2.4拒绝服务攻击-华东理工大学计算机科学与工程系.ppt

* 网络入侵与防范讲义 * TFN2K—检测(2) 另一种对TFN2K的检测的方法是采用病毒检测的通用做法，采用特征码。 虽然TFN2K服务端和守护进程的文件名可以随意修改，但是程序中必然存在不会改变的特征字符串，这个不会改变的字符串就是程序的特征码，检查系统中是否存在有这样特征码的程序就能发现系统中存在的TFN2K。 * 网络入侵与防范讲义 * TFN2K—防御 TFN2K的抵御方法有： 加固系统和网络，以防系统被当做DDoS主机。 在边界路由器上设置出口过滤，这样做的原因是或许不是所有的TFN2K源地址都用内部网络地址进行伪装。 请求上游供应商配置入口过滤。 * 网络入侵与防范讲义 * Trinoo—介绍 Trinoo也是一种比较常见的分布式拒绝服务攻击，Trinoo与TFN2K相比，虽然在很多方面都略逊一筹，但从总体上来说，Trinoo还是一个非常不错的分布式拒绝服务攻击工具。 * 网络入侵与防范讲义 * Trinoo—组成 Trinoo是一个典型的分布式拒绝服务攻击软件，由两部分组成，服务端和守护进程，而没有专门的客户端软件，客户端软件可以使用通用的如Telnet来代替。如图： * 网络入侵与防范讲义 * Trinoo—工作原理 Trinoo的守护进程NC在编译时就将安装有服务程序的主机IP地址包含在内，这样，守护进程NC一旦运行起来，就会自动检测本机的IP地址，并将本机的IP地址发送到预先知道的服务器的31335端口（服务器开启31335UDP端口接收守护进程）。 同时，守护进程也在本机打开一个27444的UDP端口等待服务器端过来的命令。 Trinoo的服务器端在收到守护进程发回来的IP地址后，就明白已有一个守护进程准备完毕，可以发送指控命令了。 主服务器会一直记录并维护一个已激活守护程序的主机清单。 * 网络入侵与防范讲义 * Trinoo—设计特色 Trinooo的所有连接都需要口令，连接的口令是编译时就指定的，缺省情况下，服务端连接守护进程的口令是“144adsl”，而客户端连接到服务端的口令是“betaalmostdone”。不过口令在进行验证时是明文进行传送的。 Trinoo另一个比较有特色的设计是，当客户端连接到服务端时，如果还有其他的连接建立，Trinoo会将一个包含连接IP地址的报警信息发送到已连接的主机。这样，入侵者在控制服务端发动攻击时，还能掌握系统上的用户动向，确保Trinoo客户端的安全。 * 网络入侵与防范讲义 * Trinoo--基本特性及建议的抵御策略 在master程序（服务端）与代理程序（守护程序）的所有通讯中，Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。 Trinoo master程序的监听端口是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655上的数据流。 * 网络入侵与防范讲义 * Trinoo--基本特性及建议的抵御策略(2) 所有从master程序到代理程序的通讯都包含字符串l44，并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。 Master和代理之间的通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令以及Dave Dittrich编写的Trinot脚本，要准确地验证出Trinoo代理的存在是很可能的。 * 网络入侵与防范讲义 * 6.2.7 Smurf攻击 Smurf攻击示意图： * 网络入侵与防范讲义 * 6.2.7 Smurf攻击 如上例所示，入侵者的主机发送了一个数据包，而目标主机就收到了三个回复数据包。 如果目标网络是一个很大的以太网，有200台主机，那么在这种情况下，入侵者每发送一个ICMP数据包，目标主机就会收到200个数据包，因此目标主机很快就会被大量的回复信息吞没，无法处理其他的任何网络传输。 这种攻击不仅影响目标主机，还能影响目标主机的整个网络系统。 * 网络入侵与防范讲义 * Smurf攻击例子 B类网络 攻击者冒充服务器向一个B类网络的广播地址发送ICMP echo包 整个B类网络的所有系统都向此服务器回应一个icmp reply包 * 网络入侵与防范讲义 * 6.2.8 Fraggle攻击 Fraggle攻击原理与Smurf一样，也是采用向广播地址发送数据包，利用广播地址的特性将攻击放大以使目标主机拒绝服务。 不同的是，Fraggle使用的是UDP应答消息而非ICMP。 * 网络入侵与防范讲义 * 6.2.9 电子