DDOS阻斷服務攻擊
程式判斷特徵:
DDoS會持續送出大量封包,符合下面的判斷規則。並且流量符合十分鐘,外部主機:flow>100,內部主機:flow>100,即判斷為ddos攻擊。
判斷原理:
判斷規則一:
目的地port:445,協定:TCP,封包數:2,封包大小:96;
判斷規則二:目的地port:445,協定:TCP,封包數:1,封包大小:48;
判斷規則三:協定:TCP,封包數:2 ,封包大小:96;
判斷規則四:目的地port:1434,協定:UDP,封包數:1,封包大小:404。

什麼是DDoS
Dos是一對一的網路攻擊方式,攻擊者藉由不當方式佔用系統分享資源(CPU、網路、硬碟…),達到干擾正常系統運作的進行。不同於一般網路入侵,DoS 不一定需要取得系統使用的權力,即可達到目的。最常見的DoS方式即是透過所謂的訊息洪泛(Message Flood),向攻擊對象送出大量且無意義的網路訊息,不管被攻擊對象是否回應,都會因頻寬的被佔用,而導致不正常運作。
DDoS算是DoS的一種,只是攻擊的模式並非一對一,而是以多對一的方式,同時對一個攻擊目標發動攻擊,而這些發動攻擊的點,通常是已遭受入侵而不自知的電腦系統。由於這種攻擊方式多數係以遙控方式,利用替死鬼行兇,因此不僅難以防範,追查更是不易。更遭的是,這些被用來發動攻擊的程式不僅可在網站中取得,且設計上即使不是電腦高手也可輕易使用。這類被用來進行大規模DDoS攻擊的程式已知的至少有有”Tribal Flood Net”、”Trinoo”及”tfn2k”三種,使用的協定包括UDP、ICMP ECHO到目前TCP與UDP並用,可以執行的平台則包括RedHAT Linux及Solaris,其中又以Solaris版本最為流行。其攻擊模式不外乎下面步驟:
1. 利用作業系統、網路協定、應用程式設計上的漏洞或其他各種可能方式,入侵電腦系統。
2. 在這些被入侵的系統中安裝攻擊程式。
3. 經由主控端,遙控這些攻擊程式,同時對選定目標發動攻擊。
如下圖所示,攻擊者可以由Client端控制主控程式,再由主控程式驅動攻擊程式,在同一時間攻擊由攻擊者選定的對象,而主控程式與攻擊程式則都是在事先已被攻佔的網站中執行。
經由以上對於DDoS運作方式簡單的描述,讀者應該可以看出,DDoS之所以難以預防原因,在於攻擊使用的協定屬一般合法之協定,且攻擊發起源難以掌握,以致無法以Filter技術加以預防;同時由於發動攻擊的電腦並非真正第一現場,
事後追查也會顯得於事無補而無力感十足。

如需詳細之說明可參考:
網路新知 - 什麼是DDoS 阻斷服務攻擊 ?[作者:陳昌盛,資料來源:交大計網中心]

ddos攻擊示意圖

解決方法有以下幾點:(資料來源:http://tw.rd.yahoo.com/referurl/search/b/1/11/K=ddos/H=0/*http://speed.cis.nctu.edu.tw/~ydlin/miscpub/DDoS.pdf
1.避免自己成為DDoS 的守護神常駐程式: 避免自己的機器被安裝DDoS 的守護神常駐程式,系統管理者必須經常注意系統漏洞及修補(patch)漏洞,經常性的注意及掃瞄系統有無異常現象,讓自己的機器不被植入DDoS 的守護神常駐程式。
2.避免自己成為DDoS 的主控端: 同上,讓自己的機器不被入侵而成為DDoS的主控端。
3.避免自己被DDoS 攻擊: 基本上DoS 類的攻擊是無法避免的,因為你無法判斷使用者的位址是否合法。就算可以,攻擊者還是可以偽造IP 位址(IPspoofing)。但是有一些位址是不可能或不合法的,例如 10.0.0.0/8 、172.16.0.0/12與192.168.0.0/16,可以調整主機或Router,把這些不合法的位址過濾掉。

其他解決模式:
DDOS 445解決方法(台中縣社口國小黃子欣老師提供)
DDoS攻擊的趨勢與防禦策略(資料來源:台灣網路危機處理暨協調中心
關於 DDoS 攻擊事件的探討(資料來源:台灣網路危機處理暨協調中心