻擊者X偽造數據包：B->A:SYN(ISNC)，源IP地址使用B，初始序列號ISN為C，給目標主機發送TCP的SYN包請求建立連接。步驟三，目標主機回應數據包：A->B:SYN(ISNS),ACK(ISNC)，初始序列號為S，確認序號為C。由于B處于拒絕服務狀態，不會發出響應包。攻擊者X使用嗅探器捕獲TCP報文段，得到初始序列號S。步驟四，攻擊者X偽造數據包：B->A:ACK(ISNS)，完成三次握手建立TCP連接。步驟五，攻擊者X一直使用B的IP地址與A進行通信。6盲攻擊與非盲攻擊：非盲攻擊：攻擊者和被欺騙的目的主機在同一個網絡上，攻擊者可以簡單地使用協議分析器（嗅探器）捕獲TCP報文段，從而獲得需要的序列號。見上述流程。

盲攻擊：由于攻擊者和被欺騙的目標主機不在同一個網絡上，攻擊者無法使用嗅探器捕獲TCP報文段。其攻擊步驟與非盲攻擊幾乎相同，只不過在步驟三無法使用嗅探器，可以使用TCP初始序列號預測技術得到初始序列號。在步驟五，攻擊者X可以發送第一個數據包，但收不到A的響應包，較難實現交互。7Unicode輸入驗證攻擊Unicode：統一的字符編碼標準，采用雙字節對字符進行編碼。當微軟IIS4.0／5.0（遠東地區版本）在處理包含有不完整的雙字節編碼字符的HTTP命令請求時，會導致Web目錄下的文件內容被泄漏給遠程攻擊者。利用這種IIS的漏洞，攻擊者就可以通過這些特殊字符繞過IIS的目錄審計遠程執行任意命令。8一般實例：http://server/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\http://server/index.asp/..%c1%1c../..%c1%1c../winnt/win.ini

注意：以上“+”代表空格。9黑網頁實例C:>idahack<Host><HostPort><HostType><ShellPort>C:>nc<Host><ShellPort>進入網頁所在目錄C:>echo內容>網頁文件名102典型系統安全威脅2.1緩沖區溢出概述2.2緩沖區溢出原理2.3緩沖區溢出防范112.1SQL注入攻擊問題簡介用用戶的輸入創建一個動態的SQL請求有可能讓攻擊者控制SQL語句的意思。12

Example1:下面的C#代碼動態的創建SQL語句查詢屬于當前使用者的物品的名稱。 ... stringuserName=ctx.getAuthenticatedUserName(); stringquery="SELECT*FROMitemsWHEREowner='" +userName+"'ANDitemname='" +ItemName.Text+"'"; sda=newSqlDataAdapter(query,conn); DataTabledt=newDataTable(); sda.Fill(dt); ...13查詢語句預期被寫為 SELECT*FROMitems WHEREowner= ANDitemname=;但是如果攻擊者輸入"name'OR'a'='a"，SQL語句就會變成 SELECT*FROMitems WHEREowner='wiley' ANDitemname='name'OR'a'='a';于是可以簡化成 SELECT*FROMitems;這樣攻擊者就可以查詢到不屬于當前用戶下的items了，而是查詢到所有用戶的items。14

Example2:如果用戶輸入"name';DELETEFROMitems;--"SQL語句變為： SELECT*FROMitems WHEREowner='hacker' ANDitemname='name'; DELETEFROMitems; --'152.2緩沖區溢出非常普遍、非常危險后果：程序運行失敗系統關機、重新啟動執行非授權指令，取得系統特權概括：對可用性、完整性和機密性的攻擊淵源：MorrisWorm1988針對fingerdCERT/CC（計算機緊急事件響應組/協調中心）ComputerEmergencyResponseTeam/CoordinationCenter16緩沖區溢出的根本原因來自C語言（以及其后代C++）本質的不安全性：·

沒有邊界來檢查數組和指針的引用；·

標準C庫中還存在許多非安全字符串操作，如strcpy()、sprintf()、gets()等。為了說明這個問題還必須看一看程序的內存映像。任何一個源程序通常都包括代碼段和數據段，這些代碼和數據本身都是靜態的。為了運行程序，首先要由操作系統負責為其創建進程，并在進程的虛擬地址空間中為其代碼段和數據段建立映射。但是，光有靜態的代碼段和數據段是不夠的，進程在運行過程中還要有其動態環境。一般說來，默認的動態存儲環境通過堆棧（簡稱棧）機制建立。所有局部變量以及所有按值傳遞的函數參數都通過堆棧機制自動地進行內存空間的分配。分配同一數據類型相鄰塊的內存區域稱為緩沖區。圖2.6為Linux下進程的地址空間布局。當然，C語言還允許程序員使用堆機制創建存儲器，存儲使用malloc()獲得的數據。不過，這與本節討論的問題無關。

