局域網dos攻擊
隨著Internet的飛速發(fā)展,電子郵件,電子商務,電子政務等多種基于互聯(lián)網的新型技術給人們的生活和工作帶來了極大的便利。但是,同樣大量的私人文件和數(shù)據(jù)在Internet的傳輸帶來了安全的隱患,那么你知道局域網dos攻擊嗎?下面是學習啦小編整理的一些關于局域網dos攻擊的相關資料,供你參考。
什么是dos?
DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。
DoS攻擊是指故意的攻擊網絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰,而在此攻擊中并不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬,文件系統(tǒng)空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。
局域網dos攻擊流程:
要理解dos攻擊,首先要理解TCP連接的三次握手過程(Three-wayhandshake)。在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務,采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發(fā)送SYN包((SYN=i)到服務器,并進入SYN SEND狀態(tài),等待服務器確認;
第二次握手:服務器收到SYN包,必須確認客戶的SYN (ACK=i+1 ),同時自己也發(fā)送一個SYN包((SYN=j)}即SYN+ACK包,此時服務器進入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務器的SYN+ACK包,向服務器發(fā)送確認包ACK(ACK=j+1),此包發(fā)送完畢,客戶端和服務器進入ESTABLISHED狀態(tài),完成三次握手,客戶端與服務器開始傳送數(shù)據(jù)。
在上述過程中,還有一些重要的概念:
半連接:收到SYN包而還未收到ACK包時的連接狀態(tài)稱為半連接,即尚未完全完成三次握手的TCP連接。
半連接隊列:在三次握手協(xié)議中,服務器維護一個半連接隊列,該隊列為每個客戶端的SYN包(SYN=i )開設一個條目,該條目表明服務器已收到SYN包,并向客戶發(fā)出確認,正在等待客戶的確認包。這些條目所標識的連接在服務器處于SYN_ RECV狀態(tài),當服務器收到客戶的確認包時,刪除該條目,服務器進入ESTABLISHED狀態(tài)。
Backlog參數(shù):表示半連接隊列的最大容納數(shù)目。
SYN-ACK重傳次數(shù):服務器發(fā)送完SYN-ACK包,如果未收到客戶確認包,服務器進行首次重傳,等待一段時間仍未收到客戶確認包,進行第二次重傳,如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù),系統(tǒng)將該連接信息、從半連接隊列中刪除。注意,每次重傳等待的時間不一定相同。
半連接存活時間:是指半連接隊列的條目存活的最長時間,也即服務從收到SYN包到確認這個報文無效的最長時間,該時間值是所有重傳請求包的最長等待時間總和。有時也稱半連接存活時間為Timeout時間、SYN_RECV存活時間。
上面三個參數(shù)對系統(tǒng)的TCP連接狀況有很大影響。
SYN洪水攻擊屬于DoS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費CPU和內存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火墻等網絡系統(tǒng),事實上SYN攻擊并不管目標是什么系統(tǒng),只要這些系統(tǒng)打開TCP服務就可以實施。從圖4-3可看到,服務器接收到連接請求(SYN=i )將此信息加入未連接隊列,并發(fā)送請求包給客戶端( SYN=j,ACK=i+1 ),此時進入SYN_RECV狀態(tài)。當服務器未收到客戶端的確認包時,重發(fā)請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內偽造大量不存在的IP地址,向服務器不斷地發(fā)送SYN包,服務器回復確認包,并等待客戶的確認,由于源地址是不存在的,服務器需要不斷的重發(fā)直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN 請求
被丟棄,目標系統(tǒng)運行緩慢,嚴重者引起網絡堵塞甚至系統(tǒng)癱瘓。過程如下:
攻擊主機C(地址偽裝后為C')-----大量SYN包---->被攻擊主機
C'<-------SYN/ACK包----被攻擊主機
