攻擊者所在機

控制機（用來控制傀儡機）

傀儡機

受害者

先來看一下最重要的控制機和傀儡機：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對受害者來說，DDoS的實際攻擊包是從攻擊傀儡機上發(fā)出的，控制機只發(fā)布命令而不參與實際的攻擊。對控制機和傀儡機，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。

"為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉(zhuǎn)一下呢？"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門，2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較初級的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。但是在攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的。控制傀儡機的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。