局域網(wǎng)dos如何攻擊
隨著Internet的飛速發(fā)展,電子郵件,電子商務(wù),電子政務(wù)等多種基于互聯(lián)網(wǎng)的新型技術(shù)給人們的生活和工作帶來了極大的便利。下面是學習啦小編跟大家分享的是局域網(wǎng)dos如何攻擊,歡迎大家來閱讀學習。
局域網(wǎng)dos如何攻擊
什么是dos?
DoS是Denial of Service的簡稱,即拒絕服務(wù),造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。
DoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問,使目標系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰,而在此攻擊中并不包括侵入目標服務(wù)器或目標網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬,文件系統(tǒng)空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無法避免這種攻擊帶來的后果。
局域網(wǎng)dos攻擊流程:
要理解dos攻擊,首先要理解TCP連接的三次握手過程(Three-wayhandshake)。在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發(fā)送SYN包((SYN=i)到服務(wù)器,并進入SYN SEND狀態(tài),等待服務(wù)器確認;
第二次握手:服務(wù)器收到SYN包,必須確認客戶的SYN (ACK=i+1 ),同時自己也發(fā)送一個SYN包((SYN=j)}即SYN+ACK包,此時服務(wù)器進入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認包ACK(ACK=j+1),此包發(fā)送完畢,客戶端和服務(wù)器進入ESTABLISHED狀態(tài),完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù)。
在上述過程中,還有一些重要的概念:
半連接:收到SYN包而還未收到ACK包時的連接狀態(tài)稱為半連接,即尚未完全完成三次握手的TCP連接。
半連接隊列:在三次握手協(xié)議中,服務(wù)器維護一個半連接隊列,該隊列為每個客戶端的SYN包(SYN=i )開設(shè)一個條目,該條目表明服務(wù)器已收到SYN包,并向客戶發(fā)出確認,正在等待客戶的確認包。這些條目所標識的連接在服務(wù)器處于SYN_ RECV狀態(tài),當服務(wù)器收到客戶的確認包時,刪除該條目,服務(wù)器進入ESTABLISHED狀態(tài)。
Backlog參數(shù):表示半連接隊列的最大容納數(shù)目。
SYN-ACK重傳次數(shù):服務(wù)器發(fā)送完SYN-ACK包,如果未收到客戶確認包,服務(wù)器進行首次重傳,等待一段時間仍未收到客戶確認包,進行第二次重傳,如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù),系統(tǒng)將該連接信息、從半連接隊列中刪除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務(wù)從收到SYN包到確認這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
上面三個參數(shù)對系統(tǒng)的TCP連接狀況有很大影響。
SYN洪水攻擊屬于DoS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費CPU和內(nèi)存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng),事實上SYN攻擊并不管目標是什么系統(tǒng),只要這些系統(tǒng)打開TCP服務(wù)就可以實施。從圖4-3可看到,服務(wù)器接收到連接請求(SYN=i )將此信息加入未連接隊列,并發(fā)送請求包給客戶端( SYN=j,ACK=i+1 ),此時進入SYN_RECV狀態(tài)。當服務(wù)器未收到客戶端的確認包時,重發(fā)請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內(nèi)偽造大量不存在的IP地址,向服務(wù)器不斷地發(fā)送SYN包,服務(wù)器回復確認包,并等待客戶的確認,由于源地址是不存在的,服務(wù)器需要不斷的重發(fā)直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN 請求
被丟棄,目標系統(tǒng)運行緩慢,嚴重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。過程如下:
攻擊主機C(地址偽裝后為C')-----大量SYN包---->被攻擊主機
C'<-------SYN/ACK包----被攻擊主機