緩沖區溢出原理17從邏輯上講進程的堆棧是由多個堆棧幀構成的，其中每個堆棧幀都對應一個函數調用。當函數調用發生時，新的堆棧幀被壓入堆棧；當函數返回時，相應的堆棧幀從堆棧中彈出。盡管堆棧幀結構的引入為在高級語言中實現函數或過程這樣的概念提供了直接的硬件支持，但是由于將函數返回地址這樣的重要數據保存在程序員可見的堆棧中。當程序寫入超過緩沖區的邊界時，這就是所謂的“緩沖區溢出”。發生緩沖區溢出時，就會覆蓋下一個相鄰的內存塊，導致一些不可預料的結果：也許程序可以繼續，也許程序的執行出現奇怪現象，也許程序完全失敗。18下面的程序是一個緩沖溢出的實例。例2.3.1#include<stdio.h>intmain(){ charname[5]; printf(“Pleaseinputyourname:”); gets(name); printf(“youare%s”,name);}

運行這個程序可以發現，當輸入的字符數少時，程序運行正常；當輸入的字符數太多時（超過8），程序就不能正常結束。這就是緩沖區溢出所造成。

19典型的堆棧幀結構如圖2.7所示。堆棧中存放的是與每個函數對應的堆棧幀。當函數調用發生時，新的堆棧幀被壓入堆棧；當函數返回時，相應的堆棧幀從堆棧中彈出。

圖2.7典型的堆棧幀結構

20堆棧幀的頂部為函數的實參，下面是函數的返回地址以及前一個堆棧幀的指針，最下面是分配給函數的局部變量使用的空間。一個堆棧幀通常都有兩個指針，其中一個稱為堆棧幀指針，另一個稱為棧頂指針。前者所指向的位置是固定的，而后者所指向的位置在函數的運行過程中可變。因此，在函數中訪問實參和局部變量時都是以堆棧幀指針為基址，再加上一個偏移。由圖2.7可知，實參的偏移為正，局部變量的偏移為負。當發生數據棧溢出時，多余的內容就會越過棧底，覆蓋棧底后面的內容。通常，與棧底相鄰的內存空間中存放著程序返回地址。因此，數據棧的溢出，會覆蓋程序的返回地址，從而造成如下局面：要么程序會取到一個錯誤地址，要么將因程序無權訪問該地址而產生一個錯誤。鑒此，C語言把這一艱巨任務交給了開發人員，要求他們進行邊界檢查，編寫安全的程序。然而這一要求往往被人們忽視，從而給黑客有機可乘。

21（1）安裝安全補丁。（2）編寫安全的代碼：緩沖區溢出攻擊的根源在于編寫程序的機制。因此，防范緩沖區溢出漏洞首先應該確保在Linux系統上運行的程序（包括系統軟件和應用軟件）代碼的正確性，避免程序中有不檢查變量、緩沖區大小及邊界等情況存在。比如，使用grep工具搜索源代碼中容易產生漏洞的庫調用，檢測變量的大小、數組的邊界、對指針變量進行保護，以及使用具有邊界、大小檢測功能的C編譯器等。

緩沖區溢出防范22（3）基于一定的安全策略設置系統：攻擊者攻擊某一個Linux系統，必須事先通過某些途徑對要攻擊的系統做必要的了解，如版本信息等，然后再利用系統的某些設置直接或間接地獲取控制權。因此，防范緩沖區溢出攻擊就要對系統設置實施有效的安全策略。這些策略種類很多，下面只列舉幾個典型措施。·

在裝有Telnet服務的情況下，通過手工改寫“/etc/inetd.conf”文件中的Telnet設置，使得遠程登錄的用戶無法看到系統的提示信息。具體方法是將Telnet設置改寫為：telnetstreamtcpnowaitroot/usr/sbin/tcpd/in.telnetd-h末尾加上“-h”參數可以讓守護進程不顯示任何系統信息，只顯示登錄提示。·

改寫“rc.local”文件。默認情況下，當登錄Linux系統時系統運行rc.local文件，顯示該Linux發行版本的名字、版本號、內核版本和服務器名稱等信息，這使得大量系統信息被泄露。將“rc.local”文件中顯示這些信息的代碼注釋掉，可以使系統不顯示這些信息。