由于C’地址不可達,被攻擊主機等待SYN包超時。攻擊主機通過發(fā)大量SYN包填滿未連接隊列,導致正常SYN包被拒絕服務。另外,SYN洪水攻擊還可以通過發(fā)大量ACK包進行DoS攻擊。
攻擊手段
拒絕服務攻擊是一種對網絡危害巨大的惡意攻擊。今天,DoS具有代表性的攻擊手段包括PingofDeath
dos攻擊快閃族
dos攻擊快閃族
、TearDrop、UDPflood、SYNflood、LandAttack、IPSpoofingDoS等。看看它們又是怎么實現(xiàn)的。
死亡之ping (pingofdeath)DengKelen
ICMP(InternetControlMessageProtocol,Internet控制信息協(xié)議)在Internet上用于錯誤處理和傳遞控制信息。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴格限制規(guī)定,許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB,且在對包的標題頭進行讀取之后,要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)。"PingofDeath"就是故意產生畸形的測試Ping(PacketInternetGroper)包,聲稱自己的尺寸超過ICMP上限,也就是加載的尺寸超過64KB上限,使未采取保護措施的網絡系統(tǒng)出現(xiàn)內存分配錯誤,導致TCP/IP協(xié)議棧崩潰,最終接收方宕機。
淚滴
淚滴攻擊利用在TCP/IP協(xié)議棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP協(xié)議棧(例如NT在servicepack4以前)在收到含有重疊偏移的偽造分段時將崩潰。
UDP泛洪
(UDPflood)
UDPflood攻擊:如今在Internet上UDP(用戶數(shù)據(jù)包協(xié)議)的應用比較廣泛,很多提供WWW和Mail等服務設備通常是使用Unix的服務器,它們默認打開一些被黑客惡意利用的UDP服務。如echo服務會顯示接收到的每一個數(shù)據(jù)包,而原本作為測試功能的chargen服務會在收到每一個數(shù)據(jù)包時隨機反饋一些字符。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務的漏洞進行惡意攻擊,通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,通過將Chargen和Echo服務互指,來回傳送毫無用處且占滿帶寬的垃圾數(shù)據(jù),在兩臺主機之間生成足夠多的無用數(shù)據(jù)流,這一拒絕服務攻擊飛快地導致網絡可用帶寬耗盡。
SYN泛洪
(SYNflood)
SYNflood攻擊:我們知道當用戶進行一次標準的TCP(TransmissionControlProtocol)連接時,會有一個3次握手過程。首先是請求服務方發(fā)送一個SYN(SynchronizeSequenceNumber)消息,服務方收到SYN后,會向請求方回送一個SYN-ACK表示確認,當請求方收到SYN-ACK后,再次向服務方發(fā)送一個ACK消息,這樣一次TCP連接建立成功。“SYNFlooding”則專門針對TCP協(xié)議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊,其在實現(xiàn)過程中只進行前2個步驟:當服務方收到請求方的SYN-ACK確認消息后,請求方由于采用源地址欺騙等手段使得服務方收不到ACK回應,于是服務方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。而對于某臺服務器來說,可用的TCP連接是有限的,因為他們只有有限的內存緩沖區(qū)用于創(chuàng)建連接,如果這一緩沖區(qū)充滿了虛假連接的初始信息,該服務器就會對接下來的連接停止響應,直至緩沖區(qū)里的連接企圖超時。如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求,該服務器可用的TCP連接隊列將很快被阻塞,系統(tǒng)可用資源急劇減少,網絡可用帶寬迅速縮小,長此下去,除了少數(shù)幸運用戶的請求可以插在大量虛假請求間得到應答外,服務器將無法向用戶提供正常的合法服務。
Land(LandAttack)攻擊
在Land攻擊中,黑客利用一個特別打造的SYN包--它的原地址和目標地址都被設置成某一個服務
dos攻擊
dos攻擊
器地址進行攻擊。此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息,結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接,每一個這樣的連接都將保留直到超時,在Land攻擊下,許多UNIX將崩潰,NT變得極其緩慢(大約持續(xù)五分鐘)。
