位置：首页>> 网站运营>> 典型DoS攻击原理及抵御措施（3）

典型DoS攻击原理及抵御措施（3）

　来源：asp之家　发布时间：2009-09-19 20:15:00　

标签：ddos,攻击

三、何为"Tribal Flood Network" 和 "TFN2K"，如何抵御?

Tribe Flood Network与trinoo一样，使用一个master程序与位于多个网络上的攻击代理进行通讯。TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。可以由TFN发动的攻击包括：UDP冲击、TCP SYN 冲击、ICMP回音请求冲击以及 ICMP 广播。

以下是TFN DDoS 攻击的基本特性以及建议的抵御策略：

1、发动TFN时，攻击者要访问master程序并向它发送一个或多个目标IP地址，然后Master程序继续与所有代理程序通讯，指示它们发动攻击。

TFN Master程序与代理程序之间的通讯使用ICMP回音应答信息包，实际要执行的指示以二进制形式包含在16位ID域中。ICMP(Internet控制信息协议)使信息包协议过滤成为可能。通过配置路由器或入侵检测系统，不允许所有的ICMP回音或回音应答信息包进入网络，就可以达到挫败TFN代理的目的。但是这样会影响所有使用这些功能的Internet程序，比如ping。

TFN Master程序读取一个IP地址列表，其中包含代理程序的位置。这个列表可能使用如"Blowfish"的加密程序进行了加密。如果没有加密的话，就可以从这个列表方便地识别出代理信息。

2、用于发现系统上TFN 代理程序的程序是td，发现系统上master程序的程序是tfn。TFN 代理并不查看ICMP回音应答信息包来自哪里，因此使用伪装ICMP 信息包冲刷掉这些过程是可能的。

TFN2K是TFN的一个更高级的版本，它“修复”了TFN的某些缺点：

1、在TFN2K下，Master与代理之间的通讯可以使用许多协议，例如TCP、UDP或ICMP，这使得协议过滤不可能实现。

2、TFN2K能够发送破坏信息包，从而导致系统瘫痪或不稳定。

3、TFN2K伪造IP源地址，让信息包看起来好像是从LAN上的一个临近机器来的，这样就可以挫败出口过滤和入口过滤。

4、由于TFN2K是最近刚刚被识破的，因此还没有一项研究能够发现它的明显弱点。

在人们能够对TFN2K进行更完全的分析之前，最好的抵御方法是：

·加固系统和网络，以防系统被当做DDoS主机。

·在边界路由器上设置出口过滤，这样做的原因是或许不是所有的TFN2K源地址都用内部网络地址进行伪装。

·请求上游供应商配置入口过滤。

第一页上一页 1 2

4 5 下一页

投稿

典型DoS攻击原理及抵御措施（3）

猜你喜欢