极限编程-第42部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


ach的人都比较年轻——前面说过，年纪大的都改行不干这个了，所以终于有人忍不住巨大的挫折感，掏出个大炸弹，要和爬爬同归于尽了。

第八十九章　八百里分麾下炙（四）

Ddos攻击又叫潮水攻击，属于主动攻击中的一种比较著名的方法，这种攻击方法还可以再细分一下，但是主要的目地是瘫痪对方的服务器，使对方难以响应正常的网络连接。从这一点上看来，ddos其实属于一种很粗暴的攻击方式，损人是肯定的，利已就不一定了。其原理就相当于我在家里码字，门外总有人敲门，我问“谁啊”，门外的回答：“敲错了。”只要来的人够多，我就一个字都码不出来，问题是我听到敲门声后还不能不理，万一真来个收水费的以为我家没人把水停了就麻烦了。

网络联接也是一样，每一个联接请求到来的时候，服务器都不知道这个请求是不是正常的，只有建立联接后才可能判断出来，但是网络资源是有限的，即使服务端在判断出联接无效后立刻释放资源，这些资源也已经被占用了，当无效联接足够多的时候，正常的联接请求就得不到及时的响应，从而达到迟滞服务器响应的目的。

当年有一个音乐网站的网管利用僵尸网络攻击竞争对手的服务器，在媒体的渲染下竟然成了黑客中的高手，其实这种攻击是典型的以数量取胜，技术含量非常低，这人唯一的亮点就是暗中掌握了上万的僵尸。可是也正因为攻击手段非常简单，所以难以防范。尽管很多网络设备的广告都说其设备能够有效防范ddos攻击，但是事实上，当攻击规模超过服务器响应能力上限30％的时候，ddos攻击就能够成功，所以一次ddos攻击能否成功的关键其实就在于其发动时的数量。

TheCrack的人也算专业人士，当然明白ddos的关键，所以一出手就是上万的空联接，并发速度之快，让服务器上的流量监视器都一时没反应过来。

爬爬意识到发生阻塞攻击的时候，监视软件还没有发生警告。他刚才为了与对手斗法，正在不停的刷新服务器列表，他在服务器上是root组的成员，有优先响应权，这时突然发生网络延迟，他的第一个反应就是自己的ISP出问题了。

ISP就是为我们提供互联网接入服务的电信运营商，这里的电信不是提那个从原中国电信分拆出去的电信，而是泛指所有提供电信业务的商业机构，比如新电信、网通、新联通、移动等等，当然也有一些专营互联网接入的商家，但是国家规定互联网接入属于电信业务，所以只要干上这行，就自动算电信运营商了。这些年来，ISP的基础设备发生故障导致互联网接入服务大规模停滞的事件越来越多，无论是因为什么原因，互联网用户也只能被迫习惯，所以爬爬发现网络失去反应，立刻就吓了一跳，以为自己的ISP又掉线了。

对于爬爬这样的人，当然不用靠刷新浏览器来判断网络连接，他立刻发出ping指令，确定了自己还在网上，然后再ping《人世间》的服务器，一共花了大约一分钟的时间，就判断出服务器联接受阻，对方可能发动了ddos攻击，而这个时候，服务器的监视器仍然没有能够发出警告。

一般来说，网管对于ddos攻击都没有什么好办法，省事一点的干脆关机睡觉去，ddos攻击不是拍电影，没地方雇群众演员去，黑客手里掌握的僵尸电脑都是宝贵的，他们不可能一天到晚的折腾。但是爬爬不是专业网管，他比较有责任心，所以在随后得到的流量分析中判断出的确是ddos攻击后，他只是松了一口气，仍然坚持着查看流量分析。

有过在奔腾机上跑XP经历的人都知道，等待计算机反应的过程有多难熬，所以爬爬坚持了十几分钟后，正想放弃的时候，突然发现了其中的异常。

这个异常就是，他总能得到状态报告。

正常的理解，服务器被攻击的情况下，总是能够得到响应应该是一件值得庆幸的事，但是这种情况并不适用于ddos攻击下。Ddos攻击属于范围攻击，是以争用网络资源为手段的攻击方式，它本身并不检查数据包的有效性，既然如此，那么在ddos攻击模式下，任何合法指令都必须与海量的非法指令争用资源，在这种情况，其成功率应该是极低的，所以爬爬对于服务器的反应预期是很低的，现在得到的响应明显超出了他的预计。

如果一台服务器在ddos攻击下仍能保持反应，那么除了攻击方的攻击能力不足之外，再没有其它的理由，就算服务器技术再好，要阻塞所有的非常ip也是需要时间的，而且事实上，使用软件判断联接ip是否合法是一个复杂的过程，并不是多次空联接就肯定是恶意ip，万一人家网络不好，丢包比较严重呢？

