D.D.o.S攻擊的威脅入門級介紹 -電腦資料

    分布式D.O.S攻擊(DDOS)的威脅-入門級介紹

    作者：(張海航)

    該攻擊方式稱為分布式D.O.S(Distributed Denial Of Service)攻擊，

D.D.o.S攻擊的威脅入門級介紹

。國外一些高性能的商業(yè)網(wǎng)絡(luò)和教育網(wǎng)絡(luò)遭受到了這種攻擊。它利用攻擊者已經(jīng)侵入并控制的主機(jī)（可能是數(shù)百臺），對某一單機(jī)發(fā)起攻擊。在懸殊的帶寬力量對比下，被攻擊的主機(jī)會很快失去反應(yīng)。這種攻擊方式被證實是非常有效的，而且非常難以抵擋。

    一般的人比較難以順利實現(xiàn)這些攻擊。因為攻擊者必須熟悉一些入侵技巧。出現(xiàn)在一些 網(wǎng)站上的兩個已知工具可以幫助實現(xiàn)這種攻擊。它們是trin00和Tribe Flood Network。源代碼包的安裝使用過程是比較復(fù)雜的，因為編譯者首先要找一些internet上有漏洞的主機(jī)，通過一些典型而有效的遠(yuǎn)程溢出漏洞攻擊程序，獲取其系統(tǒng)控制權(quán)，然后在這些機(jī)器上裝上并運行分布端的攻擊守護(hù)進(jìn)程，下面簡單地介紹一下trin00的結(jié)構(gòu)：

    trin00由三部分組成：

    1、客戶端

    2、主控端(master)

    3、分布端(broadcast)---攻擊守護(hù)進(jìn)程

    ------------------------------------

    1、客戶端可以是telnet之類的常用連接軟件，客戶端的作用是向主控端(master)發(fā)送命令。它通過連接master的27665端口，然后向master發(fā)送對目標(biāo)主機(jī)的攻擊請求。

    2、主控端(master)偵聽兩個端口，其中27655是接收攻擊命令，這個會話是需要密碼的。缺省的密碼是"betaalmostdone"。master啟動的時候還會顯示一個提示符："??"，等待輸入密碼。密碼為 "gOrave"，另一個端口是31335，等候分布端的UDP報文。

    在7月份的時候這些master的機(jī)器是:

    129.237.122.40

    207.228.116.19

    209.74.175.130

    3、分布端是執(zhí)行攻擊的角色。分布端安裝在攻擊者已經(jīng)控制的機(jī)器上,分布端編譯前植入了主控端master的IP地址，分布端與主控端用UDP報文通信，發(fā)送到主控端的31355端口，其中包含"*HELLO*"的字節(jié)數(shù)據(jù)。主控端把目標(biāo)主機(jī)的信息通過27444 UDP端口發(fā)送給分布端，分布端即發(fā)起flood攻擊。

    攻擊者-->master-->分布端-->目標(biāo)主機(jī)

    通信端口：

    攻擊者 to Master(s): 27665/tcp

    Master to 分布端: 27444/udp

    分布端 to Master(s): 31335/udp

    從分布端向受害者目標(biāo)主機(jī)發(fā)送的D.O.S都是UDP報文，每一個包含4個空字節(jié)，這些報文都從一個端口發(fā)出，但隨機(jī)地襲擊目標(biāo)主機(jī)上的不同端口。目標(biāo)主機(jī)對每一個報文回復(fù)一個ICMP Port Unreachable的信息，大量不同主機(jī)發(fā)來的這些洪水般的報文源源不斷，目標(biāo)主機(jī)將很快慢下來，直至剩余帶寬變?yōu)?。

    DDos式攻擊的步驟

    透過尋常網(wǎng)路(網(wǎng)絡(luò))連線，使用者傳送訊息要求服務(wù)器予以確認(rèn)。服務(wù)器于是將連線許可回傳給使用者。使用者確認(rèn)后，獲準(zhǔn)登入服務(wù)器。

    但在“拒絕服務(wù)”式攻擊的情況下，使用者傳送眾多要求確認(rèn)的訊息到服務(wù)器，使服務(wù)器充斥這種垃圾訊息。所有的訊息都附上捏造的地址，以至于服務(wù)器設(shè)圖回傳確認(rèn)許可時，無法找到使用者。服務(wù)器于是暫時等候，有時超過一分鐘，然后再切斷連線。服務(wù)器切斷連線時，駭客再度傳送新一波佯裝成要求確認(rèn)的訊息，再度啟動上述過程，導(dǎo)致服務(wù)器無法動彈，服務(wù)無限期停擺。這種攻擊行動使網(wǎng)站服務(wù)器充斥大量要求答覆的訊息，導(dǎo)致系統(tǒng)不勝負(fù)荷以至于當(dāng)機(jī)。

