DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的
黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事
情。下面我们来分析一下这些常用的黑客程序。以下程序在中安网培的软件区可以下载（hackervip.com/
soft） 

　　　　1、Trinoo 

　　　　Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能
力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不
做假，采用的通讯端口是： 

　　　　攻击者主机到主控端主机：27665/TCP 

　　　　主控端主机到代理端主机：27444/UDP 

　　　　代理端主机到主服务器主机：31335/UDP 

　　　　2、TFN 

　　　　TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸
弹和SMURF，具有伪造数据包的能力。 

　　　　3、TFN2K 

　　　　TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的
网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mi
x和Targa3。并且TFN2K可配置的代理端进程端口。 

　　　　4、Stacheldraht 

　　　　Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通
讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，
可以自动下载并安装最新的代理程序。 

　　 以上几款虽然现在功能上不是很实用，但是都是比较经典的DDOS攻击程序。 

　　四、DDoS的监测 

　　　　现在网上采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重
的损失。 

　　　　检测DDoS攻击的主要方法有以下几种： 

　　　　1、根据异常情况分析 

　　　　当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的
某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留
神。总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。 

　　　　2、使用DDoS检测工具 

　　　　当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜
绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。 

　　五、DDoS攻击的防御策略 

　　　　由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我
们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种： 

　　　　1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建
立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者
的可乘之机降低到最小。 

　　　　2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确
保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。 

　　　　3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可
能的伪造数据包。 

　　　　4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽
总量的限制。 

　　　　5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及
时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。 

　　　　6、当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端和代理端时，你不能因为你
的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。所以一旦发
现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。 

　　接下来，我们讲一下攻击实战． 

六、DDoS攻击工具实战　　 

　　DDOS攻击在技术上而言是很不容易被人所掌握的，但是现在出现的一系列的攻击工具使新手们很容易的就可
以发起这种攻击，我们利用一个简单的DDOS攻击工具来讲解一下。　　 

　　首先我们需要了解的就攻击质量。傀儡机说的是被我们控制了的网络服务器。这种宽带一般在10MB以上的速
率。一台傀儡机可以对付56K—640K ADSL；两台傀儡机可以对付2M，依此类推。 

　　1.认识Autocrat (独裁者DDoS攻击器) 

　　Autocrat是一款基于TCP/IP协议的DDoS分布式拒绝服务攻击工具，它运用远程控制方式让您轻松联合多台
服务器进行DDoS攻击。 

　　下载回来的Autocrat包括4个文件： 

　　Server.exe —— 服务器端，这个不要在自己机器运行。 

　　Client.exe —— 控制端，就用它操作Autocrat了 

　　Mswinsck.ocx —— 控制端需要的网络接口　　 

　　Richtx32.ocx —— 控制端需要的文本框控件 

　　

　　 

　　有些朋友会感到无从下手，其实你要做的就是右边那些命令按钮而已，左边的列表是Client能控制的所有主
机，Client会自动读取左边列表的，无需用户干涉。 

　　1.添加主机 

　　你可以用Autocrat的扫描功能扫，但是目前这种方法无疑于大海捞针。 所以我们最好还是自己动手安装Ser
ver。首先在对方计算机运行server端。 

　　点击“添加”按钮，输入对方IP即可 

　　 

　　2.检查Server状态 

　　发动攻击 前， 为了保证Server的有效，我们最好对它来次握手应答过程，把没用的Server踢出去，点击
“检查状态”按钮，Client会对IP列表来次扫描检查，最后会生成一个报告，

3.清理无效主机 

　　点“切换”按钮进入无效主机列表，用“清理主机”按钮把无效的废机踢出去，再按一次“切换”转回主机列
表 

　　4.检查文件 

　　别忘了wsock32s/l/p.dll这三个DLL，它们是攻击的关键，用“检查文件”按钮查看文件状态，如果发现文
件没了，你可就要注意了，可以用extract命令释放文件 

　　5.攻击 

　　好，经过前面的检测，我们现在可以发动攻击了。 

　　SYN攻击：源可以随便输入，目标IP填你要攻击的IP或域名，源端口1—65535选择你要攻击的一个，目标
端口：80–攻击HTTP，21–攻击FTP，23–攻击Telnet，25/110–攻击E-MAIL。　　 

　　LAND攻击：填目标IP和目标端口即可（同SYN） 　　 

　　FakePing攻击：源IP随便填，目标IP填你要攻击的IP，接下来就会有大量ICMP数据阻塞他的网络。 

　　狂怒之Ping攻击：直接填目标IP即可，原理同FakePing 

6.停止 

　　攻击以后点“停止攻击”即可，不要太长时间用傀儡机发送大量的攻击数据，这样会使傀儡机和对方的网络堵
塞。 

　　7.手工命令 

　　如果你只想控制一台肉鸡，就在IP列表上你想控制的肉鸡IP上点一下，然后在“手工命令”后面选“单
独”，现在： 　　 

　　stop — 停止 

　　helo ID — 状态检查 

　　syn [ip] [port] [ip] [port] — SYN攻击 

　　land [ip] [port] — LAND攻击 

　　fakeping [ip] [ip] — FakePing攻击 

　　angryping [ip] — 狂怒之Ping 

　　extract — 释放文件 

　　8.信使服务 

　　可以利用windows的信使功能向傀儡机发送信息。 

　　9.HTTP控制 

　　这个方法最简单，直接在IE里输入http://ip:8535 /就可以，直接用Server攻击，不用Client也可以进行攻
击。 

　　独裁者DDoS攻击器控制大量Server进行DDoS的工具，支持4种攻击方法：SYN、LAND、FakePing、狂
怒之Ping，危险程度高，慎用。 

　　程序分为Client和Server，Server在肉鸡上执行后会自动安装为NT服务程序并删除自身，以后将会采用NT 
Service方式在肉鸡上作为木马运行，可以Telnet/HTTP控制，方法：直接在IE输入 http://ip:8535 /即可。 

　　Server端自动兼容系统环境，在98/Me/2000/XP都能安装，98/Me下能发起狂怒之Ping攻击，2000/XP