有了刚才交手的经验，爬爬可不敢把希望寄托在对方的攻击能力不足上面，就算自己的服务器响应能力超强，人家也不是在给他做压力测试，到了峰值就算，完全可以跟据返回情况增加投入，这才是最重要的。

爬爬几乎立刻就想到对方并不是再使用ddos泄愤，很可能是为了迟滞自己的反应打烂仗，因为在服务器响应迟顿的时候，管理员就很难从服务器上得到及时的反应，多少能给黑客暗中下手提供一点帮助。

猜到了对方的意图，爬爬立刻明白自己一个人未必能应付对方的攻击了，所以立即发出了召集令。

第九十章　八百里分麾下炙（五）

丁飞羽赶回家打开机器的时候，爬爬已经在其他赶来支援的同伴们帮助下稳住了阵脚，TheCrack的人明知无望，最后算是全力发动了ddos攻击，整个华南区《人世间》用户一片哀鸿。对于这个效果，some他们也没有好办法，一般情况下，一场网络攻防战也就到此结束了，双方在其中各有精彩的表现，从战略层次上来说，TheCrack的攻击目地被彻底粉碎，刹羽而归。从战术的角度上来说，TheCrack撤退的时候顺手把《人世间》的服务器炸了，也算找回点面子，这件事打个比方，就是两个球队比赛，输的一方打完比赛后一生气就把对方的老板给揍了。

Some这些人都和丁飞羽一样，是《人世间》的管理组从网上招的，谁也没见过老板的面，网管的荣誉感是有的，对资方的责任感就没什么了，而且大家都是兼职，也没人指望能博得老板的欢心升个职什么的。

服务器被ddos迟滞，放到整个网络安全界都没什么好办法，some他们也不能逆天，所以到了这一步，应该说这次的战争可以结束了。但是对于some手下的这帮人来说，就有点放不下这口气了。前面说过爬爬的技术背景，其实安全组里面的人大多有和爬爬相似的背景，只是多少程度不同而已，在计算机界，网管与黑客，驱动与木马其实从本质上是没什么区别的，所以在职业网管眼中已经结束的战争，在他们眼中还不能算完——你把我们半夜三更的折腾上线，然后炸了我们的服务器就想跑啊？

所以在判断出对方的攻击结束后，Some立刻在im里发布命令，要求各地巫师检查本地僵尸。

Ddos攻击的一个前提条件就是并发联接数要够多，这一点用几台机器是模拟不出来的，单个机器的带宽有限，大量数据包的路由也是个问题，所以几乎所有ddos攻击的发起者都必须控制一定数量的僵尸电脑，这个僵尸电脑就是我们常说的中了木马的电脑，也有叫肉鸡的。

其实“木马”这个词来源于著名的特洛伊战争，放在电脑上特指所有经过伪装的非法软件，并不是所有中了木马的电脑就都变成了僵尸，僵尸电脑是指那些中了远程控制软件的电脑，这种电脑有一个特点，它必须开放一个端口，进行远程监听。这个道理很容易理解，就算你在对方公司里放了个位置重要的间谍，这个间谍接跟你联系不上也跟没有一样。一般来讲，在对方电脑里种木马并不容易，一个黑客并不能总是指望有人点击钩鱼网站或者运行安装程序，这里面还有很多社会工程学的应用，很重要的一点是，如果一个木马是通过某个页面进行传播的，那么当这个页面被发现后，通过它感染的用户可能有很大一部分产生警觉。这就要求希望获得僵尸的黑客经常变更自己的获得途径，所以总的来说，干什么都不容易。

所以当some等人发现对方发动纯ddos攻击后，做出的最直接的反应就是查找对方的僵尸网络构成，这些人有太多的途径可以让这些僵尸成为一次性消耗品，而如果一个黑客损失掉这么大数量的僵尸后，他至少在几个月的时间内都无法恢复ddos攻击能力。

丁飞羽赶上的就是这个命令，而事实上，这个命令是下给安全组的成员的，他这个代码组的人已经可以洗洗睡了。

因为thecrack的人已经停止了对服务器的攻击——不停止也没有办法，ddos攻击学名叫“分布式拒绝服务”，一旦发动，服务器对所有联接都会拒绝，可不管你是不是本次攻击的发动者。所以丁飞羽前些天熬夜写的监视软件跟本没用上，丁飞羽在外人面前虽然一直表示得很沉稳，骨子里还是个热血青年，不然也不会突然从达拉斯跑到中都来，这个距离就算用地球仪来表示还得画好大一个弦呢。