    這種分布式拒絕服務(wù)攻擊示意圖如下：

    *----------*

    | |

    | 攻擊者 |

    | |

    *----------*

    |

    |

    *----------*

    | |

    | 主控端 |

    | |

    *----------*

    |

    (指揮各個分節(jié)點進(jìn)行攻擊)

    |

    *------------*------*------*------------*

    | | | |

    | | | |

    v v v v

    *----------* *----------* *----------* *----------*

    | | | | | | | |

    | 代理端 | | 代理端 | | 代理端 | | 代理端 |

    | | | | | | | |

    *----------* *----------* *----------* *----------*

    / /

    / /

    / /

    (大量的垃圾數(shù)據(jù)包進(jìn)行攻擊)

    / /

    / /

    / /

    V V V V

    *-----------------------*

    | |

    | 被攻擊服務(wù)器 |

    | |

    *-----------------------*

    根據(jù)網(wǎng)絡(luò)通訊異常現(xiàn)象監(jiān)測分布式拒絕服務(wù)攻擊

    許多人或工具在監(jiān)測分布式拒絕服務(wù)攻擊時常犯的錯誤是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等，

電腦資料

《D.D.o.S攻擊的威脅入門級介紹》(http://m.clearvueentertainment.com)。要建立網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)（NIDS）對這些工具的監(jiān)測規(guī)則，必須著重觀察分析DDoS網(wǎng)絡(luò)通訊的普遍特征，不管是明顯的，還是模糊的。

    DDoS工具產(chǎn)生的網(wǎng)絡(luò)通訊信息有兩種：控制信息通訊（在DDoS客戶端與服務(wù)器端之間）和攻擊時的網(wǎng)絡(luò)通訊（在DDoS服務(wù)器端與目標(biāo)主機(jī)之間）。

    根據(jù)以下異�，F(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測出DDoS攻擊。

    異�，F(xiàn)象0：雖然這不是真正的"DDoS"通訊，但卻能夠用來確定DDoS攻擊的來源。根據(jù)分析，攻擊者在進(jìn)行DDoS攻擊前總要解析目標(biāo)的主機(jī)名。BIND域名服務(wù)器能夠記錄這些請求。由于每臺攻擊服務(wù)器在進(jìn)行一個攻擊前會發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo)IP主機(jī)名的PTR查詢請求。

    異常現(xiàn)象1：當(dāng)DDoS攻擊一個站點時，會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通訊流量的現(xiàn)象�，F(xiàn)在的技術(shù)能夠分別對不同的源地址計算出對應(yīng)的極限值。當(dāng)明顯超出此極限值時就表明存在DDoS攻擊的通訊。因此可以在主干路由器端建立ACL訪問控制規(guī)則以監(jiān)測和過濾這些通訊。

    異�，F(xiàn)象2：特大型的ICP和UDP數(shù)據(jù)包。正常的UDP會話一般都使用小的UDP包，通常有效數(shù)據(jù)內(nèi)容不超過10字節(jié)。正常的ICMP消息也不會超過64到128字節(jié)。那些尺寸明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的，主要含有加密后的目標(biāo)地址和一些命令選項。一旦捕獲到（沒有經(jīng)過偽造的）控制信息通訊，DDoS服務(wù)器的位置就暴露出來了，因為控制信息通訊數(shù)據(jù)包的目標(biāo)地址是沒有偽造的。

    異�，F(xiàn)象3：不屬于正常連接通訊的TCP和UDP數(shù)據(jù)包。最隱蔽的DDoS工具隨機(jī)使用多種通訊協(xié)議（包括基于連接的協(xié)議）通過基于無連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外，那些連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。

    異�，F(xiàn)象4：數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符（例如，沒有空格、標(biāo)點和控制字符）的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后而只會含有base64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN2K（及其變種）的特征模式是在數(shù)據(jù)段中有一串A字符（AAA……），這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒有使用BASE64編碼，對于使用了加密算法數(shù)據(jù)包，這個連續(xù)的字符就是“”。

    異�，F(xiàn)象5：數(shù)據(jù)段內(nèi)容只包含二進(jìn)制和high-bit字符的數(shù)據(jù)包。雖然此時可能在傳輸二進(jìn)制文件，但如果這些數(shù)據(jù)包不屬于正常有效的通訊時，可以懷疑正在傳輸?shù)氖菦]有被BASE64編碼但經(jīng)過加密的控制信息通訊數(shù)據(jù)包。（如果實施這種規(guī)則，必須將20、21、80等端口上的傳輸排除在外。）