由于C’地址不可達,被攻擊主機等待SYN包超時。攻擊主機通過發(fā)大量SYN包填滿未連接隊列,導致正常SYN包被拒絕服務(wù)。另外,SYN洪水攻擊還可以通過發(fā)大量ACK包進行DoS攻擊。
攻擊手段
拒絕服務(wù)攻擊是一種對網(wǎng)絡(luò)危害巨大的惡意攻擊。今天,DoS具有代表性的攻擊手段包括PingofDeath
dos攻擊快閃族
dos攻擊快閃族
、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等??纯此鼈冇质窃趺磳崿F(xiàn)的。
死亡之ping (pingofdeath)DengKelen
ICMP(InternetControlMessageProtocol,Internet控制信息協(xié)議)在Internet上用于錯誤處理和傳遞控制信息。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規(guī)定,許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB,且在對包的標題頭進行讀取之后,要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)。"PingofDeath"就是故意產(chǎn)生畸形的測試Ping(PacketInternetGroper)包,聲稱自己的尺寸超過ICMP上限,也就是加載的尺寸超過64KB上限,使未采取保護措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤,導致TCP/IP協(xié)議棧崩潰,最終接收方宕機。
淚滴
淚滴攻擊利用在TCP/IP協(xié)議棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP協(xié)議棧(例如NT在servicepack4以前)在收到含有重疊偏移的偽造分段時將崩潰。
UDP泛洪
(UDPflood)
UDPflood攻擊:如今在Internet上UDP(用戶數(shù)據(jù)包協(xié)議)的應(yīng)用比較廣泛,很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器,它們默認打開一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會顯示接收到的每一個數(shù)據(jù)包,而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機反饋一些字符。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務(wù)的漏洞進行惡意攻擊,通過偽造與某一主機的Chargen服務(wù)之間的一次的UDP連接,回復地址指向開著Echo服務(wù)的一臺主機,通過將Chargen和Echo服務(wù)互指,來回傳送毫無用處且占滿帶寬的垃圾數(shù)據(jù),在兩臺主機之間生成足夠多的無用數(shù)據(jù)流,這一拒絕服務(wù)攻擊飛快地導致網(wǎng)絡(luò)可用帶寬耗盡。
SYN泛洪
(SYNflood)
SYNflood攻擊:我們知道當用戶進行一次標準的TCP(TransmissionControlProtocol)連接時,會有一個3次握手過程。首先是請求服務(wù)方發(fā)送一個SYN(SynchronizeSequenceNumber)消息,服務(wù)方收到SYN后,會向請求方回送一個SYN-ACK表示確認,當請求方收到SYN-ACK后,再次向服務(wù)方發(fā)送一個ACK消息,這樣一次TCP連接建立成功。“SYNFlooding”則專門針對TCP協(xié)議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊,其在實現(xiàn)過程中只進行前2個步驟:當服務(wù)方收到請求方的SYN-ACK確認消息后,請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng),于是服務(wù)方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。而對于某臺服務(wù)器來說,可用的TCP連接是有限的,因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接,如果這一緩沖區(qū)充滿了虛假連接的初始信息,該服務(wù)器就會對接下來的連接停止響應(yīng),直至緩沖區(qū)里的連接企圖超時。如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求,該服務(wù)器可用的TCP連接隊列將很快被阻塞,系統(tǒng)可用資源急劇減少,網(wǎng)絡(luò)可用帶寬迅速縮小,長此下去,除了少數(shù)幸運用戶的請求可以插在大量虛假請求間得到應(yīng)答外,服務(wù)器將無法向用戶提供正常的合法服務(wù)。
Land(LandAttack)攻擊
在Land攻擊中,黑客利用一個特別打造的SYN包--它的原地址和目標地址都被設(shè)置成某一個服務(wù)
dos攻擊
dos攻擊
