的发出特定的服务请求，使受
害主机无法及时处理所有正常请求严重时会造成系统死机
（四）攻击运行原理
图11DDOS攻击体系
如图11，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控
f制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。
一般情况下黑客不直接去控制攻击傀儡机，而要从控制傀儡机上中转一下，这就导致DDoS攻击难以追查。攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。占领一台机器后，高水平的攻击者会首先做两件事：1考虑如何留好后门（我以后还要回来的哦）！2如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。有些攻击者会把日志全都删掉，但这样的话网管员发现日志都没了就会知道受到了攻击，虽然无法再从日志发现线索。狡猾的攻击者会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。在傀儡机上清理日志是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也小多了。
二、攻击模拟
（一）DDos攻击一般步骤
1搜集了解目标的情况
下列情况是黑客非常关心的情报：
被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽
对于DDoS攻击者来说，攻击互联网上的某个站点，如httpwwwWWWWcom，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以163为例，一般会有下列地址都是提供WWW服r