DDOS是一門沒什么技術含量的東西，其本質而言是通過大量數據報文，發送到目標受害主機IP地址上，導致目標主機無法繼續服務（俗稱：拒絕服務）

DDOS灰產人期望達成的預期目標，幾乎都是只要把對面打到

1、路由黑洞（ASN保護）

2、大面積擁塞路由丟包

3、打穿系統內核防火墻（即：每秒入站報文數量達到30W PPS及以上）

4、受害者屈服交保護符（常見打機場、VNP、菠菜、澀情/AV站點、游戲服）

這雖然沒什么技術含量，但確實足夠惡心人，何況還有灰產人開發全自動化DDOS一鍵付費自動打人平臺，只要給的錢夠多就行，用戶水平越來越低齡化，產生的惡意風險及后果越來越大。

DDOS的手段目前主要有兩類方式：

1、捕獲肉雞，攻擊時全球各地的肉雞向受害主機IP地址發送數據。

2、偽裝源地址，攻擊時隨機生成不同IP、PORT的地址向受害主機IP地址發送數據。

第一類有一定技術手段，大多數情況是通過在色情網站、或者網上掛捆綁軟件，在客戶智能終端設備上運行，由于這類木馬本身不需要管理員權限，并且行為單一，只是正常低權的普通一個網絡程序，大多數殺毒軟件通常都會認為是安全無害的。

第二類這要一臺 “大上行帶寬發包機”，發包機在大陸基本目前已經很難找到，但垃圾 “美帝” 那邊發包機還是有很多的，并且服務器及帶寬成本便宜。

什么樣的服務器，可以稱為發包機？

即：

1、擁有至少1GE上行寬頻

2、子網路由不限制，非分配源地址發出

? ? ? 即：無基于源地址的出口過濾（SBEF / Source-Based Egress Filtering）

? ? ? 目前有以下幾類出口過濾技術標準：

? ? ? ? ? ?A、uRPF（Unicast Reverse Path Forwarding）

? ? ? ? ? ?B、入口過濾（Ingress Filtering）

? ? ? ? ? ?C、BCP 38 / RFC 2827

? ? ? ? ? ?D、BCP 84 / RFC 3704

其它都不重要，這兩條尤為重要，否則定向攻擊受害目標，容易被IP投訴，然被抓，所以，這些玩DDOS下水道（下三濫）的灰產人，都采用源地址偽裝的方式來對受害目標進行攻擊。

為什么改變IP協議源地址，在發送報文到目標IP地址，這會成功？

這是基于現代網絡路由拓撲的結構決定的，我們知道一個IP報文要想發送到目標主機，需要提供目標主機的IP地址。

但對面怎么應答收到人的數據呢？所以IP協議上的源地址就是對端用來應答數據的IP地址，但這個過程是可以修改的，因為在互聯網之中運行的TTL躍點路由器并不會檢查源地址，它根本不需要關注源地址，這個附加信息本身就是給IP目標地址指向的對端主機看的。

而且就算讓TTL躍點路由器去檢查源地址，它也無法判斷這個源地址是否為合法的，正因如此才導致這些隨機IP地址的DDOS報文都可以輕松發送到目標主機IP地址上。

但在互聯網的躍點路由之中，仍然可以實現檢查，即在知曉源地址有效應的路由上進行出口報文過略，即可以輕松屏蔽這些小...在現代的企業/家用路由器，幾乎都會直接屏蔽這類垃圾報文發出本地出口路由網關，并且運營商與客戶接入的網關服務器也會嚴格的源地址過濾檢查。

全社會都在努力應對下水道的下三濫攻擊，并為此付出了巨大的代價，搞點小破壞的成本卻沒有防御的成本高，這也是這些XB3們，肆無忌憚的互聯網上各種增加擁塞，各種瞎整的底氣？

不以為恥，反以為榮，但凡它們利用漏洞滲透、或者下木馬等方式抓肉雞，我反倒會認為這些人是真有本事，是一群真正的技術人才，值得社會花費一定代價招安，但就只會點DDOS下水道擠兌網絡的蛆蛆們，確實不咋地。

人家玩HTTP/FTP CC DDOS（一般稱為：HTTP Flood），別人是依靠各種手段抓到的小肉雞設備群，通過全球各地的肉雞去跟服務器正常通信來拉包服務器的帶寬，讓受害主機拒絕服務器，把目標內存擠兌爆炸、帶寬及最大鏈接數量懟爆，這是有一定技術含量的。

當然還有一種是去掃抓：SNIProxy 這樣的HTTP/HTTPS轉發服務器，有很多小白白們部署這個東西來解鎖所謂的 Netflix 流媒體，這是可以被利用的，它本質上是一個輕型無限制訪問的CDN。

而通過DDOS修改源地址這波人，你無外乎常用手段也不過就以下幾種：

1、NTP反射

? ? ?即利用：monlist 命令返回的巨大流量到受害服務器IP上，發包機偽造請求IP報文，源地址是受害主機IP地址。

? ? ?端口：123

? ? ?放大：200-556倍

2、SSDP反射

? ? ?即利用：發送M-SEARCH請求，物聯網設備返回設備描述信息到受害服務器IP上。

? ? ?端口：1900

? ? ?放大：30-100倍

3、TCP SYN Flooding

? ? ?這個是定向攻擊目標開放的外網PORT，一般是捶打：80/443，但這個反射收益比較小，所以現在基本很少再用。
?

但實際上主要是以 “NTP反射”、“SSDP反射” 為主，因為它們大多數人連工具都不會寫，現成的基本就這幾種好使。

但實際上新一代的反射攻擊技術，就我所了解的還有以下幾種：

1、Memcached 反射

? ? ?即：通過請求空鍵值，返回超大內存數據（15B請求→750KB響應）

? ? ?端口：11211

? ? ?放大：5萬-10萬倍

2、DNS反射

? ? ?即：通過發送ANY查詢請求，返回域名所有記錄（如60B請求→3000B響應）

? ? ?端口：53

? ? ?放大：10-54倍

3、CLDAP反射

? ? ?即；通過輕量目錄訪問協議查詢，返回活動目錄信息

? ? ?端口：389/636

? ? ?放大：50-70倍

4、CoAP/ARMS反射

? ? ?IoT協議

? ? ?端口：5683

? ? ?放大：11.76倍

5、WS-Discovery反射

? ? ?設備發現協議

? ? ?端口：3702

? ? ?放大：414倍

6、RDP反射

? ? ?遠程桌面協議

? ? ?端口：3702

? ? ?放大：85.9倍

目前而言反射效果最佳的是通過 Memcached 反射，但這個要求比較苛刻：

1、Memcached 服務器需要無驗證

2、Memcached 服務器內部要建立大量的KEY值（即要有數據）

這兩點想要掃并抓到可利用反射IP服務器，不太容易了，一般是學生才可能干得出來這種事情，但現在好多都有要求，即便是學生也不太容易犯，不屏蔽不受信任外網端口訪問的事情。

實際上要制作這些程序最好的辦法是結合DPDK來發送，這樣可以用最低的CPU能耗發出足夠巨量的IP數據報文，當然通過系統提供的PF_PACKET, RAW_SOCKET也是可以，但這或許會相對慢得多，在不利用DPDK的情況下，更快的報文轟炸發送是通過內核RING（環）來發送數據的。

當然：

本文不會提供這些DDOS程序源代碼實現，即便它沒什么技術含量就是了，如果你真想要干這個沒品下三濫的事兒，給不給源代碼，不是都搞出來不是？HL:? 現成工具鏈多成熟。