器地址進行攻擊。此舉將導致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息,結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接,每一個這樣的連接都將保留直到超時,在Land攻擊下,許多UNIX將崩潰,NT變得極其緩慢(大約持續(xù)五分鐘)。
IP欺騙
這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn),使用IP欺騙,迫使服務(wù)器把合法用戶的連接復位,影響合法用戶的連接。假設(shè)有一個合法用戶(100.100.100.100)已經(jīng)同服務(wù)器建了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為100.100.100.100,并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,認為從100.100.100.100發(fā)送的連接有錯誤,就會清空緩沖區(qū)中已建立好的連接。這時,合法用戶100.100.100.100再發(fā)送合法數(shù)據(jù),服務(wù)器就已經(jīng)沒有這樣的連接了,該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。
攻擊方法
具體DoS攻擊方法很多,但大多都可以分為以下幾類:
利用軟件實現(xiàn)的缺陷
OOB攻擊(常用工具winnuke),teardrop攻擊(常用工具teardrop.cboink.cbonk.c),lan
d攻擊,IGMP碎片包攻擊,jolt攻擊,Cisco2600路由器IOSversion12.0(10)遠程拒絕服務(wù)攻擊等等,這些攻擊都是利用了被攻擊軟件的實現(xiàn)上的缺陷完成DoS攻擊的。通常這些攻擊工具向被攻擊系統(tǒng)發(fā)送特定類型的一個或多個報文,這些攻擊通常都是致命的,一般都是一擊致死,而且很多攻擊是可以偽造源地址的,所以即使通過IDS或者別的sniffer軟件記錄到攻擊報文也不能找到誰發(fā)動的攻擊,而且此類型的攻擊多是特定類型的幾個報文,非常短暫的少量的報文,如果偽造源IP地址的話,使追查工作幾乎是不可能。
那么如何造成這些攻擊的?通常是軟件開發(fā)過程中對某種特定類型的報文、或請求沒有處理,導致軟件遇到這種類型的報文運行出現(xiàn)異常,導致軟件崩潰甚至系統(tǒng)崩潰。下面結(jié)合幾個具體實例解釋一下這種攻擊的成因。
1997年5月7號有人發(fā)布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連接,然后發(fā)送TCP緊急數(shù)據(jù),導致對端系統(tǒng)崩潰。139/TCP是Win95/NT系統(tǒng)最常見的偵聽端口,所以winnuke.c使用了該端口。之所以稱呼這種攻擊為OOB攻擊,因為MSG_OOB標志,實際應(yīng)該是TCP緊急數(shù)據(jù)攻擊。
原始teardrop.c只構(gòu)造了兩種碎片包,每次同時發(fā)送這兩種UDP碎片包。如果指定發(fā)送次數(shù),將完全重復先前所發(fā)送出去的兩種碎片包。它可以偽造源ip并跨越路由器進行遠程攻擊,影響的系統(tǒng)包括Linux/WinNT/Win95。使用的方法是:
teardrop源ip目的ip[-s源端口][-d目的端口][-n次數(shù)]
比較新的一個DoS攻擊是Windows的SMB實現(xiàn)中的DoS攻擊,2002年8月發(fā)布,只要允許匿名連接的windows系統(tǒng)就可以進行遠程攻擊,強烈建議Windows用戶打相應(yīng)的補丁。它的方法就是先和目標系統(tǒng)建立一個連接,然后發(fā)送一個特定的請求,目標系統(tǒng)就會蘭屏。發(fā)布的測試工具SMBdie.exe是圖形界面工具,輸入目標地址NETBIOS名稱即可。
從上面的討論可以看出,這種攻擊行為威力很大,而且難于偵察。但真實情況下它的危害僅現(xiàn)于漏洞發(fā)布后的不長的時間段內(nèi),相關(guān)廠商會很快發(fā)布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現(xiàn)實的環(huán)境中,通常是無效的。不過最新的攻擊方法還是讓我們不寒而栗,我們可以做的就是關(guān)注安全漏洞的發(fā)布,及時打上新的補丁。如果你想偷懶的話,購買專業(yè)安全服務(wù)公司的相關(guān)服務(wù)應(yīng)該是個更好的選擇。
利用協(xié)議的漏洞
如果說上面那種漏洞危害的時間不是很長,那么這種攻擊的生存能力卻非常強。為了能夠在網(wǎng)絡(luò)上進行互通、互聯(lián),所有的軟件實現(xiàn)都必須遵循既有的協(xié)議,而如果這種協(xié)議存在漏洞的話,所有遵循此協(xié)議的軟件都會受到影響。
最經(jīng)典的攻擊是synflood攻擊,它利用TCP/IP協(xié)議的漏洞完成攻擊。通常一次TCP連接的建立包括3個步驟,客戶端發(fā)送SYN包給服務(wù)器端,服務(wù)器分配一定的資源給這里連接并返回SYN/ACK包,并等待連接建立的最后的ACK包,最后客戶端發(fā)送ACK報文,這樣兩者之間的連接建立起來,并可以通過連接傳送數(shù)據(jù)了。而攻擊的過程就是瘋狂發(fā)送SYN報文,而不返回ACK報文,服務(wù)器占用過多資源,而導致系統(tǒng)資源占用過多,沒有能力響應(yīng)別的操作,或者不能響應(yīng)正常的網(wǎng)絡(luò)請求。