所以丁飞羽一声没吭，立刻开始追踪僵尸来源，some已经在im的聊天室里公布了一部分被拒绝的ip列表，大多数巫师都去追踪这个列表去了，丁飞羽并没有加入这个行列。《人世间》服务器采用的是很先进的ip监控式防ddos攻击方式，恶意联接一旦被判断出来，服务器将拒绝其后的所有再次联接，也就相当于这台电脑就此失去了攻击能力，thecrack能够发动长达半个小时的ddos攻击，而且还没有衰减的迹象，一方面说明其手中掌握的僵尸数量庞大，另一方面也很可能对方使用了ip欺骗的手法。

从tcp协议的实现上来说，ip欺骗是不可能存在的，因为一个tcp联接需要双方三次握手，如果一个数据包是以虚假地扯发出的，那么它的宿主机就得不到返回的握手信号，联接根本无法建立，但是对于ddos攻击来说，攻击目地是为了迟滞对方服务，并不在乎能不能建立联接，所以完全可以在某一级路由上面做手脚，让一台电脑代表其所在的整个网络，这个网络可能是任意一个级别的，D级或者C级，当然如果是A级，那就是灾难性的，估计刚刚发动，美国政府就该介入了，谁让他们的A级网络最多呢。

既然IP列表中的地址不可够，丁飞羽当然不愿意在那上面浪费时间，事实上，伪造的ip在高手眼中仍然有迹可查，不过丁飞羽的强项在于软件设计，这种需要大量网络安全经验的活他也干不了，还不如让some这些人去做呢，他还有另外的工作可以做，现在首先要做的，就是攻陷一个身边的路由器。

第九十一章　八百里分麾下炙（六）

提起路由器，很多人肯定会觉得非常神秘，其实从软件结构上来说，一台路由器就是一台计算机，也有操作系统，而且是固化在rom中的。所以从理论上来说，路由器也是应该定期升级打补丁的，不过很可惜，大多数网管是没有这个工作兴趣的，如果哪台路由器工作异常了，直接重启就是了。

从这个道理上来说，攻击路由器其实并不太难，而且有一些型号的路由器是有通用密码的，这些密码通过各种途径流传出来，就成为了黑客们的最爱，碰上这种使用默认密码的路由器，简直跟用自己的电脑一样方便。

丁飞羽不是职业黑客，连业余的都算不上，所以手里也没有这种密码列表，但是他现在要做的工作很简单，也用不着跟路由器较劲，他只是给某一级路由发送了一个ARP数据包。

对于大多数常用路由来说，其本身都维护有一个静态路由和一个动态路由表，其内容就是这台路由转发数据包的路径依据，丁飞羽发出的数据包就是通知这台路由器，他这里有一台路由器可以向华北《人世间》服务器的地址转发数据包。由于路由器转发数据包是有路径算法的，基本上遵循的是最短路径优先的原则，所以只要路由表建立了这样一条记录，就不愁没人上当，这个就是著名的ARP欺骗中的一种应用。

丁飞羽当然不会真的把自己的电脑建设成一台路由器，他基本上算是一个好人，但是绝不是新时代的三有青年，这种默默无闻的好事他是不干的，所以当数据包转发到他这里后，就被截留了下来。他在自己的机器上建立了默认路由端口的套接字和缓冲区用以接收数据包，但是就是没有触发器。

于是丁飞羽的电脑现在就相当于一个设施齐全的公司前台，有接待台有椅子，还有其它一些应该有或者不应该有的东西，就是没有接待员，来多少人都得老实等着。

那么源源不断转发过来的数据包不是要把丁飞羽的电脑塞满吗？当然不会，端口的缓冲区以及输入队列是有限的，当缓冲区满或输入队列满后，后续的数据包会被丢弃，事实上，就连存在缓冲区里的数据，丁飞羽也没打算全读出来，这个小动作对于合法用户来说并不会造成太大的伤害，一个数据包被发送后，都会有一个超时值，当发生超时后，发动端会重新发送，而且路由噐也并不是总会遵循同一条路径，除非这条路径是唯一的。

对于存在缓冲区中的数据，丁飞羽单独写了一个软件进行分析排序，这个控制台软件的工作非常简单，就是把缓冲列队中的数据包读出来，根据一些简单的规则进行甄别，然后剔除无用的数据包，再把信息写入一个日志文件，交给丁飞羽阅读。丁飞羽的甄别规则很简单，就是检查同一个地址发出的两段数据包之间的时间间隔，只所以不是两个数据包，那是因为tcp/ip会对数据包进行重新分组发送，相邻的两个数据包很可能在发送的时候是一段数据的分组，而且顺序也可能是颠倒的。

丁飞羽之所以这样做，就是为了简单区分这个数据包是自动发出的，还是人工发出的，既然这些数据都是发给《人世间》服务器的，那么合法的数据包当然就是在游戏中产生的，一个游戏客户端是不可能有事没事总给服务器发包的，