位置：首页>> 网站运营>> 典型DoS攻击原理及抵御措施（2）

典型DoS攻击原理及抵御措施（2）

　来源：asp之家　发布时间：2009-09-19 20:15:00　

标签：ddos,攻击

二、何为 "trinoo"，如何抵御它?

trinoo 是复杂的 DDoS攻击程序，它使用“master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。接着，代理程序用UDP信息包冲击网络，从而攻击目标。在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。

下面是trinoo DDoS 攻击的基本特性以及建议采用的抵御策略：

1、在master程序与代理程序的所有通讯中，trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。

2、Trinoo master程序的监听端口是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655的数据流。

3、所有从master程序到代理程序的通讯都包含字符串"l44"，并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。

4、Master和代理之间通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本，要准确地验证出trinoo代理的存在是很可能的。

一旦一个代理被准确地识别出来，trinoo网络就可以安装如下步骤被拆除：

·在代理daemon上使用"strings"命令，将master的IP地址暴露出来。

·与所有作为trinoo master的机器管理者联系，通知它们这一事件。

·在master计算机上，识别含有 * 地址列表的文件(默认名"...")，得到这些计算机的IP地址列表。

·向代理发送一个伪造"trinoo"命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动，因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。

·检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。

·如果网络正在遭受trinoo攻击，那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一来源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。

第一页上一页 1

3 4 5 下一页

投稿

典型DoS攻击原理及抵御措施（2）

猜你喜欢