【IT168 专稿】关于DOOS攻击的原理网上的文章已是漫天飞舞，在这里咱就不多解释，以下主要是分析下如何追查DDOS元凶的思路，在此首先给大家一个友情提示，如果你对现在市面上的抗DDOS的软件防火墙信赖的话，那等DDOS真正来临之际你将会损失很惨重。

    分析攻击步骤
    攻击者—漏洞机器—傀儡肉鸡—反向连接攻击者机器—攻击者统一控制—被攻击者。

    攻击者使用各种方式去寻找漏洞机器，然后吧DDOS的客户端发送到有漏洞的机器并运行，漏洞机器就会反向连接攻击者的IP连接成功后待命，即成为了傀儡机，攻击者发送攻击指定IP的命令，所有傀儡机接收命令开始攻击。以上是DDOS攻击的一个整体步骤，了解其步骤之后就可以以其人之道还治其人之身了。

    反攻击步骤
    分析攻击IP集群地—封锁IP集群段—扫描攻击IP漏洞—进入对方傀儡机—拷贝DDOS客户端—分析客户端连接IP—攻击主控点。

    细节：首先在服务器上分析下D过来的IP大体集群段，封锁该段，主要是一种丢车保将使服务器缓解受攻击压力，然后批量检测下攻击IP的电脑因为他们成为了傀儡机也就说明他们是有漏洞的，而且还是大批量的证明是存在致命的漏洞的， 通过黑客手段进入对方的傀儡机，把DDOS病毒文件拷贝到本机，然后通过OD等汇编工具分析出反向连接的IP，此IP可能是攻击者的电脑，也可能是一个跳板，通过端口扫描器或者PING命令可以初步判断出对方的电脑系统，如果为2000或者2003一般可能是对方的跳板服务器，这个时候需要再花些功夫进入对方跳板服务器停止其攻击，然后通过监听连接，等攻击者上钩，如果反向连接IP的系统为XP一般就可以确定是攻击者的电脑，这个时候可以扫描其端口信息看有没有漏洞，一般用DDOS攻击的骇客都是一些小毛孩，自己电脑漏洞百出，还攻击的乐不疲惫的家伙，如果对方电脑有漏洞，就上传远控软件上去，强行锁定其键盘和屏幕,以最开速度停止傀儡机的攻击，然后丢个硬盘炸弹过去，如果没有漏洞，可以把其IP上报给公安部门，或者，直接反D他，他那小电脑10台傀儡机搞定。。

    总结：网上很多文章讲到，如何使用跳板躲过网安的追踪，还有什么用国外肉鸡做跳板在跳到国内，公安部是没办法追查的。 但他们就没有想到自己会的技术别人也会，现实中因为交通的缘故无法很快追查，但网络跟踪是完全可行的。