典型DoS攻击原理及抵御措施(4)
来源:asp之家 发布时间:2009-09-19 20:15:00
四、何为 "stacheldraht",如何防范?
Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式,其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时,侵入者与master程序进行连接。Stacheldraht增加了以下新功能:攻击者与master程序之间的通讯是加密的,以及使用rcp(remote copy,远程复制)技术对代理程序进行更新。
Stacheldraht 同TFN一样,可以并行发动数不胜数的DoS攻击,类型多种多样,而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击以及ICMP播放。
以下是Stacheldraht DDoS攻击的基本特征以及建议采取的防御措施:
1、在发动Stacheldraht攻击时,攻击者访问master程序,向它发送一个或多个攻击目标的 IP地址。Master程序再继续与所有代理程序进行通讯,指示它们发动攻击。
Stacheldraht master程序与代理程序之间的通讯主要是由ICMP回音和回音应答信息包来完成的。配置路由器或入侵检测系统,不允许一切ICMP回音和回音应答信息包进入网络,这样可以挫败Stacheldraht代理。但是这样会影响所有要使用这些功能的Internet程序,例如ping。
2、代理程序要读取一个包含有效master程序的IP地址列表。这个地址列表使用了Blowfish加密程序进行加密。代理会试图与列表上所有的master程序进行联系。如果联系成功,代理程序就会进行一个测试,以确定它被安装到的系统是否会允许它改变"伪造"信息包的源地址。通过配置入侵检测系统或使用嗅探器来搜寻它们的签名信息,可以探测出这两个行为。
代理会向每个master发送一个ICMP 回音应答信息包,其中有一个ID 域包含值666,一个数据域包含字符串"skillz"。如果master收到了这个信息包,它会以一个包含值667的ID 域和一个包含字符串"ficken"的数据域来应答。代理和master通过交换这些信息包来实现周期性的基本接触。通过对这些信息包的监控,可以探测出Stacheldraht。
一旦代理找到了一个有效master程序,它会向master发送一个ICMP信息包,其中有一个伪造的源地址,这是在执行一个伪造测试。这个假地址是"3.3.3.3"。如果master收到了这个伪造地址,在它的应答中,用ICMP信息包数据域中的"spoofworks"字符串来确认伪造的源地址是奏效的。通过监控这些值,也可以将Stacheldraht检测出来。
3、Stacheldraht代理并不检查 ICMP 回音应答信息包来自哪里,因此就有可能伪造 ICMP 信息包将其排除。
4、Stacheldraht代理程序与TFN 和 trinoo一样,都可以用一个C程序来探测。
猜你喜欢
- 香港 ns1.netvigator.com 205.252.144.228澳门 vassun2.macau.ctm.net 202.175.
- 近年来SNS的盛行,也引发了好多人对于SNS与招聘结合的探讨。随着若邻网全新模式的猎聘平台的上线,我也谈一下对于SNS与招聘的结合问题。当前
- 校园网站的发展。是很多学校近年来关注的焦点,可以说是前景很多,很多学校都想建立自己学校的网站。校园网站的建设应明确以下几个问题:1、建立完善
- 【搜狐IT消息】(文/雷风)6月25日,原微软中国总裁、盛大网络总裁唐骏在接受搜狐IT采访时对比尔·盖茨进行了评价,并回顾了与盖茨交往中难忘
- 2011第六届中国互联网站长年会暨康盛(comsenz)与落伍者(im286)十周年聚会今日在北京国际会议中心召开,本次大会以“走向开放”、
- 为什么要用datafeedr打造英文网站?1、能在半个小时,在成千上万的同类产品归集到你的网站中,支持CJ,linkshare,affili
- UCenter Home 默认有 8 个分组,如下图所示: 很多会员想修改默认的会员分组,下面我们仔细讲解如何修改好友分组的名称。
- 下面是一个关键字标签"Keywords"的使用样例:<meta name="keywords"
- 本文将为大家介绍SOFTETHER服务器Linux版的环境要求,安装方法,启动方法,以及运营/管理方法。1)工作环境要求Linux版Soft
- 北京时间10月27日消息,据国外媒体报道,印度报纸Business Standard今天援引未具名业界人士的话报道称,谷歌或与一家印度合作伙
- 搜索引擎会对恶意进行SEO的网站进行惩罚,如清除所有链接。百度对作弊的判断条件:(1)在网页源代码的任意位置,故意加入与网页内容不相关的关键
- 2006年9月7日,一个不太显眼的投资行动悄悄完成,李嘉诚的航母旗舰:长实(001HK)和和黄(0013HK)抛售了一家美国互联网公司22%
- 在刚刚过去的“酷我”粉丝打榜第三季——酷我音乐盒2009版上
- Windows Server自带的互联网信息服务器(Internet Information Server,IIS)是架设网站服务器的常用工
- 打开文件:require/rebang.php找到以下代码:SELECT tid as id,subject&
- 在很早之前,麦田老师抛出“博客过时论”之后,就真的再也没有见麦田老师更新过博客,似乎是从本身的行动来证明自己的言论。从那时起或者是更早之前,
- 雅虎大刀阔斧的改革还在继续。雅虎对外宣称,将在美国东部时间10月26日关闭在该公司旗下的GeoCities网络托管服务。这也标志着个人主页时
- 最近使用搜索,发现排在前面的网站有不少是大网站或搜索旗下的网站,作为中小网站如何突破这一困境,用什么才可以获得流量和用户,网站是以内容为王还
- 做网站,想必每一位站长的心愿都是一致的——更多的流量以便带来更多的收益!因此,不断宣传和推广自己的网站,让更多的人知道、了解并信赖你的网站,
- 什么是404错误HTTP 404 错误意味着链接指向的网页不存在,即原始网页的URL失效,这种情况经常会发生,很难避免,比如说:网页URL生