這個攻擊是經(jīng)典的以小搏大的攻擊,自己使用少量資源占用對方大量資源。一臺P4的Linux系統(tǒng)大約能發(fā)到30-40M的64字節(jié)的synflood報文,而一臺普通的服務(wù)器20M的流量就基本沒有任何響應(yīng)了(包括鼠標、鍵盤)。而且synflood不僅可以遠程進行,而且可以偽造源IP地址,給追查造成很大困難,要查找必須所有骨干網(wǎng)絡(luò)運營商,一級一級路由器的向上查找。
對于偽造源IP的synflood攻擊,除非攻擊者和被攻擊的系統(tǒng)之間所有的路由器的管理者都配合查找,否
則很難追查。當前一些防火墻產(chǎn)品聲稱有抗DoS的能力,但通常他們能力有限,包括國外的硬件防火墻大多100M防火墻的抗synflood的能力只有20-30Mbps(64字節(jié)syn包),這里涉及到它們對小報文的轉(zhuǎn)發(fā)能力,再大的流量甚至能把防火墻打死機。有些安全廠商認識到DoS攻擊的危害,開始研發(fā)專用的抗拒絕服務(wù)產(chǎn)品。
由于TCP/IP協(xié)議相信報文的源地址,另一種攻擊方式是反射拒絕服務(wù)攻擊,另外可以利用還有廣播地址,和組播協(xié)議輔助反射拒絕服務(wù)攻擊效果更好。不過大多數(shù)路由器都禁止廣播地址和組播協(xié)議的地址。
另一類攻擊方式是使用大量符合協(xié)議的正常服務(wù)請求,由于每個請求耗費很大系統(tǒng)資源,導致正常服務(wù)請求不能成功。如HTTP協(xié)議是無狀態(tài)協(xié)議,攻擊者構(gòu)造大量搜索請求,這些請求耗費大量服務(wù)器資源,導致DoS。這種方式攻擊比較好處理,由于是正常請求,暴露了正常的源IP地址,禁止這些IP就可以了。
進行資源比拼
這種攻擊方式屬于無賴打法,我憑借著手中的資源豐富,發(fā)送大量的垃圾數(shù)據(jù)侵占完你的資源,導致DoS。比如,ICMPflood,mstreamflood,Connectionflood。為了獲得比目標系統(tǒng)更多資源,通常攻擊者會發(fā)動DDoS(DistributedDos分布式拒絕服務(wù))攻擊者控制多個攻擊傀儡發(fā)動攻擊,這樣才能產(chǎn)生預期的效果。前兩類攻擊是可以偽造IP地址的,追查也是非常困難,第3種攻擊由于需要建立連接,可能會暴露攻擊傀儡的IP地址,通過防火墻禁止這些IP就可以了。對于難于追查,禁止的攻擊行為,我們只能期望專用的抗拒絕服務(wù)產(chǎn)品了。
攻擊程序
smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,本文將對它們的原理以及抵御措施進行論述,以幫助管理員有效地抵御DoS風暴攻擊,維護站點安全。
“smurf攻擊”,如何抵御
Smurf是一種簡單但有效的DDoS攻擊技術(shù),它利用了ICMP(Internet控制信息協(xié)議)。ICMP在Internet
黑客
黑客
上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯(lián)系,通過發(fā)送一個“回音請求”(echorequest)信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的,然后用一個偽造的源地址連續(xù)ping一個或多個計算機網(wǎng)絡(luò),這就導致所有計算機所響應(yīng)的那個計算機并不是實際發(fā)送這個信息包的那個計算機。這個偽造的源地址,實際上就是攻擊的目標,它將被極大數(shù)量的響應(yīng)信息量所淹沒。對這個偽造信息包做出響應(yīng)的計算機網(wǎng)絡(luò)就成為攻擊的不知情的同謀。
下面是SmurfDDoS攻擊的基本特性以及建議采用的抵御策略:
1、Smurf的攻擊平臺:smurf為了能工作,必須要找到攻擊平臺,這個平臺就是:其路由器上啟動了IP廣播功能。這個功能允許smurf發(fā)送一個偽造的ping信息包,然后將它傳播到整個計算機網(wǎng)絡(luò)中。
2、為防止系統(tǒng)成為smurf攻擊的平臺,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能并不需要。
3、攻擊者也有可能從LAN內(nèi)部發(fā)動一個smurf攻擊,在這種情況下,禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊,許多操作系統(tǒng)都提供了相應(yīng)設(shè)置,防止計算機對IP廣播請求做出響應(yīng)。
4、如果攻擊者要成功地利用你成為攻擊平臺,你的路由器必須要允許信息包以不是從你的內(nèi)網(wǎng)中產(chǎn)生的源地址離開網(wǎng)絡(luò)。配置路由器,讓它將不是由你的內(nèi)網(wǎng)中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網(wǎng)絡(luò)出口過濾器功能。
