网站运营
位置:首页>> 网站运营>> 典型DoS攻击原理及抵御措施(2)

典型DoS攻击原理及抵御措施(2)

 来源:asp之家 发布时间:2009-09-19 20:15:00 

标签:ddos,攻击

二、何为 "trinoo",如何抵御它?

trinoo 是复杂的 DDoS攻击程序,它使用“master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了master程序的计算机,启动master程序,然后根据一个IP地址的列表,由master程序负责启动所有的代理程序。接着,代理程序用UDP信息包冲击网络,从而攻击目标。在攻击之前,侵入者为了安装软件,已经控制了装有master程序的计算机和所有装有代理程序的计算机。

下面是trinoo DDoS 攻击的基本特性以及建议采用的抵御策略:

1、在master程序与代理程序的所有通讯中,trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。

2、Trinoo master程序的监听端口是27655,攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655的数据流。

3、所有从master程序到代理程序的通讯都包含字符串"l44",并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。

4、Master和代理之间通讯受到口令的保护,但是口令不是以加密格式发送的,因此它可以被“嗅探”到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本,要准确地验证出trinoo代理的存在是很可能的。

一旦一个代理被准确地识别出来,trinoo网络就可以安装如下步骤被拆除:

·在代理daemon上使用"strings"命令,将master的IP地址暴露出来。

·与所有作为trinoo master的机器管理者联系,通知它们这一事件。

·在master计算机上,识别含有 * 地址列表的文件(默认名"..."),得到这些计算机的IP地址列表。

·向代理发送一个伪造"trinoo"命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目,代理可以有规律地重新启动,因此,代理计算机需要一遍一遍地被关闭,直到代理系统的管理者修复了crontab文件为止。

·检查master程序的活动TCP连接,这能显示攻击者与trinoo master程序之间存在的实时连接。

·如果网络正在遭受trinoo攻击,那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包,它们使用同一来源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。

第一页 上一页 1
2
3 4 5 下一页
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com