23一種方法是在顯示這些信息的代碼行前加“#”：…#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue##echo>>/etc/issue…另一種方法是將保存有系統信息的文件/etc/和issue刪除。這兩個文件分別用于在遠程登錄和本地登錄時向用戶提供相關信息。刪除這兩個文件的同時，仍需要完成方法一中的注釋工作，否則，系統在啟動時將會自動重新生成這兩個文件。

·

禁止提供finger服務。使用finger命令可以顯示本地或遠程系統中目前已登錄用戶的詳細信息。禁止提供finger服務的有效方法是，通過修改該文件屬性、權限，使得只有root用戶才可以執行該命令。·

處理“inetd.conf”文件。該程序通過“/etc/inetd.conf”文件獲得inetd在監聽哪些網絡端口，為每個端口啟動哪些特定服務等信息，會泄露大量的敏感信息。

24（4）保護堆棧·

加入函數建立和銷毀代碼。前者在函數返回地址后增加一些附加字節，返回時要檢查這些字節有無被改動。·

使堆棧不可執行——非執行緩沖區技術，使入侵者無法利用緩沖區溢出漏洞。

253計算機木馬3.1計算機木馬概述3.2計算機木馬原理3.3計算機木馬防御3.4流行木馬簡介263.1計算機木馬概述木馬（Trojanhorse）是一種基于遠程控制的黑客工具，具有：隱蔽性、潛伏性、危害性、非授權性。木馬與病毒、遠程控制的區別病毒程序是以自發性的敗壞為目的木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數據、個人隱私等行為。隱蔽、非授權性27木馬的發展（1）第一代一般主要表現木馬的欺騙性,比如在Unix系統上表現的是假Login誘騙、假su誘騙，在Windows上則是BO，Netspy等木馬；第二代木馬，在隱藏、自啟動和操縱服務器等技術上有了很大的發展，比如冰河、廣外女生等；28木馬的發展（2）第三代木馬在隱藏、自啟動和數據傳遞技術上則有了根本性的進步，以前的木馬主要靠UDP協議傳輸數據,但在第三代木馬中出現了靠ICMP協議傳遞數據；第四代木馬在進程隱藏方面，則做了更大的改動——采用改寫和替換系統文件的做法，修改操作系統內核,在UNIX內它偽裝成系統守護進程,而在WINDOWS內它則偽裝成DLL動態連接庫,這樣一來使木馬幾乎和操作系統結合在一起，從而使現有的殺毒軟件幾乎無能為力,極好地達到了隱藏的目的29木馬的發展（3）發展趨勢跨平臺性模塊化設計能夠自我復制即時通知30發現木馬的方法系統的異常情況打開文件，沒有任何反應

查看打開的端口檢查注冊表查看進程31木馬實施攻擊的步驟1.配置木馬木馬偽裝：信息反饋：2.傳播木馬3.啟動木馬4.建立連接5.遠程控制323.2計算機木馬原理實際就是一個C/S模式的程序（里應外合）操作系統被植入木馬的PC（server程序）TCP/IP協議端口被植入木馬的PC（client程序）操作系統TCP/IP協議端口控制端端口處于監聽狀態33木馬文件的隱藏與偽裝（1）文件的位置（2）文件的屬性（3）捆綁到其他文件上（4）文件的名字（5）文件的的擴展名（6）文件的圖標34木馬運行中的隱藏與偽裝（1）在任務欄里隱藏（2）在任務管理器里隱藏（3）隱藏端口35木馬啟動方式win.inisystem.ini啟動組注冊表捆綁方式啟動:偽裝在普通文件中設置在超級連接中36木馬傳播方式（主動與被動）：主動植入通過E－mail文件下載瀏覽網頁373.3計算機木馬防御

發現木馬：檢查系統文件、注冊表、端口不要輕易使用來歷不明的軟件不熟悉的E-MAIL不打開常用殺毒軟件并及時升級查在安裝新的軟件之前，請先備份注冊表在安裝完軟件以后，立即用殺毒軟件查殺Windows文件夾和所安裝的軟件的所在文件夾。如果殺毒軟件報告有病毒，這時請將它殺掉，殺毒完成后，重新啟動計算機383.4流行木馬簡介冰河backorificeSubseven網絡公牛(Netbull)網絡神偷(Nethief)廣外女生Netspy(網絡精靈)（見脫機資料）394拒絕服務攻擊4.1拒絕服務攻擊實例4.2分布式拒絕服務攻擊4.3一次DDoS攻擊過程4.4計算機蠕蟲404.1拒絕服務攻擊實例PingofDeathJolt2Land41PingofDeath原理：攻擊者：發送長度超過65535的ICMPEchoRequest的碎片分組，目標機：重組分片時會造成事先分配的65535字節緩沖區溢出，導致TCP/IP堆棧崩潰防御：Win98之后的系統都能夠應對超大尺寸的包配置防火墻阻斷ICMP以及任何未知協議分組42Jolt2