IP欺騙
這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn),使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。假設有一個合法用戶(100.100.100.100)已經同服務器建了正常的連接,攻擊者構造攻擊的TCP數(shù)據(jù),偽裝自己的IP為100.100.100.100,并向服務器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務器接收到這樣的數(shù)據(jù)后,認為從100.100.100.100發(fā)送的連接有錯誤,就會清空緩沖區(qū)中已建立好的連接。這時,合法用戶100.100.100.100再發(fā)送合法數(shù)據(jù),服務器就已經沒有這樣的連接了,該用戶就被拒絕服務而只能重新開始建立新的連接。
攻擊方法
具體DoS攻擊方法很多,但大多都可以分為以下幾類:
利用軟件實現(xiàn)的缺陷
OOB攻擊(常用工具winnuke),teardrop攻擊(常用工具teardrop.cboink.cbonk.c),lan
d攻擊,IGMP碎片包攻擊,jolt攻擊,Cisco2600路由器IOSversion12.0(10)遠程拒絕服務攻擊等等,這些攻擊都是利用了被攻擊軟件的實現(xiàn)上的缺陷完成DoS攻擊的。通常這些攻擊工具向被攻擊系統(tǒng)發(fā)送特定類型的一個或多個報文,這些攻擊通常都是致命的,一般都是一擊致死,而且很多攻擊是可以偽造源地址的,所以即使通過IDS或者別的sniffer軟件記錄到攻擊報文也不能找到誰發(fā)動的攻擊,而且此類型的攻擊多是特定類型的幾個報文,非常短暫的少量的報文,如果偽造源IP地址的話,使追查工作幾乎是不可能。
那么如何造成這些攻擊的?通常是軟件開發(fā)過程中對某種特定類型的報文、或請求沒有處理,導致軟件遇到這種類型的報文運行出現(xiàn)異常,導致軟件崩潰甚至系統(tǒng)崩潰。下面結合幾個具體實例解釋一下這種攻擊的成因。
1997年5月7號有人發(fā)布了一個winnuke.c。首先建立一條到Win95/NT主機的TCP連接,然后發(fā)送TCP緊急數(shù)據(jù),導致對端系統(tǒng)崩潰。139/TCP是Win95/NT系統(tǒng)最常見的偵聽端口,所以winnuke.c使用了該端口。之所以稱呼這種攻擊為OOB攻擊,因為MSG_OOB標志,實際應該是TCP緊急數(shù)據(jù)攻擊。
原始teardrop.c只構造了兩種碎片包,每次同時發(fā)送這兩種UDP碎片包。如果指定發(fā)送次數(shù),將完全重復先前所發(fā)送出去的兩種碎片包。它可以偽造源ip并跨越路由器進行遠程攻擊,影響的系統(tǒng)包括Linux/WinNT/Win95。使用的方法是:
teardrop源ip目的ip[-s源端口][-d目的端口][-n次數(shù)]
比較新的一個DoS攻擊是Windows的SMB實現(xiàn)中的DoS攻擊,2002年8月發(fā)布,只要允許匿名連接的windows系統(tǒng)就可以進行遠程攻擊,強烈建議Windows用戶打相應的補丁。它的方法就是先和目標系統(tǒng)建立一個連接,然后發(fā)送一個特定的請求,目標系統(tǒng)就會蘭屏。發(fā)布的測試工具SMBdie.exe是圖形界面工具,輸入目標地址NETBIOS名稱即可。
從上面的討論可以看出,這種攻擊行為威力很大,而且難于偵察。但真實情況下它的危害僅現(xiàn)于漏洞發(fā)布后的不長的時間段內,相關廠商會很快發(fā)布補丁修補這種漏洞。所以上面提到的幾種較老的攻擊在現(xiàn)實的環(huán)境中,通常是無效的。不過最新的攻擊方法還是讓我們不寒而栗,我們可以做的就是關注安全漏洞的發(fā)布,及時打上新的補丁。如果你想偷懶的話,購買專業(yè)安全服務公司的相關服務應該是個更好的選擇。
利用協(xié)議的漏洞
如果說上面那種漏洞危害的時間不是很長,那么這種攻擊的生存能力卻非常強。為了能夠在網絡上進行互通、互聯(lián),所有的軟件實現(xiàn)都必須遵循既有的協(xié)議,而如果這種協(xié)議存在漏洞的話,所有遵循此協(xié)議的軟件都會受到影響。
最經典的攻擊是synflood攻擊,它利用TCP/IP協(xié)議的漏洞完成攻擊。通常一次TCP連接的建立包括3個步驟,客戶端發(fā)送SYN包給服務器端,服務器分配一定的資源給這里連接并返回SYN/ACK包,并等待連接建立的最后的ACK包,最后客戶端發(fā)送ACK報文,這樣兩者之間的連接建立起來,并可以通過連接傳送數(shù)據(jù)了。而攻擊的過程就是瘋狂發(fā)送SYN報文,而不返回ACK報文,服務器占用過多資源,而導致系統(tǒng)資源占用過多,沒有能力響應別的操作,或者不能響應正常的網絡請求。
