在分布式DOS攻擊（DDOS）中，攻擊者事先入侵了大量服務器，并在這些服務器上植入了DDOS攻擊程序，然后結合這些被入侵的服務器的網(wǎng)絡傳輸力量發(fā)動攻擊。利用大量的服務器發(fā)動攻擊不僅增加了攻擊的力度，而且更難于防范。

圖 1: DDOS 攻擊的結構

　　利用成百上千的從服務器不僅可以另追查的難度加大（因為難以識別大量不同的來源，需要查詢大量的路由器），而且極大的阻礙了當成功追查后所需采取的行動（因為這要與大量的網(wǎng)絡管理員聯(lián)系，安裝大量的網(wǎng)絡過濾器）。

圖 2: 利用反彈進行DDOS 攻擊的結構

　　攻擊者首先鎖定大量的可以做為反彈服務器的服務器群，比如說100萬臺（這并不是件很難的工作，因為在Internet上光是WEB服務器就不止這么多的，更何況還有更多其他的機器可以作為反彈服務器）。然后攻擊者們集中事先搞定的從服務器群，向已鎖定的反彈服務器群發(fā)送大量的欺騙請求數(shù)據(jù)包（來源地址為victim，受害服務器或目標服務器）。反彈服務器將向受害服務器發(fā)送回應數(shù)據(jù)報。結果是：到達受害服務器的洪水數(shù)據(jù)報不是幾百個，幾千個的來源，而是上百萬個來源，來源如此分散的洪水流量將堵塞任何其他的企圖對受害服務器的連接。

　　圖二顯示了利用反彈進行DDOS攻擊的結構。注意到，受害服務器不需要追查攻擊的來源，因為所有攻擊數(shù)據(jù)報的源IP都是真實的，都是反彈服務器群的IP。而另一方面，反彈服務器的管理人員則難以追查到從服務器的位置，因為他所收到的數(shù)據(jù)報都是偽造的（源IP為受害服務器的IP）。

　　原則上，我們可以在反彈服務器上利用追蹤技術來發(fā)現(xiàn)從服務器的的位置。但是，反彈服務器上發(fā)送數(shù)據(jù)報的流量遠小于從服務器發(fā)送的流量。每一個從服務器可以把它發(fā)送的網(wǎng)絡流量分散到所有或者一大部分反彈服務器。例如：如果這里有Nr 個反彈服務器，Ns 個從服務器，每個從服務器發(fā)送的網(wǎng)絡流量為F，那么每一個反彈服務器將產生的網(wǎng)絡流量為，而Nr 遠大于Ns 。所以，服務器根據(jù)網(wǎng)絡流量來自動檢測是否是DDOS攻擊源的這種機制將不起作用。

　　值得注意的是，不象以往DDOS攻擊，利用反彈技術，攻擊者不需要把服務器做為網(wǎng)絡流量的放大器（發(fā)送比攻擊者發(fā)送的更大容量的網(wǎng)絡數(shù)據(jù)）。他們甚至可以使洪水流量變弱，最終才在目標服務器回合為大容量的洪水。這樣的機制讓攻擊者可以利用不同網(wǎng)絡結構機制的服務器作為反彈服務器，使其更容易找到足夠數(shù)量的反彈服務器，用以發(fā)起攻擊。

　　我們的分析顯示，有三種特別具威脅性的反彈服務器是：DNS服務器、Gnutella服務器、和基于TCP-IP的服務器（特別是WEB 服務器），基于TCP的實現(xiàn)將遭受可預測初始序列號的威脅。