网站运营
位置:首页>> 网站运营>> 典型DoS攻击原理及抵御措施(4)

典型DoS攻击原理及抵御措施(4)

 来源:asp之家 发布时间:2009-09-19 20:15:00 

标签:ddos,攻击

四、何为 "stacheldraht",如何防范?

Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式,其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时,侵入者与master程序进行连接。Stacheldraht增加了以下新功能:攻击者与master程序之间的通讯是加密的,以及使用rcp(remote copy,远程复制)技术对代理程序进行更新。

Stacheldraht 同TFN一样,可以并行发动数不胜数的DoS攻击,类型多种多样,而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击以及ICMP播放。

以下是Stacheldraht DDoS攻击的基本特征以及建议采取的防御措施:

1、在发动Stacheldraht攻击时,攻击者访问master程序,向它发送一个或多个攻击目标的 IP地址。Master程序再继续与所有代理程序进行通讯,指示它们发动攻击。

Stacheldraht master程序与代理程序之间的通讯主要是由ICMP回音和回音应答信息包来完成的。配置路由器或入侵检测系统,不允许一切ICMP回音和回音应答信息包进入网络,这样可以挫败Stacheldraht代理。但是这样会影响所有要使用这些功能的Internet程序,例如ping。

2、代理程序要读取一个包含有效master程序的IP地址列表。这个地址列表使用了Blowfish加密程序进行加密。代理会试图与列表上所有的master程序进行联系。如果联系成功,代理程序就会进行一个测试,以确定它被安装到的系统是否会允许它改变"伪造"信息包的源地址。通过配置入侵检测系统或使用嗅探器来搜寻它们的签名信息,可以探测出这两个行为。

代理会向每个master发送一个ICMP 回音应答信息包,其中有一个ID 域包含值666,一个数据域包含字符串"skillz"。如果master收到了这个信息包,它会以一个包含值667的ID 域和一个包含字符串"ficken"的数据域来应答。代理和master通过交换这些信息包来实现周期性的基本接触。通过对这些信息包的监控,可以探测出Stacheldraht。

一旦代理找到了一个有效master程序,它会向master发送一个ICMP信息包,其中有一个伪造的源地址,这是在执行一个伪造测试。这个假地址是"3.3.3.3"。如果master收到了这个伪造地址,在它的应答中,用ICMP信息包数据域中的"spoofworks"字符串来确认伪造的源地址是奏效的。通过监控这些值,也可以将Stacheldraht检测出来。

3、Stacheldraht代理并不检查 ICMP 回音应答信息包来自哪里,因此就有可能伪造 ICMP 信息包将其排除。

4、Stacheldraht代理程序与TFN 和 trinoo一样,都可以用一个C程序来探测。

第一页 上一页 1 2 3
4
5 下一页
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com