5、ISP則應(yīng)使用網(wǎng)絡(luò)入口過濾器,以丟掉那些不是來自一個已知范圍內(nèi)IP地址的信息包。
6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應(yīng)答(echoreply)信息包進行過濾,然后丟棄它們,這樣就能阻止“命中”Web服務(wù)器和內(nèi)網(wǎng)。對于那些使用Cisco路由器的人,另一個選擇是CAR(CommittedAccessRate,承諾訪問速率)。
丟棄所有的回音應(yīng)答信息包能使網(wǎng)絡(luò)避免被淹沒,但是它不能防止來自上游供應(yīng)者通道的交通堵塞。如果你成為了攻擊的目標,就要請求ISP對回音應(yīng)答信息包進行過濾并丟棄。如果不想完全禁止回音應(yīng)答,那么可以有選擇地丟棄那些指向你的公用Web服務(wù)器的回音應(yīng)答信息包。CAR技術(shù)由Cisco開發(fā),它能夠規(guī)定出各種信息包類型使用的帶寬的最大值。例如,使用CAR,我們就可以精確地規(guī)定回音應(yīng)答信息包所使用的帶寬的最大值。
“trinoo”,如何抵御
trinoo是復雜的DDoS攻擊程序,它使用“master”程序?qū)嶋H實施攻擊的任何數(shù)量的“代理”
牽引流量技術(shù)在DOS攻擊中應(yīng)用
牽引流量技術(shù)在DOS攻擊中應(yīng)用
程序?qū)崿F(xiàn)自動控制。攻擊者連接到安裝了master程序的計算機,啟動master程序,然后根據(jù)一個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP信息包沖擊網(wǎng)絡(luò),從而攻擊目標。在攻擊之前,侵入者為了安裝軟件,已經(jīng)控制了裝有master程序的計算機和所有裝有代理程序的計算機。
下面是trinooDDoS攻擊的基本特性以及建議采用的抵御策略:
1、在master程序與代理程序的所有通訊中,trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。
2、Trinoomaster程序的監(jiān)聽端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP(類型6)并連接到端口27655的數(shù)據(jù)流。
3、所有從master程序到代理程序的通訊都包含字符串“l44”,并且被引導到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接,如果有包含字符串l44的信息包被發(fā)送過去,那么接受這個信息包的計算機可能就是DDoS代理。
4、Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發(fā)送的,因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自DaveDittrich的trinot腳本,要準確地驗證出trinoo代理的存在是很可能的。
一旦一個代理被準確地識別出來,trinoo網(wǎng)絡(luò)就可以安裝如下步驟被拆除:
·在代理daemon上使用"strings"命令,將master的IP地址暴露出來。
·與所有作為trinoomaster的機器管理者聯(lián)系,通知它們這一事件。
·在master計算機上,識別含有代理IP地址列表的文件(默認名“...”),得到這些計算機的IP地址列表。
·向代理發(fā)送一個偽造“trinoo”命令來禁止代理。通過crontab文件(在UNIX系統(tǒng)中)的一個條目,代理可以有規(guī)律地重新啟動,因此,代理計算機需要一遍一遍地被關(guān)閉,直到代理系統(tǒng)的管理者修復了crontab文件為止。
·檢查master程序的活動TCP連接,這能顯示攻擊者與trinoomaster程序之間存在的實時連接。
·如果網(wǎng)絡(luò)正在遭受trinoo攻擊,那么系統(tǒng)就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發(fā)送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。
·在美國FBI網(wǎng)站上有一個檢測和根除trinoo的自動程序。
“TribalFloodNetwork”和“TFN2K”,如何抵御
TribeFloodNetwork與trinoo一樣,使用一個master程序與位于多個網(wǎng)絡(luò)上的攻擊代理進行通訊。TFN可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。可以由TFN發(fā)動的攻擊包括:UDP沖擊、TCPSYN沖擊、ICMP回音請求沖擊以及ICMP廣播。
以下是TFNDDoS攻擊的基本特性以及建議的抵御策略:
1、發(fā)動TFN時,攻擊者要訪問master程序并向它發(fā)送一個或多個目標IP地址,然后Master程序繼續(xù)與所有代理程序通訊,指示它們發(fā)動攻擊。