原理：發送大量相同的碎片化IP分組分片標志位MF被置為0偏移量為65520IP分組大小為29字節IPID為1109（IDS檢測特征）防御：Windows系統必須安裝最新的補丁在網絡邊界上禁止碎片包通過，或者限制其包速率必須確保防火墻重組碎片的算法沒有問題計算總長度：20+65520+9=65549>6553543Land

原理：發送一個特別定制的SYN分組源地址和目的地址都設為目標機地址源端口號和目的端口號相同防御：為操作系統安裝最新的補丁配置防火墻，過濾從外部接口進入的、含有內部源地址的分組44SYNFlooding原理：TCP連接的三次握手和半開連接攻擊者：發送大量偽造的TCP連接請求方法1：偽裝成當時不在線的IP地址發動攻擊方法2：在主機或路由器上阻截目標機的SYN/ACK分組目標機：堆棧溢出崩潰或無法處理正常請求防御：縮短SYNTimeout時間（設置為20秒以下）設置SYNCookie缺陷：依賴于對方使用真實的IP地址設置路由器和防火墻,在給定的時間內只允許數量有限的半開TCP連接發往主機給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續收到某IP的重復SYN報文，就認定受到了攻擊，從此IP地址來的后繼包被丟棄。45客戶端服務器端客戶端服務器端正常過程半開連接SYNSYN/ACKACKSYNSYN/ACKSYN/ACKSYNTimeoutSYNFlooding之TCP三次握手46....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待應答SYN/ACK.........47分布式拒絕服務（DistributedDenialofService，DDoS）攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在Internet上的許多計算機上。代理程序收到指令時就發動攻擊。利用C/S技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

4.2分布式拒絕服務攻擊48一個將目的地址設置成廣播地址（以太網地址為FF:FF:FF:FF:FF:FF:FF）后的數據包，將會被網絡中所有主機接收并處理。顯然，如果攻擊者假冒目標主機的地址發出廣播信息，則所有主機都會向目標主機回復一個應答使目標主機淹沒在大量信息中，無法提供新的服務。這兩個攻擊就是利用廣播地址的這一特點將攻擊放大而實施的拒絕服務攻擊。其中，Smurf是用廣播地址發送ICMPECHO包，而Fraggle是用廣播地址發送UDP包。Smurf49顯然，smurf為了能工作，必須要找到攻擊平臺，這個平臺就是：其路由器上啟動了IP廣播功能——允許smurf發送一個偽造的ping信息包，然后將它傳播到整個計算機網絡中。另一方面，為防止系統成為smurf攻擊的平臺，要將所有路由器上IP的廣播功能都禁止（一般來講，IP廣播功能并不需要）。但是，攻擊者若從LAN內部發動一個smurf攻擊，在這種情況下，禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊，許多操作系統都提供了相應設置，防止計算機對IP廣播請求做出響應。挫敗一個smurf攻擊的最簡單方法就是，對邊界路由器的回音應答(echoreply)信息包進行過濾，然后丟棄它們，使網絡避免被淹沒。50目標機攻擊者放大器放大器源地址：目標機目的地址：廣播地址（放大器網絡）Smurf之放大器51圖2.15DDoS的一般原理

DDoS的一般原理52一個比較完善的DDoS攻擊體系分成4部分：·攻擊者所在機·控制機（用來控制傀儡機）·傀儡機·受害者。對受害者的攻擊是從擊傀儡機上發出的，控制機只發布命令而不參與實際的攻擊。trinooDDoS攻擊的基本過程是：攻擊者連接到安裝了master程序的計算機，啟動master程序，然后根據一個IP地址的列表，由master程序負責啟動所有的代理程序。接著，代理程序用UDP信息包沖擊網絡，攻擊目標。在攻擊之前，侵入者為了安裝軟件，已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。DDoS就是利用更多的傀儡機來發起進攻，以更大的規模來進攻受害者。

532.DDoS系統的一般結構在更一般的情況下，DDoS可能使用多臺控制機，形成圖2.16所示的結構。

圖2.16DDoS攻擊原理

541)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機目標系統2)攻擊者進入其已經發現的最弱的客戶主機之內(“肉機”)，并且秘密地安置一個其可遠程控制的代理程序(端口監督程序demon)。攻擊準備：安置代理代理程序DDoS攻擊時序55

