蛇神，可以指挥大批毒蛇向敌人发动进攻。用来形容象TFN2K这样的DDoS攻击控制工具是再合适不过了。攻击者通过劫持数千台计算机并植入 DoS代理后，几乎就可以所向无敌了。这些DoS代理会在攻击者的指挥下同时向一台主机发送大量的数据包，使对方服务瘫痪，使这台主机淹没在大量的数据包 中。以往，ISP一般情况下尚能对一些DDoS攻击进行跟踪，通过逆流而上的方法快速跟踪数据包，可以找到活动的攻击来源。

　　去年，一个叫”脉冲蛇神”的攻击形式使网管难以追查攻击的来源。攻击者可以使多个DDoS代理交替发出Flood数据包，这种随机发包方式就好象电子脉冲一样。如果攻击者有几千个这样的代理，追查”蛇神”将变得几近不可能。

　　还有更绝的。今年早期，互联网上出现了一个叫”反射式DDoS”的攻击方法。这种新方法用的是借刀杀人的思路，至少将有两方受害。

　　反射式DDoS的原理是SYNFlood的巧妙变形。它充分利用了TCP三次握手机制的”优点”，一个DDoS代理，用一个假的源地址，向一台 高带宽的服务器发送一个TCP SYN数据包，服务器收到这个包以后，将向这个源地址回送一个SYN-ACK的响应包。攻击者在发包前可以将这个假的源地址设置为他要攻击的主机地址，这 样，就变成了一台高性能/高带宽的服务器DoS目标主机。如果攻击者用多个线程，相同的源地址，不停地向多台高带宽服务器发包，则目标主机将受到多台服务 器的攻击，目标主机几乎是”必死无疑”。用这种方式，在目前的互联网环境下，攻击者可以让Yahoo或者微软的Web服务器去DDoS一台他想攻击的主 机。而且在这种情况下，想要追查到攻击者来源，实在是太难了。

　　为了对付DDoS攻击，市场上出现了商业化的抗DoS产品和解决方案。大体分为两类，一类是基于探头的工具，如Asta Networks出品的Vantage System 和 Arbor Networks'出品的Peakflow, 它们允许管理员将这些探头部署到网络的各个节点上，用基于异常的扫描技术发现不寻常的Flood数据包，发现后将实时地调整路由器和防火墙的设置进行过 滤。

　　另一方面，象Captus Networks出品的CaptIO 和 Top Layer出品的AppSafe则在网络边界处直接发现和封杀DoS数据包。

　　即使采用这些技术，但面临者成百上千的“蛇神”的时候，就算系统不停止响应，网络带宽也会被很快消耗掉。没有工具能够防止带宽的消耗。因此，如 果在线连接和点击量对用户单位的业务非常重要的话，那么用户有必要要求ISP的应急小组充分配合，从上游杜绝Flood数据包。在选择ISP的时候，关于 这个问题，要问清楚ISP对DoS攻击是如何进行应急处理的。