這個攻擊是經典的以小搏大的攻擊,自己使用少量資源占用對方大量資源。一臺P4的Linux系統(tǒng)大約能發(fā)到30-40M的64字節(jié)的synflood報文,而一臺普通的服務器20M的流量就基本沒有任何響應了(包括鼠標、鍵盤)。而且synflood不僅可以遠程進行,而且可以偽造源IP地址,給追查造成很大困難,要查找必須所有骨干網絡運營商,一級一級路由器的向上查找。
對于偽造源IP的synflood攻擊,除非攻擊者和被攻擊的系統(tǒng)之間所有的路由器的管理者都配合查找,否
則很難追查。當前一些防火墻產品聲稱有抗DoS的能力,但通常他們能力有限,包括國外的硬件防火墻大多100M防火墻的抗synflood的能力只有20-30Mbps(64字節(jié)syn包),這里涉及到它們對小報文的轉發(fā)能力,再大的流量甚至能把防火墻打死機。有些安全廠商認識到DoS攻擊的危害,開始研發(fā)專用的抗拒絕服務產品。
由于TCP/IP協(xié)議相信報文的源地址,另一種攻擊方式是反射拒絕服務攻擊,另外可以利用還有廣播地址,和組播協(xié)議輔助反射拒絕服務攻擊效果更好。不過大多數(shù)路由器都禁止廣播地址和組播協(xié)議的地址。
另一類攻擊方式是使用大量符合協(xié)議的正常服務請求,由于每個請求耗費很大系統(tǒng)資源,導致正常服務請求不能成功。如HTTP協(xié)議是無狀態(tài)協(xié)議,攻擊者構造大量搜索請求,這些請求耗費大量服務器資源,導致DoS。這種方式攻擊比較好處理,由于是正常請求,暴露了正常的源IP地址,禁止這些IP就可以了。
進行資源比拼
這種攻擊方式屬于無賴打法,我憑借著手中的資源豐富,發(fā)送大量的垃圾數(shù)據(jù)侵占完你的資源,導致DoS。比如,ICMPflood,mstreamflood,Connectionflood。為了獲得比目標系統(tǒng)更多資源,通常攻擊者會發(fā)動DDoS(DistributedDos分布式拒絕服務)攻擊者控制多個攻擊傀儡發(fā)動攻擊,這樣才能產生預期的效果。前兩類攻擊是可以偽造IP地址的,追查也是非常困難,第3種攻擊由于需要建立連接,可能會暴露攻擊傀儡的IP地址,通過防火墻禁止這些IP就可以了。對于難于追查,禁止的攻擊行為,我們只能期望專用的抗拒絕服務產品了。
攻擊程序
smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,本文將對它們的原理以及抵御措施進行論述,以幫助管理員有效地抵御DoS風暴攻擊,維護站點安全。
“smurf攻擊”,如何抵御
Smurf是一種簡單但有效的DDoS攻擊技術,它利用了ICMP(Internet控制信息協(xié)議)。ICMP在Internet
黑客
黑客
上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯(lián)系,通過發(fā)送一個“回音請求”(echorequest)信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的,然后用一個偽造的源地址連續(xù)ping一個或多個計算機網絡,這就導致所有計算機所響應的那個計算機并不是實際發(fā)送這個信息包的那個計算機。這個偽造的源地址,實際上就是攻擊的目標,它將被極大數(shù)量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。
下面是SmurfDDoS攻擊的基本特性以及建議采用的抵御策略:
1、Smurf的攻擊平臺:smurf為了能工作,必須要找到攻擊平臺,這個平臺就是:其路由器上啟動了IP廣播功能。這個功能允許smurf發(fā)送一個偽造的ping信息包,然后將它傳播到整個計算機網絡中。
2、為防止系統(tǒng)成為smurf攻擊的平臺,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能并不需要。
3、攻擊者也有可能從LAN內部發(fā)動一個smurf攻擊,在這種情況下,禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊,許多操作系統(tǒng)都提供了相應設置,防止計算機對IP廣播請求做出響應。
4、如果攻擊者要成功地利用你成為攻擊平臺,你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網絡。配置路由器,讓它將不是由你的內網中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網絡出口過濾器功能。
5、ISP則應使用網絡入口過濾器,以丟掉那些不是來自一個已知范圍內IP地址的信息包。
