11月初，俄羅斯十大銀行中有五家遭到DDoS攻擊。俄儲(chǔ)蓄銀行行長(zhǎng)戈?duì)柭?middot;格列夫表示，此次攻擊的力度遠(yuǎn)遠(yuǎn)超出以往的攻擊。12月2日，俄羅斯央行官員稱，該行代理賬戶遭黑客襲擊，被盜取了20億俄羅斯盧布資金。隨后，俄羅斯央行官員Artyom Sychyov證實(shí)了這一消息，并表示，“黑客曾嘗試盜取50億俄羅斯盧布左右的賬戶資金”。

那么，DDoS攻擊到底是什么，黑客又是怎樣借助DDoS攻擊從戒備森嚴(yán)的俄羅斯銀行盜取20億盧布的呢？

分布式拒絕服務(wù)（DDoS）攻擊是網(wǎng)絡(luò)攻擊手段中的一種, 是利用大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的做法——黑客通過大量被控制的計(jì)算機(jī)同時(shí)攻擊目標(biāo)，耗盡服務(wù)器的CPU、網(wǎng)絡(luò)帶寬、內(nèi)存和數(shù)據(jù)庫服務(wù)等，以實(shí)現(xiàn)影響用戶正常使用的目的。DDoS攻擊不僅可以域名系統(tǒng)服務(wù)器等具體目標(biāo)，還能利用巨大的流量攻擊目標(biāo)所在的互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施使其過載，影響網(wǎng)絡(luò)的性能和所承載的服務(wù)。

由于Windows和Linux本身就存在一些安全漏洞，黑客可以通過入侵高訪問量的網(wǎng)站，并在網(wǎng)頁中注入木馬病毒，利用系統(tǒng)漏洞感染瀏覽網(wǎng)站的計(jì)算機(jī)。一旦有計(jì)算機(jī)訪問并感染木馬，就會(huì)被木馬傳播者控制，成為DDoS攻擊者的僵尸主機(jī)，隨后會(huì)在僵尸主機(jī)上面安裝拒絕服務(wù)攻擊軟件。為了隱蔽自己，攻擊者會(huì)遙控安裝了控制軟件的僵尸機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊，使被攻擊目標(biāo)由于忙于處理大量的攻擊數(shù)據(jù)包而無法提供正常服務(wù)。這種攻擊既可以阻斷某一用戶訪問服務(wù)器，或阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊，也可以通過向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷，并利用網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊，無法響應(yīng)正常的服務(wù)請(qǐng)求，嚴(yán)重的可能導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

由于經(jīng)濟(jì)利益的驅(qū)動(dòng)和操作系統(tǒng)存在大量漏洞使攻擊者可以控制大量僵尸主機(jī)，構(gòu)筑龐大的僵尸網(wǎng)絡(luò)，以及大量攻擊工具的誕生降低了DDoS攻擊的技術(shù)門檻，同時(shí)僵尸主機(jī)的計(jì)算性能和接入帶寬隨著微電子技術(shù)和信息技術(shù)的進(jìn)步突飛猛漲，使DDoS攻擊已經(jīng)初步形成產(chǎn)業(yè)鏈，網(wǎng)絡(luò)上就有人專門從事收集“僵尸主機(jī)”的非法活動(dòng)，然后以低廉的價(jià)格出售給攻擊發(fā)起者，或者直接遙控這些“僵尸主機(jī)”進(jìn)行攻擊。

　　(DDoS攻擊體系)

根據(jù)DDoS攻擊的方式來看，Land攻擊、SYN flood攻擊、Teardrop攻擊等主要針對(duì)操作系統(tǒng)、TCP/IP網(wǎng)絡(luò)協(xié)議、應(yīng)用程序等的缺陷，構(gòu)造某種特殊的數(shù)據(jù)包，使系統(tǒng)停止對(duì)正常用戶的訪問請(qǐng)求或使操作系統(tǒng)、應(yīng)用程序崩潰。而Smurf攻擊、UDP 淹沒攻擊采用比被攻擊網(wǎng)絡(luò)更大的帶寬，生成大量發(fā)向被攻擊網(wǎng)絡(luò)的數(shù)據(jù)包，從而耗盡被攻擊網(wǎng)絡(luò)的有效帶寬，使被攻擊網(wǎng)絡(luò)發(fā)生擁塞。下面具體介紹幾種常見的DDoS攻擊方式：

