国外
些高性能
商业网络和教育网络遭受到了这种攻击它利用攻击者已经侵入并控制主机(可能是数百台)
对某单机发起攻击在悬殊带宽力量对比下被攻击主机会很快失去反应这种攻击方式被证实是非常有效而且非常难以抵挡 般人比较难以顺利实现这些攻击
攻击者必须熟悉些入侵窍门技巧出现在些黑客网站WebSite上两个已知工具可以帮助实现这种攻击它们是trin00和Tribe Flood Network源代码包安装使用过程是比较复杂编译者首先要找些
ernet上有漏洞主机通过些典型而有效远程溢出漏洞攻击
获取其系统控制权然后在这些机器上装上并运行分布端攻击守护进程下面简单地介绍下trin00结构: trin00由 3部分组成:
1、客户端
2、主控端(master)
3、分布端(broadcast)---攻击守护进程
------------------------------------
1、客户端可以是telnet的类
常用连接软件Software客户端作用是向主控端(master)发送命令它通过连接master27665端口然后向master发送对目标主机攻击请求 2、主控端(master)侦听两个端口
其中27655是接收攻击命令这个会话是需要密码缺省密码是"betaalmostdone"master启动时候还会显示个提示符:"??"等待输入密码密码为 "gOrave"另个端口是31335等候分布端UDP报文 在7月份
时候这些master机器是: 129.237.122.40
207.228.116.19
209.74.175.130
3、分布端是执行攻击
角色分布端安装在攻击者已经控制机器上,分布端编译前植入了主控端masterIP地址分布端和主控端用UDP报文通信发送到主控端31355端口其中包含"*HELLO*"字节数据主控端把目标主机信息通过27444 UDP端口发送给分布端分布端即发起flood攻击 攻击者-->master-->分布端-->目标主机
通信端口:
攻击者 to Master(s): 27665/tcp
Master to 分布端: 27444/udp
分布端 to Master(s): 31335/udp
从分布端向受害者目标主机发送
D.O.S都是UDP报文每个包含4个空字节这些报文都从个端口发出但随机地袭击目标主机上区别端口目标主机对每个报文回复个ICMP Port Unreachable信息大量区别主机发来这些洪水般报文源源不断目标主机将很快慢下来直至剩余带宽变为0 DDos式攻击
步骤 透过寻常网路(网络)连线
使用者传送讯息要求服务器予以确认服务器于是将连线许可回传给使用者使用者确认后获准登入服务器 但在“拒绝服务”式攻击
情况下使用者传送众多要求确认讯息到服务器使服务器充斥这种垃圾讯息所有讯息都附上捏造地址以至于服务器设图回传确认许可时无法找到使用者服务器于是暂时等候有时超过分钟然后再切断连线服务器切断连线时骇客再度传送新波佯装成要求确认讯息再度启动上述过程导致服务器无法动弹服务无限期停摆这种攻击行动使网站WebSite服务器充斥大量要求答覆讯息导致系统不胜负荷以至于当机 这种分布式拒绝服务攻击示意图如下:
*----------*
| |
| 攻击者 |
| |
*----------*
|
|
*----------*
| |
| 主控端 |
| |
*----------*
|
(指挥各个分节点进行攻击)
|
*------------*------*------*------------*
| | | |
| | | |
v v v v
*----------* *----------* *----------* *----------*
| | | | | | | |
| 代理端 | | 代理端 | | 代理端 | | 代理端 |
| | | | | | | |
*----------* *----------* *----------* *----------*
/ /
/ /
/ /
(大量
垃圾数据包进行攻击) / /
/ /
/ /
V V V V
*-----------------------*
| |
| 被攻击服务器 |
| |
*-----------------------*
根据网络通讯异常现象监测分布式拒绝服务攻击
许多人或工具在监测分布式拒绝服务攻击时常犯
是只搜索那些DDoS工具缺省特征
串、缺省端口、缺省口令等要建立网络入侵监测系统(NIDS)对这些工具监测规则必须着重观察分析DDoS网络通讯普遍特征不管是明显还是模糊 DDoS工具产生
网络通讯信息有两种:控制信息通讯(在DDoS客户端和服务器端的间)和攻击时网络通讯(在DDoS服务器端和目标主机的间) 根据以下异常现象在网络入侵监测系统建立相应规则
能够较准确地监测出DDoS攻击 异常现象0:虽然这不是真正
"DDoS"通讯但却能够用来确定DDoS攻击来源根据分析攻击者在进行DDoS攻击前总要解析目标主机名BIND域名服务器能够记录这些请求由于每台攻击服务器在进行个攻击前会发出PTR反向查询请求也就是说在DDoS攻击前域名服务器会接收到大量反向解析目标IP主机名PTR查询请求 异常现象1:当DDoS攻击
个站点时会出现明显超出该网络正常工作时极限通讯流量现象现在技术能够分别对区别源地址计算出对应极限值当明显超出此极限值时就表明存在DDoS攻击通讯因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯 异常现象2:特大型
ICP和UDP数据包正常UDP会话般都使用小UDP包通常有效数据内容不超过10字节正常ICMP消息也不会超过64到128字节那些尺寸明显大得多数据包很有可能就是控制信息通讯用主要含有加密后目标地址和些命令选项旦捕获到(没有经过伪造)控制信息通讯DDoS服务器位置就暴露出来了控制信息通讯数据包目标地址是没有伪造 异常现象3:不属于正常连接通讯
TCP和UDP数据包最隐蔽DDoS工具随机使用多种通讯协议(包括基于连接协议)通过基于无连接通道发送数据优秀防火墙和路由规则能够发现这些数据包另外那些连接到高于1024而且不属于常用网络服务目标端口数据包也是非常值得怀疑 异常现象4:数据段内容只包含文字和数字
(例如没有空格、标点和控制)数据包这往往是数据经过BASE64编码后而只会含有base64集特征TFN2K发送控制信息数据包就是这种类型数据包TFN2K(及其变种)特征模式是在数据段中有串A(AAA……)这是经过调整数据段大小和加密算法后结果如果没有使用BASE64编码对于使用了加密算法数据包这个连续就是“” 异常现象5:数据段内容只包含 2进制和high-bit
数据包虽然此时可能在传输 2进制文件但如果这些数据包不属于正常有效通讯时可以怀疑正在传输是没有被BASE64编码但经过加密控制信息通讯数据包(如果实施这种规则必须将20、21、80等端口上传输排除在外)篇文章: 黑客必学——开启肉鸡终端全攻略篇文章: 两招实用远程控制窍门技巧
最新评论