6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應答(echoreply)信息包進行過濾,然后丟棄它們,這樣就能阻止“命中”Web服務器和內網。對于那些使用Cisco路由器的人,另一個選擇是CAR(CommittedAccessRate,承諾訪問速率)。
丟棄所有的回音應答信息包能使網絡避免被淹沒,但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標,就要請求ISP對回音應答信息包進行過濾并丟棄。如果不想完全禁止回音應答,那么可以有選擇地丟棄那些指向你的公用Web服務器的回音應答信息包。CAR技術由Cisco開發(fā),它能夠規(guī)定出各種信息包類型使用的帶寬的最大值。例如,使用CAR,我們就可以精確地規(guī)定回音應答信息包所使用的帶寬的最大值。
“trinoo”,如何抵御
trinoo是復雜的DDoS攻擊程序,它使用“master”程序對實際實施攻擊的任何數(shù)量的“代理”
牽引流量技術在DOS攻擊中應用
牽引流量技術在DOS攻擊中應用
程序實現(xiàn)自動控制。攻擊者連接到安裝了master程序的計算機,啟動master程序,然后根據(jù)一個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP信息包沖擊網絡,從而攻擊目標。在攻擊之前,侵入者為了安裝軟件,已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。
下面是trinooDDoS攻擊的基本特性以及建議采用的抵御策略:
1、在master程序與代理程序的所有通訊中,trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠尋找使用UDP協(xié)議的數(shù)據(jù)流(類型17)。
2、Trinoomaster程序的監(jiān)聽端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP(類型6)并連接到端口27655的數(shù)據(jù)流。
3、所有從master程序到代理程序的通訊都包含字符串“l44”,并且被引導到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接,如果有包含字符串l44的信息包被發(fā)送過去,那么接受這個信息包的計算機可能就是DDoS代理。
4、Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發(fā)送的,因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自DaveDittrich的trinot腳本,要準確地驗證出trinoo代理的存在是很可能的。
一旦一個代理被準確地識別出來,trinoo網絡就可以安裝如下步驟被拆除:
·在代理daemon上使用"strings"命令,將master的IP地址暴露出來。
·與所有作為trinoomaster的機器管理者聯(lián)系,通知它們這一事件。
·在master計算機上,識別含有代理IP地址列表的文件(默認名“...”),得到這些計算機的IP地址列表。
·向代理發(fā)送一個偽造“trinoo”命令來禁止代理。通過crontab文件(在UNIX系統(tǒng)中)的一個條目,代理可以有規(guī)律地重新啟動,因此,代理計算機需要一遍一遍地被關閉,直到代理系統(tǒng)的管理者修復了crontab文件為止。
·檢查master程序的活動TCP連接,這能顯示攻擊者與trinoomaster程序之間存在的實時連接。
·如果網絡正在遭受trinoo攻擊,那么系統(tǒng)就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發(fā)送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。
·在美國FBI網站上有一個檢測和根除trinoo的自動程序。
“TribalFloodNetwork”和“TFN2K”,如何抵御
TribeFloodNetwork與trinoo一樣,使用一個master程序與位于多個網絡上的攻擊代理進行通訊。TFN可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。可以由TFN發(fā)動的攻擊包括:UDP沖擊、TCPSYN沖擊、ICMP回音請求沖擊以及ICMP廣播。
以下是TFNDDoS攻擊的基本特性以及建議的抵御策略:
1、發(fā)動TFN時,攻擊者要訪問master程序并向它發(fā)送一個或多個目標IP地址,然后Master程序繼續(xù)與所有代理程序通訊,指示它們發(fā)動攻擊。