由于TCP協(xié)議要經(jīng)過三次握手才能建立連接，于是就有攻擊者針對(duì)握手過程的SYN flood攻擊——在攻擊者發(fā)出包含SYN（TCP/IP建立連接時(shí)使用的握手信號(hào)）標(biāo)志的數(shù)據(jù)包后，服務(wù)器會(huì)發(fā)送SYN-ACK表示接受到了消息，攻擊者不回應(yīng)確認(rèn)字符（ACK），在此情形下，服務(wù)器會(huì)重復(fù)發(fā)送SYN-ACK，進(jìn)而占用服務(wù)器資源。

在實(shí)現(xiàn)方式上，攻擊者可以利用本地IP發(fā)送大量的普通SYN進(jìn)行攻擊，在收到被攻擊主機(jī)的SYN-ACK后不予回應(yīng)，這樣被攻擊主機(jī)就在緩存中建立了大量連接隊(duì)列，造成了系統(tǒng)資源的消耗而無法向正常請(qǐng)求提供服務(wù)。也可以在在SYN 中通過欺騙來源IP 地址，這讓服務(wù)器送SYN-ACK到假造的IP 地址，因此，真實(shí)的IP 地址永遠(yuǎn)不可能收到ACK。此外，攻擊者還可以先偽造一個(gè)SYN發(fā)送到服務(wù)器，然后再偽造一個(gè)ACK發(fā)到服務(wù)器，傳送最后的ACK 信息，大量的偽造SYN+ACK也會(huì)造成服務(wù)器癱瘓。

Land攻擊與SYN floods攻擊有些類似，區(qū)別在于Land攻擊包中的源地址。在Land攻擊中，攻擊者向被攻擊主機(jī)發(fā)送一個(gè)經(jīng)過特殊構(gòu)造的TCP數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)帶有SYN標(biāo)志，同時(shí)具有相同的源IP 地址和目的IP 地址及相同的源端口號(hào)和目的端口號(hào)。換言之，IP 地址和端口號(hào)都為被攻擊主機(jī)的，這樣當(dāng)被攻擊主機(jī)收到這樣的TCP 數(shù)據(jù)報(bào)后，就會(huì)在本地不斷的收發(fā)SYN和ACK，從而致被攻擊的機(jī)器死循環(huán)，最終耗盡資源而死機(jī)。

Teardrop攻擊是利用數(shù)據(jù)包分解實(shí)現(xiàn)的。由于每個(gè)數(shù)據(jù)要傳送前都會(huì)經(jīng)過分組切割，每個(gè)被切割的數(shù)據(jù)小組都會(huì)記錄位移的信息以便重組，Teardrop攻擊通過捏造位移信息，比如向被攻擊目標(biāo)發(fā)送兩個(gè)連續(xù)的IP 數(shù)據(jù)包，由于這兩個(gè)數(shù)據(jù)包是相互重疊的，導(dǎo)致在目的系統(tǒng)發(fā)生大量的數(shù)據(jù)復(fù)制，從而耗盡被攻擊主機(jī)的CPU和內(nèi)存資源。

由于用戶數(shù)據(jù)報(bào)協(xié)議（UDP協(xié)議）是一個(gè)面向無連接的傳輸層協(xié)議，所以數(shù)據(jù)傳送過程中，不需要建立連接和進(jìn)行認(rèn)證。UDP Flood攻擊就利用UDP協(xié)議不需要建立連接和進(jìn)行認(rèn)證的特性，向被攻擊主機(jī)發(fā)送大量的UDP 數(shù)據(jù)包，這樣一方面會(huì)使被攻擊主機(jī)所在的網(wǎng)絡(luò)資源被耗盡，還會(huì)使被攻擊主機(jī)忙于處理UDP數(shù)據(jù)包，而使系統(tǒng)崩潰。

至于黑客如何利用DDoS攻擊從俄羅斯銀行盜走20億盧布，業(yè)內(nèi)人士認(rèn)為，黑客并非直接利用DDoS攻擊從銀行盜走資金，而是利用DDoS攻擊癱瘓銀行的網(wǎng)絡(luò)，對(duì)銀行的安全防衛(wèi)造成混亂，在銀行恢復(fù)系統(tǒng)的過程中，特別是一些不太正當(dāng)?shù)幕謴?fù)操縱很容易被黑客抓住機(jī)會(huì)，通過其他的方式從銀行盜走20億盧布。也就是說，DDoS攻擊并不能直接盜走銀行賬戶里的資金，但卻給黑客制造了在混亂中竊取金錢的機(jī)會(huì)，至于黑客具體抓住銀行哪些安全漏洞盜走資金的，只有當(dāng)事人才清楚，我們這些看客也只能猜測(cè)了。