第二百四十七章 道格拉斯的殺手鐗

---

天降10億 我的大小魔女 草根職場手記:強佔絕美女上司 金玉奇緣：暴戾王爺的冷情妃 鬥戰無極 醫武乾坤 屍王邪聖 倒著過的日子 賴上男神老公 美利堅大帝

---

第二百四十七章 道格拉斯的殺手鐗

其它駭客們現在是什麼樣的心情，反正李子鋒是不知道的了，現在李子鋒關心的是，國際原子能機構官網的這個防火牆。

現在才攻破了第一層，不知道後面還有多少層的防火牆呢，李子鋒很是無奈，要是一開始，就決定讓小倩使用她的方法的話，那也就是一句話的時間，甚至都要不了一句話的時間就可以將這個網站給搞定了。

不過，那樣的話，也太驚世駭俗了，所以，李子鋒才採取這個時代的駭客們常用的手段，或者一些高明的手段，反正就沒有超過這個時代的手段來對付這個網站。

這樣以來，這個網站的強大，就顯而易見了，這麼多的肉雞同時發起攻擊，但是得到的效果都沒有想像中的那麼好。

所以，李子鋒就知道了，這個網站背後的伺服器的強大了。

當然，這也並不是對方光只是伺服器的強大，當然還有他們背後的管理人員同樣的是強大的。

想要真正的快速的攻擊對方的網路，這第一關就是傳送給對方的大量資料，對方不能有效的分辨出來，或者至少不能拒絕。

李子鋒使用的syn flood攻擊，但是對方也有著很好的防禦方法。

當然，最常見的防禦方法也就是大家承認的最有效果的。

李子鋒使用肉雞網路之中的一個使用者向伺服器傳送了syn報文後突然宕機或掉線，那麼國際原子能機構伺服器在發出syn+ack應答報文後是無法收到客戶端的ack報文的，這種情況下伺服器端一般會重試（再次傳送syn+ack給客戶端）並等待一段時間後丟棄這個未完成的連線，這段時間的長度我們稱為syn timeout。

一般來說這個時間是分鐘的數量級（大約為30秒-2分鐘）；李子鋒的一個肉雞使用者出現異常導致伺服器的一個執行緒等待1分鐘並不是什麼很大的問題，但如果李子鋒使用肉雞大量模擬這種情況，伺服器端將為了維護一個非常大的半連線列表而消耗非常多的資源，一臺肉雞模擬數以萬計的半連線，即使是簡單的儲存並遍歷也會消耗非常多的cpu時間和記憶體，何況還要不斷對這個列表中的ip進行syn+ack的重試。

實際上如果伺服器的tcp/ip棧不夠強大，最後的結果往往是堆疊溢位崩潰，即使國際原子能機構的官方伺服器端的系統足夠強大，伺服器端也將忙於處理攻擊者偽造的tcp連線請求而無暇理睬客戶的正常請求，畢竟客戶端的正常請求比率非常之小，現在的攻擊資料請求，對方都來不急處理，哪裡還有時間處理其它的那些資料呢？

此時從正常客戶的角度看來，伺服器失去響應，這種情況我們稱作：伺服器端受到了syn flood攻擊，也就是syn洪水攻擊。

當然，這種的攻擊，也是有防範措施的。

第一種就是縮短syn timeout時間。

第二種方法就是設定syn cookie，就是給每一個請求連線的ip地址分配一個cookie，如果短時間內連續受到某個ip的重複syn報文，就認定是受到了攻擊，以後從這個ip地址來的包會被一概丟棄，直接就將認為是垃圾攻擊。

還有反彈攻擊時，李子鋒讓小倩使用肉雞設定一些反彈伺服器，巧妙的利用了反彈伺服器群來將洪水資料包反彈給國際原子能機構的伺服器。

所有的 web 伺服器、dns 伺服器及路由器都是反彈伺服器，他們會對 syn 報文或其他 tcp 報文迴應 synacks 或 rst 報文，以及對一些 ip 報文迴應 icmp 資料報超時或目的地不可達訊息的資料 報。

當然，任何用於普通目的 tcp 連 接許可的網路伺服器都可以用做資料包反射伺服器。

防火牆幾乎是最常用的安全產品，但是防火牆設計原理中並沒有考慮針對ddos攻擊的防護，在某些情況下，防火牆甚至成為ddos攻擊的目標而導致整個網路的拒絕服務，現在李子鋒就是這樣的打算，直接使用大量的資料攻擊。

首先是防火牆缺乏ddos攻擊檢測的能力。

通常，防火牆作為三層包轉發裝置部署在網路中，一方面在保護內部網路的同時，它也為內部需要提供外部inter服務的裝置提供了通路，如果ddos攻擊採用了這些伺服器允許的合法協議對內部系統進行攻擊，防火牆對此就無能為力，無法精確的從背景流量中區分出攻擊流量。

雖然有些防火牆內建了某些模組能夠對攻擊進行檢測，但是這些檢測機制一般都是基於特徵規則，李子鋒或者小倩的肉雞網路，只要對攻擊資料包稍加變化，防火牆就無法應對，對ddos攻擊的檢測必須依賴於行為模式的演算法。

第二個原因就是傳統防火牆計算能力的限制，傳統的防火牆是以高強度的檢查為代價，檢查的強度越高，計算的代價越大，現在李子鋒的肉雞有至少都是幾十萬臺，每一臺傳送的資料都有無數，少的也有上千條資料包，多的，甚至都有幾萬幾十萬條，這樣一臺就有這麼多的，當所有的肉雞加起來的時候。

這個資料洪流的數量就不是能夠計算的出來的了。

即便是對方使用的是超級伺服器，但是當這個數量一但達到了一定的程度，那就有點嚇人了。

而ddos攻擊中的海量流量會造成防火牆效能急劇下降，不能有效地完成包轉發的任務，伺服器也就不能有效的處理了。

最好防火牆的部署位置也影響了其防護ddos攻擊的能力，而李子鋒發現，雖然對方的伺服器很好，防火牆的位置佈置的也很好，至少是李子鋒想不出來更好的了但是，這樣的東西在小倩的眼中根本就是垃圾，還是不可回收的垃圾。

傳統防火牆一般都是部署在網路入口位置，雖然某種意義上保護了網路內部的所有資源，但是其往往也成為ddos攻擊的目標，李子鋒這邊一旦發起ddos攻擊，往往造成網路效能的整體下降，導致使用者正常請求被拒絕。

現在，李子鋒這邊攻擊的時候，官網那邊的網路就出現了噸卡的現象。

當李子鋒暴力的弄掉對方的第一層防火牆的時候，這個時候，整個伺服器的資源都被吸引到這裡來了，要是這個時候還有普通的使用者去登陸這個網站的話，一定直接是登陸不上去了。

外面的其它駭客們，看的目瞪口呆，這太暴力了，太粗魯了，一點都不像一個正常的駭客。

不過，這樣也就更加的證明了神祕大爺的強大。

道格拉斯興奮的看著眼前的一臺一臺的肉雞網路，他現在已經破除了十幾臺的肉雞了。

剛剛開始的時候，道格拉斯追蹤肉雞的速度還是很慢的，可以說，已經是十分十分的慢了，但是，後來，慢慢的爆破了幾臺之後，漸漸的，道格拉斯不愧為世界頂尖的駭客，很快的就找到了一絲的規則，最後，發現了肉雞網路之中的規則之後，道格拉斯破除李子鋒的肉雞的速度那叫一個快啊。

現在雖然也才破除了十幾臺，但是，現在他的速度已經是越來越快了，慢慢的，到後面，已經是幾秒就破除一個。

但是，越是到後面，道格拉斯越是氣餒，雖然看似速度很好，當然，這也的確是速度很快的了，要是在與普通駭客戰鬥的時候，這樣的破除速度，早就將敵人給搞死了。

但是，神祕大爺是誰啊，簡直就不是人，肉雞網路中的殭屍簡直就是太多了，這已經出現了上百萬臺殭屍肉雞了，就算是幾秒鐘破除一臺，那這上百萬的肉雞，到最後，需要多長的時間才能夠全部的破除，找到神祕大爺真正的網路ip啊。

而且，關鍵還是，就算是將這些所有的肉雞給破除之後，還不一定能夠找到神祕大爺的真正地址的，按照神祕大爺的技術，人家隨便的一個動作，都直接可以將他給再次的隱藏了起來，天吶，這什麼時候才是一個頭啊。

當道格拉斯順利的破除了三百二十四臺肉雞的時候，終於是相信神祕大爺是不可戰勝的了。

“神祕大爺，按照天朝的說法，你就是我親大爺了，既然我沒有希望憑自己的實力找到你的位置，那麼，大爺，我的親大爺，我就不得不使用一些小小的手段了。”

“希望，我這樣的小手段，可以騙的過你，不過，我這也不算是騙，因為，我將會告訴你的，全是我們這裡真實的情況，當然，有的地方，我會有可能誇張那麼一點點的。”

“那個，神祕大爺，你就不要怪我欺騙你的感情了，呵呵，為了我的自由，為了我能夠增加一點點的活動空間，那麼，就只能委屈一下你了，我的親親大爺。”

道格拉斯呆呆的坐在自己的椅子上，呆呆的自語道。

突然，道格拉斯端端正正的坐好。

迅速的將先前自己編寫的那個祕密文字給調了出來。

本部小說來自看書網