攻擊者可以通過(guò)反彈技術(shù)使我們對(duì)DDOS攻擊更難以防御——利用反彈服務(wù)器反彈DDOS的洪水包，也就是說(shuō)，通過(guò)發(fā)送大量的欺騙請(qǐng)求數(shù)據(jù)包（來(lái)源地址為victim，受害服務(wù)器，或目標(biāo)服務(wù)器）給Internet上大量的服務(wù)器群，而這些服務(wù)器群收到請(qǐng)求后將發(fā)送大量的應(yīng)答包給victim。結(jié)果是原來(lái)用于攻擊的洪水?dāng)?shù)據(jù)流被大量的服務(wù)器所稀釋，并最終在受害者處匯集為洪水，使受害者更難以隔離攻擊洪水流，并且更難以用Traceback 跟蹤技術(shù)去找到洪水流的來(lái)源。

在分布式DOS攻擊（DDOS）中，攻擊者事先入侵了大量服務(wù)器，并在這些服務(wù)器上植入了DDOS攻擊程序，然后結(jié)合這些被入侵的服務(wù)器的網(wǎng)絡(luò)傳輸力量發(fā)動(dòng)攻擊。利用大量的服務(wù)器發(fā)動(dòng)攻擊不僅增加了攻擊的力度，而且更難于防范。

圖 1： DDOS 攻擊的結(jié)構(gòu)

圖一顯示了以往DDOS攻擊的結(jié)構(gòu)：一個(gè)主機(jī)，主服務(wù)器（Master），作用是發(fā)送控制消息給事先入侵并已植入DDOS程序的從服務(wù)器群（Slave），控制從服務(wù)器群發(fā)起對(duì)目標(biāo)服務(wù)器的攻擊。從服務(wù)器群將產(chǎn)生高容量的源地址為偽造的或隨機(jī)的網(wǎng)絡(luò)數(shù)據(jù)流，并把這些數(shù)據(jù)流發(fā)送給目標(biāo)服務(wù)器。因?yàn)閿?shù)據(jù)流的源地址是偽造的，增加了追查的難度。

利用成百上千的從服務(wù)器不僅可以另追查的難度加大（因?yàn)殡y以識(shí)別大量不同的來(lái)源，需要查詢大量的路由器），而且極大的阻礙了當(dāng)成功追查后所需采取的行動(dòng)（因?yàn)檫@要與大量的網(wǎng)絡(luò)管理員聯(lián)系，安裝大量的網(wǎng)絡(luò)過(guò)濾器）。

圖 2： 利用反彈進(jìn)行DDOS 攻擊的結(jié)構(gòu)

而今考慮周密的攻擊者可以通過(guò)利用反彈服務(wù)器（Reflector），更好的組織他們的攻擊。反彈服務(wù)器是指，當(dāng)收到一個(gè)請(qǐng)求數(shù)據(jù)報(bào)后就會(huì)產(chǎn)生一個(gè)回應(yīng)數(shù)據(jù)報(bào)的主機(jī)。例如，所有的WEB服務(wù)器，DNS服務(wù)器，及路由器都是反彈服務(wù)器，因?yàn)樗麄儠?huì)對(duì)SYN報(bào)文或其他TCP報(bào)文回應(yīng)SYN ACKs或RST報(bào)文，以及對(duì)一些IP報(bào)文回應(yīng)ICMP數(shù)據(jù)報(bào)超時(shí)或目的地不可達(dá)消息的數(shù)據(jù)報(bào)。而攻擊者可以利用這些回應(yīng)的數(shù)據(jù)報(bào)對(duì)目標(biāo)服務(wù)器發(fā)動(dòng)DDOS攻擊。

攻擊者首先鎖定大量的可以做為反彈服務(wù)器的服務(wù)器群，比如說(shuō)100萬(wàn)臺(tái)（這并不是件很難的工作，因?yàn)樵贗nternet上光是WEB服務(wù)器就不止這么多的，更何況還有更多其他的機(jī)器可以作為反彈服務(wù)器）。然后攻擊者們集中事先搞定的從服務(wù)器群，向已鎖定的反彈服務(wù)器群發(fā)送大量的欺騙請(qǐng)求數(shù)據(jù)包（來(lái)源地址為victim，受害服務(wù)器或目標(biāo)服務(wù)器）。反彈服務(wù)器將向受害服務(wù)器發(fā)送回應(yīng)數(shù)據(jù)報(bào)。結(jié)果是：到達(dá)受害服務(wù)器的洪水?dāng)?shù)據(jù)報(bào)不是幾百個(gè)，幾千個(gè)的來(lái)源，而是上百萬(wàn)個(gè)來(lái)源，來(lái)源如此分散的洪水流量將堵塞任何其他的企圖對(duì)受害服務(wù)器的連接。

圖二顯示了利用反彈進(jìn)行DDOS攻擊的結(jié)構(gòu)。注意到，受害服務(wù)器不需要追查攻擊的來(lái)源，因?yàn)樗�有攻擊�?shù)據(jù)報(bào)的源IP都是真實(shí)的，都是反彈服務(wù)器群的IP。而另一方面，反彈服務(wù)器的管理人員則難以追查到從服務(wù)器的位置，因?yàn)樗�所收到的�?shù)據(jù)報(bào)都是偽造的（源IP為受害服務(wù)器的IP）。

原則上，我們可以在反彈服務(wù)器上利用追蹤技術(shù)來(lái)發(fā)現(xiàn)從服務(wù)器的的位置。但是，反彈服務(wù)器上發(fā)送數(shù)據(jù)報(bào)的流量遠(yuǎn)小于從服務(wù)器發(fā)送的流量。每一個(gè)從服務(wù)器可以把它發(fā)送的網(wǎng)絡(luò)流量分散到所有或者一大部分反彈服務(wù)器。例如：如果這里有Nr 個(gè)反彈服務(wù)器，Ns 個(gè)從服務(wù)器，每個(gè)從服務(wù)器發(fā)送的網(wǎng)絡(luò)流量為F，那么每一個(gè)反彈服務(wù)器將產(chǎn)生的網(wǎng)絡(luò)流量為 ，而Nr 遠(yuǎn)大于Ns 。所以，服務(wù)器根據(jù)網(wǎng)絡(luò)流量來(lái)自動(dòng)檢測(cè)是否是DDOS攻擊源的這種機(jī)制將不起作用。

值得注意的是，不象以往DDOS攻擊，利用反彈技術(shù)，攻擊者不需要把服務(wù)器做為網(wǎng)絡(luò)流量的放大器（發(fā)送比攻擊者發(fā)送的更大容量的網(wǎng)絡(luò)數(shù)據(jù)）。他們甚至可以使洪水流量變?nèi)酰�最終才在目標(biāo)服務(wù)器回合為大容量的洪水。這樣的機(jī)制讓攻擊者可以利用不同網(wǎng)絡(luò)結(jié)構(gòu)機(jī)制的服務(wù)器作為反彈服務(wù)器，使其更容易找到足夠數(shù)量的反彈服務(wù)器，用以發(fā)起攻擊。

我們的分析顯示，有三種特別具威脅性的反彈服務(wù)器是：DNS服務(wù)器、Gnutella服務(wù)器、和基于TCP-IP的服務(wù)器（特別是WEB 服務(wù)器），基于TCP的實(shí)現(xiàn)將遭受可預(yù)測(cè)初始序列號(hào)的威脅。