|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,本文將對它們的原理以及抵御措施進行論述,以幫助管理員有效地抵御DoS風暴攻擊,維護站點安全。一、何為"smurf 攻擊",如何抵御? Smurf是一種簡單但有效的 DDoS 攻擊技術,它利用了 下面是Smurf DDoS 攻擊的基本特性以及建議采用的抵御策略: 1、Smurf的攻擊平臺:smurf為了能工作,必須要找到攻擊平臺,這個平臺就是:其路由器上啟動了 IP廣播功能。這個功能允許 smurf 發送一個偽造的ping信息包,然后將它傳播到整個計算機網絡中。 2、為防止系統成為 smurf攻擊的平臺,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能并不需要。 3、攻擊者也有可能從LAN內部發動一個smurf攻擊,在這種情況下,禁止路由器上的IP 廣播功能就沒有用了。為了避免這樣一個攻擊,許多操作系統都提供了相應設置,防止計算機對IP廣播請求做出響應。 4、如果攻擊者要成功地利用你成為攻擊平臺,你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網絡。配置路由器,讓它將不是由你的內網中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網絡出口過濾器功能。 5、ISP則應使用網絡入口過濾器,以丟掉那些不是來自一個已知范圍內IP地址的信息包。 6、挫敗一個smurf 攻擊的最簡單方法對邊界路由器的回音應答(echo reply)信息包進行過濾,然后丟棄它們,這樣就能阻止“命中”Web服務器和內網。對于那些使用Cisco路由器的人,另一個選擇是CAR (Committed Access Rate,承諾訪問速率)。 丟棄所有的回音應答信息包能使網絡避免被淹沒,但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標,就要請求ISP對回音應答信息包進行過濾并丟棄。 如果不想完全禁止回音應答,那么可以有選擇地丟棄那些指向你的公用Web 服務器的回音應答信息包。CAR 技術由Cisco 開發,它能夠規定出各種信息包類型使用的帶寬的最大值。例如,使用CAR,我們就可以精確地規定回音應答信息包所使用的帶寬的最大值。 二、何為 "trinoo",如何抵御它? trinoo 是復雜的 DDoS 攻擊程序,它使用“master”程序對實際實施攻擊的任何數量的“代理”程序實現自動控制。攻擊者連接到安裝了master程序的計算機,啟動master程序,然后根據一個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP 信息包沖擊網絡,從而攻擊目標。在攻擊之前,侵入者為了安裝軟件,已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。 下面是trinoo DDoS 攻擊的基本特性以及建議采用的抵御策略: 1、在master程序與代理程序的所有通訊中,trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流(類型17)。 2、Trinoo master程序的監聽端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP (類型6)并連接到端口27655的數據流。 3、所有從master程序到代理程序的通訊都包含字符串"l44",并且被引導到代理的UDP 端口27444。入侵檢測軟件檢查到UDP 端口27444的連接,如果有包含字符串l44的信息包被發送過去,那么接受這個信息包的計算機可能就是DDoS代理。 4、Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發送的,因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本,要準確地驗證出trinoo代理的存在是很可能的。 一旦一個代理被準確地識別出來,trinoo網絡就可以安裝如下步驟被拆除: ·在代理daemon上使用"strings"命令,將master的IP地址暴露出來。 ·與所有作為trinoo master的機器管理者聯系,通知它們這一事件。 ·在master計算機上,識別含有代理IP地址列表的文件(默認名"..."),得到這些計算機的IP地址列表。 ·向代理發送一個偽造"trinoo"命令來禁止代理。通過crontab 文件(在UNIX系統中)的一個條目,代理可以有規律地重新啟動, 因此,代理計算機需要一遍一遍地被關閉,直到代理系統的管理者修復了crontab文件為止。 ·檢查master程序的活動TCP連接,這能顯示攻擊者與trinoo master程序之間存在的實時連接。 ·如果網絡正在遭受trinoo攻擊,那么系統就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。 ·在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