3)攻擊者使他的全部代理程序同時發送由殘缺的數字包構成的連接請求送至目標系統。攻擊者目標系統發起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內的大量殘缺的數字包攻擊目標系統，最終將導致它因通信淤塞而崩潰。虛假的連接請求56DDoS工具TFN2K

TFN2K由客戶端和守護程序兩部分組成。其中，客戶端運行在主控端計算機上，是用于發動攻擊的應用程序，攻擊者通過它來發送各種命令；守護程序運行在代理端計算機上，是一個用于接收和響應來自主控端（即客戶端）命令的進程57TF2K特征主控端和代理端之間的信息通訊都是經過加密可以用多種拒絕服務攻擊方法對受害者發起攻擊，比如說SYN洪水攻擊、Ping洪水攻擊、Smurf攻擊等TFN2K守護程序的進程名是在編譯時指定的，因此在不同的代理端計算機上，TFN2K守護進程的名字都有可能不同58攻擊來自路由器的數據包源地址為攻擊目標的IP攻擊者網站網站遭到攻擊的原理圖路由器路由器59攻擊者向一些正常的網絡路由器發送帶有連接請求的SYN數據包，這些數據包都帶有一個相同的虛假IP地址，而且這個虛假的IP地址就是攻擊目標的。網絡路由器接收這個請求連接的數據包，并做出應答，向網站發送應答數據包，作為建立TCP連接三次握手過程中的第二步。這些路由器不會向攻擊者發送應答數據包。60DDoS攻擊的防御策略DDoS攻擊的隱蔽性極強，迄今為止人們還沒有找到對DDoS攻擊行之有效的解決方法。所以加強安全防范意識、提高網絡系統的安全性，還是當前最為有效的辦法。可采取的安全防御措施有以下幾種：（1）及早發現系統存在的攻擊漏洞，及時安裝系統補丁程序。對一些重要的信息（例如系統配置信息）建立和完善備份機制。對一些特權帳號（例如管理員帳號）的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。（2）在網絡管理方面，要經常檢查系統的物理環境，禁止那些不必要的網絡服務。建立邊界安全界限，確保輸出的包受到正確限制。經常檢測系統配置信息，并注意查看每天的安全日志。61這里用“組織”這個詞，是因為DDoS并不象入侵一臺主機那樣簡單。一般來說，黑客進行DDoS攻擊時會經過如下幾個步驟。（1）搜集了解目標的情況下列情況是黑客非常關心的情報：

·

被攻擊目標主機數目、地址情況

·

目標主機的配置、性能

·

目標的帶寬

4.3一次DDoS攻擊過程62對于DDoS攻擊者來說，攻擊互聯網上的某個站點，如http://www.WWWW.com，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網站可能有很多臺主機利用負載均衡技術提供同一個網站的www服務。以yahoo為例，一般會有下列地址都是提供http://www.WWW.com服務的：

7 8 90 1 34 6對一個網站實施DDoS攻擊，就要讓這個網站中所有IP地址的機器都癱掉。所以事先搜集情報對DDoS攻擊者來說是非常重要的，這關系到使用多少臺傀儡機才能達到效果的問題。

63（2）占領傀儡機黑客最感興趣的是有下列情況的主機：

·

鏈路狀態好的主機

·

性能好的主機

·

安全管理水平差的主機首先，黑客做的工作一般是掃描，隨機地或者是有針對性地利用掃描器去發現網絡上那些有漏洞的機器，象程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結果。隨后就是嘗試入侵了。黑客在占領了一臺傀儡機后，除了要進行留后門、擦腳印這些基本工作之外，還要把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機上，會有一個DDoS的發包程序，黑客就是利用它來向受害目標發送惡意攻擊包的。

64（3）實際攻擊前面的準備做得好的話，實際攻擊過程反而是比較簡單的。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發送大量的數據包，導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊。高明的攻擊者還要一邊攻擊一邊用各種手段來監視攻擊的效果，以便需要的時候進行一些調整。簡單些的辦法就是開個窗口不斷地ping目標主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。

654.DDoS的監測現在網上DDoS攻擊日益增多，只有及時檢測，及早發現自己受到攻擊才能避免遭受慘重的損失。檢測DDoS攻擊的主要方法有以下幾種：（1）根據異常情況分析異常情況包括：·

網絡的通訊量突然急劇增長，超過平常的極限值時；·

網站的某一特定服務總是失敗；·

發現有特大型的ICMP和UDP數據包通過或數據包內容可疑。66（2）使用DDoS檢測工具掃描系統漏洞是攻擊者最常進行的攻擊準備。目前市面上的一些網絡入侵檢測系統，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發現攻擊者植入系統