「分散式拒絕服務」(Distributed Denial-of-Service,DDoS) 攻擊,是一
種較具技術性的攻擊。它聽起來挺可怕的,其實很簡單。我們先從「拒絕服
務」談起。假設你們鄉鎮的緊急應變中心只有一條電話線,有人惡作劇不斷
的打電話進來後又掛斷。電話一直占線,別人根本無法報告緊急事件。這就
是拒絕服務。
當然,緊急應變中心不會採用這種設計,即使是再小的鄉鎮,應該也有
好幾條內線。假設您居住的鄉鎮屬於中等規模,有 100 條 119 內線。假設
有 120 個壞人,同時預謀使用公共電話撥 119。應變中心立刻滿線,真正有
緊急事件的人反而打不進來。這個狀況不同於前面,許多人同時預謀做某件
事是很難防範的,尤其不知道對方的身份和位置。這就是 DDoS 中的「分散
式」。
假設您能弄到 500 台電腦,每台電腦都有一條不同類型的 DSL 線,全部攻
擊一個單一主機。通常一條 DSL 線的上游頻寬可達 256Kb/s,我們保守估計
500 台電腦可以產生 500 * 128Kb/s = 64000 Kb/s = 62.5 Mb/s,大約是
42 條 T1 線或 1.4 條 T3 線,相當可觀的頻寬。如果目標只有一條 T1 (或
是只有一打),簡直易如反掌。當然,能夠承受的傳輸量,視主機數和平均頻
寬而定,但很重要的一點是,數量平平的獨立系統一旦集結起來,會形成很
大的網路。有一些技巧可以擴大攻擊,但您主要是在自保,所以不需要知道
這些 (如果您很感興趣,不妨參閱 SANS 維護的攻擊方法摘要,內容很棒
唷)。
前面曾經提過,DDoS 展開攻擊時,必須有很多台電腦執行 DDoS 用戶
端。最常見的技法是把它包裝成木馬屠城計中的特洛依木馬,一個看起來無
害,但卻充滿惡意的程式,警戒心不高的人很容易會執行它。「警戒心不
高」是重要關鍵。很多電腦使用者執行來路不明,尤其是不勞而獲 (例如,
免費色情圖片和抽獎活動) 的可執行檔或附件時,往往缺乏三思。例如,有
一個 DDoS 入侵者在 AOL 聊天室中假扮一名少女,向聊天對象提供「自我介
紹」短片。當然,這個「短片」實際上是偽裝的「特洛依木馬」。沒有多
久,這位入侵者已經培養出許多 DDoS 用戶端來執行他的計劃。當他培養
DDoS 用戶端兵力時,當然不會把「特洛依木馬」傳給有高度安全意識的人,
而是傳給那些立刻會執行這個程式而且不擔心自己的電腦會不會中毒的人。