一、从这里说起、、
一开始的时候，不能不说说两款影响力很大的DDoS Ping炸弹工具。
一个是蜗牛炸弹，一个是AhBomb。
蜗牛炸弹出来的很早，通过实现搜索有漏洞的服务器做好储备，呵呵，需要的时候，通过
控制这些有漏洞的服务器集中 Ping 攻击目标机，导致目标网络速度变慢，达到DDoS攻击的目的。
AhBomb是bigball写的一款更强大的攻击工具，（呵呵，这里很感谢他送给我的无限制版）

从本质上说，AhBomb的实现方法和蜗牛炸弹没有什么区别，但是由于程序编写的很优秀，多线程
部分写的特别完善，而且缺省的参数导致很可能会对被攻击者带来致命的打击。
呵呵
还是分析一下吧：
首先从蜗牛炸弹开始谈起
它有一个搜索的过程，搜索unicode漏洞的主机，然后将主机地址保存在Server.dll文件中
在需要实施攻击的时候，就调动所有的服务器进行攻击。
我对一个虚拟目标 200.200.200.200 这个ip进行攻击，却省配置下截获的数据包：

前面的部分
Get /scripts/..%c1%1c../winnt/system32/cmd.exe?/c
是通过unicode编码调用Windows服务器的命令解释器去执行命令。
具体被执行的命令是：
ping -l 65000 -n 500 200.200.200.200
这里解释如下：
ping 一个发送测试数据包检测网络状况的命令
-l 64000 发送包含由64000字节数据量的 ECHO 数据包
-n 500 发送500遍 ECHO 请求数据包
200.200.200.200 目标ip，呵呵
现在看的很清楚了吧，也不用多说。
这些命令虽然简单，但由于ping命令的使用只需要最低限度的用户权限，而具有unicode漏洞的
机器又非常多，这才会导致大量的数据涌向一处。于是、、挂了。
我们来看看AhBomb做了些什么。

前面的部分
Get /scripts/..%%255c..%255cwinnt/system32/cmd.exe?/c
是通过unicode编码调用Windows服务器的命令解释器去执行命令，比较新的编码所以找到的
漏洞服务器应该会更多。
具体被执行的命令是：
ping 192.168.0.1 -t -i 255
这里解释如下：
ping 一个发送测试数据包检测网络状况的命令
-t 不停的发送 ECHO 数据包，是的，不停
-i 255 TTL值设为255（最大）
192.168.0.1 目标，呵呵
　
仔细看看它的参数和蜗牛炸弹的不同，具体体现在它并没有发送大数据包，而仅仅是发送的
普通大小的包，因为很多网络设备会过滤大包，标准格式的反而才能真正被发送到目标。

[1] [2] 下一页

上一篇:用Ghost完美克隆Win XP+SP2

下一篇:ASP里使用MD5加密的函数及示例