您现在的位置: 
包欺骗和原始套接:
原始套接和普通套接很相似,除非你想控制发送更高质量的包(这句真是感谢cnbird的提示)。在普通的套接字你可以提供目的地址和要发送的信息,但是在原始套接字中,你完全可以自己构造一个包含伪造的源地址和TTL(Time to Life)值的包。
Linux的所有版本都支持原始套接,然而却只有Windows 2000、XP和2003(Winsock Version 2)支持原始套接。这个世界还有哪个缺心眼的还在用Windows 9x?
所以如果你有个合适版本的Windows他将会支持原始套接,我想大家都对Steve Gibson aka略有所闻吧?那个喜欢胡说八道的人——我就这么称呼他的。我并不是想说更多关于Steve Gibson的事和他的胡说八道,但是那混蛋说:
脚本小子总喜欢利用Windows XP来发动DoS攻击,因为XP支持原始套接,这样脚本小子就可以用一些黑客工具来构造ip欺骗。
如果你读了这文章你就会大概了解,脚本小子的攻击并没有Steve这丫胡扯的那种效果,而且正象Steve胡诌的那样原始套接在Service Pack 2以后已经被禁止了。
你根本不用担心这些攻击者利用XP肉机给你发送欺骗包,因为SP2不支持原始套接,因此他们湖可能伪造IP(此时我觉得他们还没有找到解决SP2的这个糟糕问题的方法)。
然而,脚本小子知道了SP2禁止原始套接,所以明显他们是不会去下载它的。
原始套接也一直被在DDoS中使用,我相信拒绝服务傀儡软件的编写者会很快找到解决SP2禁止原始套接的办法。如果他们一直无法决绝这个问题,那么使用欺骗手段的攻击者很容易被逆向追踪(只要根据他发来的包就可以了)。
依靠原始套接你可以完全构造一个包,如下就是一个IP包头的图例:
这表我是从Black Sun Research Facility找来的,就先顶顶用用吧。
防止拒绝服务攻击:
保护您的电脑不成为肉机:
很多拒绝服务攻击者都是依仗大量的肉机来对web服务器发送攻击,我们可以大家都来帮忙,首先能做的就是保证自己的计算机不被做成肉机(不被安装傀儡软件或者是蠕虫感染)。
如果出现以下几种现象,那么很可能您的计算机已经成为了恶徒的帮凶:
1.检查您的电脑是否有很多6667端口的连接(这个端口是IRC使用的),并且您根本没有使用IRC客户端也没有在任何已知情况下访问IRC。您可以通过netstat –n来查看端口(命令将会反馈IP地址和端口号)。
2.您的反病毒程序(例如:杀毒软件)提示您已经被病毒感染,或者是提示你因为不明原因关闭了。这些都是被木马或者是DoS蠕虫感染的现象,也就是为什么你的反病毒程序会关闭了。
3.某时您的网络带宽突然占用很高,并且系统莫名其妙的变的慢了。
4.您的防火墙询问您是否允许一些不明程序访问网络,企图连接某个特定的域名,并且企图向它发送ICMP包。
5.您的防火墙提示您的windows资源管理器或者是其他的系统重要文件被劫持或者是被修改了,并且它们试图访问某个域名或者向这个域名发送ICMP包。
6.您的操作系统并没有持续更新到最近的安全补丁并且软件也版本陈旧,如果是这样您的计算机将会有更大的几率被蠕虫感染。这些傀儡终端(或者是DoS蠕虫)经常使用0day exploits,所以很有必要把您的操作系统和软件经常更新,最好给您的机器再添加一个防火墙。
7.您的计算机显示发起了数千个连接到其他的计算机,这种情况很可能是傀儡终端(或者是蠕虫)在连接某个远程受害者,想耗费掉他所有的连接请求以便让他拒绝服务。
防止您的机器成为反映射媒介:
分布式反映射拒绝服务(Distributed Reflected Denial of Service,DRDoS)是威力很大的,一些攻击者经常是使用100MB的带宽,通过借用中间主机反映射可以把攻击效果放大到数十吉(gigabytes,G),所以加入您是一个网络管理员,你应该尽最大的可能确保您的网络不会被利用来做反映射攻击。
有一个确保你的网络不会反映射包到其他的网络的好方法,就是设置您的网络只转发包到你自己网络上的计算机。你可以通过设置您的路由只转发包到特定的IP地址,比如您自己的网络内的站点IP上,当然您也可以设置转发到如下的IP地址:
程序代码: