DoS 與 DDoS - 資安

※ 引述《JannKwang (小寶)》之銘言：
: 日前有稍微讀過一些關於 DoS 與 DDoS 的文章
: 小弟才疏學淺 請教各路高手
: ping 61.227.XXX.XXX -l 65500 -t
: 回傳數據如下
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=52ms TTL=96
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=52ms TTL=96
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=67ms TTL=96
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=53ms TTL=96
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=53ms TTL=96
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=64ms TTL=96
: Reply from 61.227.XXX.XXX: bytes=1464 (sent 65500) time=53ms TTL=96
: 省略最後總計數據
: 試問
: 以上是否有達到DoS目的？
: bytes 後面是什麼意思？
: 我所傳送的封包該位置是否有接收到？
: 如果該位置有設定防火牆或該位置為網路主機
: 是否會造成 Request timed out
: 或者有其它方式可達成DoS目的？
: 爾後該利用何方式達到DDoS目的？
: 以上，如有不妥請板主刪除。 再發信告知！


只要你有辦法耗盡目標的服務資源(CPU/Memory/bandwidth)
使得目標無法提供服務即達成 DoS 目的.
用 ping 的要達到這目標是很困難的, 一來 ICMP rate-limit 不是很難作,
二來以一個 10Mb 的電路來說, 你要用 ping 把電路塞爆,
你的電腦需要有能力每秒送 10000000/8/1500 ~ 833 個 ICMP 封包, 這挺難的.
常見的 DoS pattern 是 TCP sync-flooding.
沒有 sync-flooding 保護的 server 碰到 TCP sync-flooding 大概很快就掛了.

但是受害者也不是白白挨打, 他們可以添購網安設備, 增加 server 數量,
擴充網路頻寬, 這樣會使得你想用傳統 DoS 方式打掛對方的可能性大大降低.
於是 criminal 就嘗試控制 Internet 上的電腦, 集合力量來打你;
一台打不掛你, 那一千台? 一萬台? 十萬台呢? 這就是 DDoS.

以下是一些參考資料:
http://www.cert.org.tw/document/column/show.php?key=73
http://opm.twnic.net.tw/9th/doc/r3.pdf

規模大的 DDoS 是可以把一個國家的網路整個打掛的,
你可以用 "Estonia" & "ddos" 當 keyword 去 google 找一下參考資料.
有人估計打掛 Estonia 大概動員了一百萬台電腦:
http://www.heise-online.co.uk/security/DDoS-attacks-on-Estonian-web-sites-using-one-million-hijacked-computers--/news/89912

還有, 就以上 ping 的結果, 如果你還搞不懂 bytes 後面數字的意義,
勸你先忘了 DoS, DDoS, 趕快把網路基本功夫練好了才是.


--
怎能忍受
我的離去
為妳帶來的憾事與傷悲

--