TFNMaster程序與代理程序之間的通訊使用ICMP回音應(yīng)答信息包,實際要執(zhí)行的指示以二進制形式包含在16位ID域中。ICMP(Internet控制信息協(xié)議)使信息包協(xié)議過濾成為可能。通過配置路由器或入侵檢測系統(tǒng),不允許所有的ICMP回音或回音應(yīng)答信息包進入網(wǎng)絡(luò),就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序,比如ping。
TFNMaster程序讀取一個IP地址列表,其中包含代理程序的位置。這個列表可能使用如“Blowfish”的加密程序進行了加密。如果沒有加密的話,就可以從這個列表方便地識別出代理信息。
2、用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的程序是td,發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn。TFN代理并不查看ICMP回音應(yīng)答信息包來自哪里,因此使用偽裝ICMP信息包沖刷掉這些過程是可能的。
TFN2K是TFN的一個更高級的版本,它“修復”了TFN的某些缺點:
1、在TFN2K下,Master與代理之間的通訊可以使用許多協(xié)議,例如TCP、UDP或ICMP,這使得協(xié)議過濾不可能實現(xiàn)。
2、TFN2K能夠發(fā)送破壞信息包,從而導致系統(tǒng)癱瘓或不穩(wěn)定。
3、TFN2K偽造IP源地址,讓信息包看起來好像是從LAN上的一個臨近機器來的,這樣就可以挫敗出口過濾和入口過濾。
4、由于TFN2K是被識破的,因此還沒有一項研究能夠發(fā)現(xiàn)它的明顯弱點。
在人們能夠?qū)FN2K進行更完全的分析之前,最好的抵御方法是:
·加固系統(tǒng)和網(wǎng)絡(luò),以防系統(tǒng)被當做DDoS主機。
·在邊界路由器上設(shè)置出口過濾,這樣做的原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進行偽裝。
·請求上游供應(yīng)商配置入口過濾。
“stacheldraht”,如何防范
Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務(wù)器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發(fā)動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp(remotecopy,遠程復制)技術(shù)對代理程序進行更新。
Stacheldraht同TFN一樣,可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動的攻擊包括UDP沖擊、TCPSYN沖擊、ICMP回音應(yīng)答沖擊以及ICMP播放。
以下是StacheldrahtDDoS攻擊的基本特征以及建議采取的防御措施:
1、在發(fā)動Stacheldraht攻擊時,攻擊者訪問master程序,向它發(fā)送一個或多個攻擊目標的IP地址。Master程序再繼續(xù)與所有代理程序進行通訊,指示它們發(fā)動攻擊。
Stacheldrahtmaster程序與代理程序之間的通訊主要是由ICMP回音和回音應(yīng)答信息包來完成的。配置路由器或入侵檢測系統(tǒng),不允許一切ICMP回音和回音應(yīng)答信息包進入網(wǎng)絡(luò),這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序,例如ping。
2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯(lián)系。如果聯(lián)系成功,代理程序就會進行一個測試,以確定它被安裝到的系統(tǒng)是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息,可以探測出這兩個行為。
代理會向每個master發(fā)送一個ICMP回音應(yīng)答信息包,其中有一個ID域包含值666,一個數(shù)據(jù)域包含字符串“skillz”。如果master收到了這個信息包,它會以一個包含值667的ID域和一個包含字符串“ficken”的數(shù)據(jù)域來應(yīng)答。代理和master通過交換這些信息包來實現(xiàn)周期性的基本接觸。通過對這些信息包的監(jiān)控,可以探測出Stacheldraht。
一旦代理找到了一個有效master程序,它會向master發(fā)送一個ICMP信息包,其中有一個偽造的源地址,這是在執(zhí)行一個偽造測試。這個假地址是“3.3.3.3”。如果master收到了這個偽造地址,在它的應(yīng)答中,用ICMP信息包數(shù)據(jù)域中的“spoofworks”字符串來確認偽造的源地址是奏效的。通過監(jiān)控這些值,也可以將Stacheldraht檢測出來。
3、Stacheldraht代理并不檢查ICMP回音應(yīng)答信息包來自哪里,因此就有可能偽造ICMP信息包將其排除。
4、Stacheldraht代理程序與TFN和trinoo一樣,都可以用一個C程序來探測。
局域網(wǎng)dos如何攻擊相關(guān)文章: