|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。 三、何為"Tribal Flood Network" 和 "TFN2K",如何抵御? Tribe Flood Network與trinoo一樣,使用一個master程序與位于多個網(wǎng)絡(luò)上的攻擊代理進行通訊。TFN可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。 可以由 以下是TFN DDoS 攻擊的基本特性以及建議的抵御策略: 1、發(fā)動TFN時,攻擊者要訪問master程序并向它發(fā)送一個或多個目標IP地址,然后Master程序繼續(xù)與所有代理程序通訊,指示它們發(fā)動攻擊。 TFN Master程序與代理程序之間的通訊使用ICMP回音應(yīng)答信息包,實際要執(zhí)行的指示以二進制形式包含在16位ID域中。ICMP (Internet控制信息協(xié)議)使信息包協(xié)議過濾成為可能。通過配置路由器或入侵檢測系統(tǒng),不允許所有的ICMP回音或回音應(yīng)答信息包進入網(wǎng)絡(luò),就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序,比如ping。 TFN Master程序讀取一個IP地址列表,其中包含代理程序的位置。這個列表可能使用如"Blowfish"的加密程序進行了加密。如果沒有加密的話,就可以從這個列表方便地識別出代理信息。 2、用于發(fā)現(xiàn)系統(tǒng)上TFN 代理程序的程序是td,發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn。TFN 代理并不查看ICMP回音應(yīng)答信息包來自哪里,因此使用偽裝ICMP 信息包沖刷掉這些過程是可能的。 TFN2K是TFN的一個更高級的版本,它“修復(fù)”了TFN的某些缺點: 1、在TFN2K下,Master與代理之間的通訊可以使用許多協(xié)議,例如TCP、UDP或ICMP,這使得協(xié)議過濾不可能實現(xiàn)。 2、TFN2K能夠發(fā)送破壞信息包,從而導(dǎo)致系統(tǒng)癱瘓或不穩(wěn)定。 3、TFN2K偽造IP源地址,讓信息包看起來好像是從LAN上的一個臨近機器來的,這樣就可以挫敗出口過濾和入口過濾。 4、由于TFN2K是最近剛剛被識破的,因此還沒有一項研究能夠發(fā)現(xiàn)它的明顯弱點。 在人們能夠?qū)FN2K進行更完全的分析之前,最好的抵御方法是: ·加固系統(tǒng)和網(wǎng)絡(luò),以防系統(tǒng)被當(dāng)做DDoS主機。 ·在邊界路由器上設(shè)置出口過濾,這樣做的原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進行偽裝。 ·請求上游供應(yīng)商配置入口過濾。 四、何為 "stacheldraht",如何防范? Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務(wù)器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發(fā)動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp (remote copy,遠程復(fù)制)技術(shù)對代理程序進行更新。 Stacheldraht 同TFN一樣,可以并行發(fā)動數(shù)不勝數(shù)的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應(yīng)答沖擊以及ICMP播放。 以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施: 1、在發(fā)動Stacheldraht攻擊時,攻擊者訪問master程序,向它發(fā)送一個或多個攻擊目標的 IP地址。Master程序再繼續(xù)與所有代理程序進行通訊,指示它們發(fā)動攻擊。 Stacheldraht master程序與代理程序之間的通訊主要是由ICMP 回音和回音應(yīng)答信息包來完成的。配置路由器或入侵檢測系統(tǒng),不允許一切ICMP回音和回音應(yīng)答信息包進入網(wǎng)絡(luò),這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序,例如ping。 2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯(lián)系。如果聯(lián)系成功,代理程序就會進行一個測試,以確定它被安裝到的系統(tǒng)是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息,可以探測出這兩個行為。 代理會向每個master發(fā)送一個ICMP 回音應(yīng)答信息包,其中有一個ID 域包含值666,一個數(shù)據(jù)域包含字符串"skillz"。如果master收到了這個信息包,它會以一個包含值667的ID 域和一個包含字符串"ficken"的數(shù)據(jù)域來應(yīng)答。代理和master通過交換這些信息包來實現(xiàn)周期性的基本接觸。通過對這些信息包的監(jiān)控,可以探測出Stacheldraht。 一旦代理找到了一個有效master程序,它會向master發(fā)送一個ICMP信息包,其中有一個偽造的源地址,這是在執(zhí)行一個偽造測試。這個假地址是"3.3.3.3"。如果master收到了這個偽造地址,在它的應(yīng)答中,用ICMP信息包數(shù)據(jù)域中的"spoofworks"字符串來確認偽造的源地址是奏效的。通過監(jiān)控這些值,也可以將Stacheldraht檢測出來。 3、Stacheldraht代理并不檢查 ICMP 回音應(yīng)答信息包來自哪里,因此就有可能偽造 ICMP 信息包將其排除。 4、Stacheldraht代理程序與TFN 和 trinoo一樣,都可以用一個C程序來探測,它的地址是:http://staff.washington.edu/dittrich/misc/ddos_scan.tar。 五、如何配置路由器、防火墻和入侵檢測系統(tǒng)來抵御常見DDoS攻擊? 1、抵御 Smurf ·確定你是否成為了攻擊平臺:對不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控;監(jiān)控大容量的回音請求和回音應(yīng)答信息包。 ·避免被當(dāng)做一個攻擊平臺:在所有路由器上禁止IP廣播功能;將不是來自于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。 ·減輕攻擊的危害:在邊界路由器對回音應(yīng)答信息包進行過濾,并丟棄;對于Cisco路由器,使用CAR來規(guī)定回音應(yīng)答信息包可以使用的帶寬最大值。 2、抵御trinoo ·確定你是否成為攻擊平臺:在master程序和代理程序之間的通訊都是使用UDP協(xié)議,因此對使用UDP協(xié)議(類別 17)進行過濾;攻擊者用TCP端口27655與master程序連接,因此對使用TCP (類別6)端口 27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串"l44" ,并被引導(dǎo)到代理的UDP 端口27444,因此對與UDP端口27444連接且包含字符串l44的數(shù)據(jù)流進行過濾。 ·避免被用作攻擊平臺:將不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。 ·減輕攻擊的危害: 從理論上說,可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾,并丟棄它們。 3、抵御TFN和TFN2K ·確定你是否成為攻擊平臺:對不是來自于內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控。 ·避免被用作攻擊平臺:不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應(yīng)答信息包,當(dāng)然這會影響所有要使用這些功能的Internet程序;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。 4、抵御Stacheldraht ·確定你是否成為攻擊平臺:對 ID域中包含值666、數(shù)據(jù)域中包含字符串"skillz"或ID域中包含值667、數(shù)據(jù)域中包含字符串"ficken" 的ICMP回音應(yīng)答信息包進行過濾;對源地址為"3.3.3.3"的ICMP 信息包和ICMP信息包數(shù)據(jù)域中包含字符串"spoofworks"的數(shù)據(jù)流進行過濾。 ·避免被用作攻擊平臺:不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應(yīng)答信息包, 當(dāng)然這會影響所有要使用這些功能的Internet程序;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學(xué)習(xí)測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機站 關(guān)于本站