TFNMaster程序與代理程序之間的通訊使用ICMP回音應答信息包,實際要執(zhí)行的指示以二進制形式包含在16位ID域中。ICMP(Internet控制信息協(xié)議)使信息包協(xié)議過濾成為可能。通過配置路由器或入侵檢測系統(tǒng),不允許所有的ICMP回音或回音應答信息包進入網絡,就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序,比如ping。
TFNMaster程序讀取一個IP地址列表,其中包含代理程序的位置。這個列表可能使用如“Blowfish”的加密程序進行了加密。如果沒有加密的話,就可以從這個列表方便地識別出代理信息。
2、用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的程序是td,發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn。TFN代理并不查看ICMP回音應答信息包來自哪里,因此使用偽裝ICMP信息包沖刷掉這些過程是可能的。
TFN2K是TFN的一個更高級的版本,它“修復”了TFN的某些缺點:
1、在TFN2K下,Master與代理之間的通訊可以使用許多協(xié)議,例如TCP、UDP或ICMP,這使得協(xié)議過濾不可能實現(xiàn)。
2、TFN2K能夠發(fā)送破壞信息包,從而導致系統(tǒng)癱瘓或不穩(wěn)定。
3、TFN2K偽造IP源地址,讓信息包看起來好像是從LAN上的一個臨近機器來的,這樣就可以挫敗出口過濾和入口過濾。
4、由于TFN2K是被識破的,因此還沒有一項研究能夠發(fā)現(xiàn)它的明顯弱點。
在人們能夠對TFN2K進行更完全的分析之前,最好的抵御方法是:
·加固系統(tǒng)和網絡,以防系統(tǒng)被當做DDoS主機。
·在邊界路由器上設置出口過濾,這樣做的原因是或許不是所有的TFN2K源地址都用內部網絡地址進行偽裝。
·請求上游供應商配置入口過濾。
“stacheldraht”,如何防范
Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發(fā)動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp(remotecopy,遠程復制)技術對代理程序進行更新。
Stacheldraht同TFN一樣,可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動的攻擊包括UDP沖擊、TCPSYN沖擊、ICMP回音應答沖擊以及ICMP播放。
以下是StacheldrahtDDoS攻擊的基本特征以及建議采取的防御措施:
1、在發(fā)動Stacheldraht攻擊時,攻擊者訪問master程序,向它發(fā)送一個或多個攻擊目標的IP地址。Master程序再繼續(xù)與所有代理程序進行通訊,指示它們發(fā)動攻擊。
Stacheldrahtmaster程序與代理程序之間的通訊主要是由ICMP回音和回音應答信息包來完成的。配置路由器或入侵檢測系統(tǒng),不允許一切ICMP回音和回音應答信息包進入網絡,這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序,例如ping。
2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯(lián)系。如果聯(lián)系成功,代理程序就會進行一個測試,以確定它被安裝到的系統(tǒng)是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息,可以探測出這兩個行為。
代理會向每個master發(fā)送一個ICMP回音應答信息包,其中有一個ID域包含值666,一個數(shù)據(jù)域包含字符串“skillz”。如果master收到了這個信息包,它會以一個包含值667的ID域和一個包含字符串“ficken”的數(shù)據(jù)域來應答。代理和master通過交換這些信息包來實現(xiàn)周期性的基本接觸。通過對這些信息包的監(jiān)控,可以探測出Stacheldraht。
一旦代理找到了一個有效master程序,它會向master發(fā)送一個ICMP信息包,其中有一個偽造的源地址,這是在執(zhí)行一個偽造測試。這個假地址是“3.3.3.3”。如果master收到了這個偽造地址,在它的應答中,用ICMP信息包數(shù)據(jù)域中的“spoofworks”字符串來確認偽造的源地址是奏效的。通過監(jiān)控這些值,也可以將Stacheldraht檢測出來。
3、Stacheldraht代理并不檢查ICMP回音應答信息包來自哪里,因此就有可能偽造ICMP信息包將其排除。
4、Stacheldraht代理程序與TFN和trinoo一樣,都可以用一個C程序來探測。
看過文章“局域網dos攻擊”的人還看了:
7.怎么Dos入侵