|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 三、何為"Tribal Flood Network" 和 "TFN2K",如何抵御? Tribe Flood Network與trinoo一樣,使用一個(gè)master程序與位于多個(gè)網(wǎng)絡(luò)上的攻擊代理進(jìn)行通訊。TFN可以并行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。 可以由 以下是TFN DDoS 攻擊的基本特性以及建議的抵御策略: 1、發(fā)動(dòng)TFN時(shí),攻擊者要訪問(wèn)master程序并向它發(fā)送一個(gè)或多個(gè)目標(biāo)IP地址,然后Master程序繼續(xù)與所有代理程序通訊,指示它們發(fā)動(dòng)攻擊。 TFN Master程序與代理程序之間的通訊使用ICMP回音應(yīng)答信息包,實(shí)際要執(zhí)行的指示以二進(jìn)制形式包含在16位ID域中。ICMP (Internet控制信息協(xié)議)使信息包協(xié)議過(guò)濾成為可能。通過(guò)配置路由器或入侵檢測(cè)系統(tǒng),不允許所有的ICMP回音或回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò),就可以達(dá)到挫敗TFN代理的目的。但是這樣會(huì)影響所有使用這些功能的Internet程序,比如ping。 TFN Master程序讀取一個(gè)IP地址列表,其中包含代理程序的位置。這個(gè)列表可能使用如"Blowfish"的加密程序進(jìn)行了加密。如果沒(méi)有加密的話,就可以從這個(gè)列表方便地識(shí)別出代理信息。 2、用于發(fā)現(xiàn)系統(tǒng)上TFN 代理程序的程序是td,發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn。TFN 代理并不查看ICMP回音應(yīng)答信息包來(lái)自哪里,因此使用偽裝ICMP 信息包沖刷掉這些過(guò)程是可能的。 TFN2K是TFN的一個(gè)更高級(jí)的版本,它“修復(fù)”了TFN的某些缺點(diǎn): 1、在TFN2K下,Master與代理之間的通訊可以使用許多協(xié)議,例如TCP、UDP或ICMP,這使得協(xié)議過(guò)濾不可能實(shí)現(xiàn)。 2、TFN2K能夠發(fā)送破壞信息包,從而導(dǎo)致系統(tǒng)癱瘓或不穩(wěn)定。 3、TFN2K偽造IP源地址,讓信息包看起來(lái)好像是從LAN上的一個(gè)臨近機(jī)器來(lái)的,這樣就可以挫敗出口過(guò)濾和入口過(guò)濾。 4、由于TFN2K是最近剛剛被識(shí)破的,因此還沒(méi)有一項(xiàng)研究能夠發(fā)現(xiàn)它的明顯弱點(diǎn)。 在人們能夠?qū)FN2K進(jìn)行更完全的分析之前,最好的抵御方法是: ·加固系統(tǒng)和網(wǎng)絡(luò),以防系統(tǒng)被當(dāng)做DDoS主機(jī)。 ·在邊界路由器上設(shè)置出口過(guò)濾,這樣做的原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進(jìn)行偽裝。 ·請(qǐng)求上游供應(yīng)商配置入口過(guò)濾。 四、何為 "stacheldraht",如何防范? Stacheldraht也是基于TFN和trinoo一樣的客戶機(jī)/服務(wù)器模式,其中Master程序與潛在的成千個(gè)代理程序進(jìn)行通訊。在發(fā)動(dòng)攻擊時(shí),侵入者與master程序進(jìn)行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp (remote copy,遠(yuǎn)程復(fù)制)技術(shù)對(duì)代理程序進(jìn)行更新。 Stacheldraht 同TFN一樣,可以并行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動(dòng)的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應(yīng)答沖擊以及ICMP播放。 以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施: 1、在發(fā)動(dòng)Stacheldraht攻擊時(shí),攻擊者訪問(wèn)master程序,向它發(fā)送一個(gè)或多個(gè)攻擊目標(biāo)的 IP地址。Master程序再繼續(xù)與所有代理程序進(jìn)行通訊,指示它們發(fā)動(dòng)攻擊。 Stacheldraht master程序與代理程序之間的通訊主要是由ICMP 回音和回音應(yīng)答信息包來(lái)完成的。配置路由器或入侵檢測(cè)系統(tǒng),不允許一切ICMP回音和回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò),這樣可以挫敗Stacheldraht代理。但是這樣會(huì)影響所有要使用這些功能的Internet程序,例如ping。 2、代理程序要讀取一個(gè)包含有效master程序的IP地址列表。這個(gè)地址列表使用了Blowfish加密程序進(jìn)行加密。代理會(huì)試圖與列表上所有的master程序進(jìn)行聯(lián)系。如果聯(lián)系成功,代理程序就會(huì)進(jìn)行一個(gè)測(cè)試,以確定它被安裝到的系統(tǒng)是否會(huì)允許它改變"偽造"信息包的源地址。通過(guò)配置入侵檢測(cè)系統(tǒng)或使用嗅探器來(lái)搜尋它們的簽名信息,可以探測(cè)出這兩個(gè)行為。 代理會(huì)向每個(gè)master發(fā)送一個(gè)ICMP 回音應(yīng)答信息包,其中有一個(gè)ID 域包含值666,一個(gè)數(shù)據(jù)域包含字符串"skillz"。如果master收到了這個(gè)信息包,它會(huì)以一個(gè)包含值667的ID 域和一個(gè)包含字符串"ficken"的數(shù)據(jù)域來(lái)應(yīng)答。代理和master通過(guò)交換這些信息包來(lái)實(shí)現(xiàn)周期性的基本接觸。通過(guò)對(duì)這些信息包的監(jiān)控,可以探測(cè)出Stacheldraht。 一旦代理找到了一個(gè)有效master程序,它會(huì)向master發(fā)送一個(gè)ICMP信息包,其中有一個(gè)偽造的源地址,這是在執(zhí)行一個(gè)偽造測(cè)試。這個(gè)假地址是"3.3.3.3"。如果master收到了這個(gè)偽造地址,在它的應(yīng)答中,用ICMP信息包數(shù)據(jù)域中的"spoofworks"字符串來(lái)確認(rèn)偽造的源地址是奏效的。通過(guò)監(jiān)控這些值,也可以將Stacheldraht檢測(cè)出來(lái)。 3、Stacheldraht代理并不檢查 ICMP 回音應(yīng)答信息包來(lái)自哪里,因此就有可能偽造 ICMP 信息包將其排除。 4、Stacheldraht代理程序與TFN 和 trinoo一樣,都可以用一個(gè)C程序來(lái)探測(cè),它的地址是:http://staff.washington.edu/dittrich/misc/ddos_scan.tar。 五、如何配置路由器、防火墻和入侵檢測(cè)系統(tǒng)來(lái)抵御常見(jiàn)DDoS攻擊? 1、抵御 Smurf ·確定你是否成為了攻擊平臺(tái):對(duì)不是來(lái)自于你的內(nèi)部網(wǎng)絡(luò)的信息包進(jìn)行監(jiān)控;監(jiān)控大容量的回音請(qǐng)求和回音應(yīng)答信息包。 ·避免被當(dāng)做一個(gè)攻擊平臺(tái):在所有路由器上禁止IP廣播功能;將不是來(lái)自于內(nèi)部網(wǎng)絡(luò)的信息包過(guò)濾掉。 ·減輕攻擊的危害:在邊界路由器對(duì)回音應(yīng)答信息包進(jìn)行過(guò)濾,并丟棄;對(duì)于Cisco路由器,使用CAR來(lái)規(guī)定回音應(yīng)答信息包可以使用的帶寬最大值。 2、抵御trinoo ·確定你是否成為攻擊平臺(tái):在master程序和代理程序之間的通訊都是使用UDP協(xié)議,因此對(duì)使用UDP協(xié)議(類別 17)進(jìn)行過(guò)濾;攻擊者用TCP端口27655與master程序連接,因此對(duì)使用TCP (類別6)端口 27655連接的流進(jìn)行過(guò)濾;master與代理之間的通訊必須要包含字符串"l44" ,并被引導(dǎo)到代理的UDP 端口27444,因此對(duì)與UDP端口27444連接且包含字符串l44的數(shù)據(jù)流進(jìn)行過(guò)濾。 ·避免被用作攻擊平臺(tái):將不是來(lái)自于你的內(nèi)部網(wǎng)絡(luò)的信息包過(guò)濾掉。 ·減輕攻擊的危害: 從理論上說(shuō),可以對(duì)有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進(jìn)行過(guò)濾,并丟棄它們。 3、抵御TFN和TFN2K ·確定你是否成為攻擊平臺(tái):對(duì)不是來(lái)自于內(nèi)部網(wǎng)絡(luò)的信息包進(jìn)行監(jiān)控。 ·避免被用作攻擊平臺(tái):不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應(yīng)答信息包,當(dāng)然這會(huì)影響所有要使用這些功能的Internet程序;將不是來(lái)源于內(nèi)部網(wǎng)絡(luò)的信息包過(guò)濾掉。 4、抵御Stacheldraht ·確定你是否成為攻擊平臺(tái):對(duì) ID域中包含值666、數(shù)據(jù)域中包含字符串"skillz"或ID域中包含值667、數(shù)據(jù)域中包含字符串"ficken" 的ICMP回音應(yīng)答信息包進(jìn)行過(guò)濾;對(duì)源地址為"3.3.3.3"的ICMP 信息包和ICMP信息包數(shù)據(jù)域中包含字符串"spoofworks"的數(shù)據(jù)流進(jìn)行過(guò)濾。 ·避免被用作攻擊平臺(tái):不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應(yīng)答信息包, 當(dāng)然這會(huì)影響所有要使用這些功能的Internet程序;將不是來(lái)源于內(nèi)部網(wǎng)絡(luò)的信息包過(guò)濾掉;將不是來(lái)源于內(nèi)部網(wǎng)絡(luò)的信息包過(guò)濾掉。 網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購(gòu)買微軟正版軟件!
本站所有資源全部來(lái)自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
