《关于邮件控制的DDoS的研究》.docVIP

“网络对抗实验” 实验报告 题 目 关于邮件控制的DDoS的研究Butter 2010年5月目录 引言…………………………………………………………………………………………………1 1.实验内容…………………………………………………………………………………….1 1.1…………………………………………………………………………1 1.2…………………………………………………………………………1 1.3…………………………………………………………………………1 2.实验方法………………………..………………………………………………………………2 2.1…………………………………………………………………………..2 2.2…………………………………………………………………………..2 2.3…………………………………………………………………………..22.3.1…………………………………………………………………………..22.3.2…………………………………………………………………………..8 3. 实验结果及其分析………………………………………………………………………..9 3.1……………………………………………………………………….9 3.2……………………………………………………………………….93.2.1………………………………………………………………………….93.2.2………………………………………………………………………….11 结论……………………………………………………………………………………………..12 参考文献……………………………………………………………………………………….13引言 DDOS全名是Distributed Denial of service 分布式拒绝服务攻击,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模. 第一章 实验内容 1.1 传统BotNet DDoS攻击控制的过程 首先攻击者通过特定的攻击程序扫描并入侵网络上存在安全漏洞的主机,在这些主机上植入类似于“木马”的后门程序,再将被入侵主机分为Handle和zombie两部分。通常Handle较少,并不直接参与攻击过程,而zombie是直接攻击源,数量巨大。攻击开始后,Zombie根据Handler发出的指令,这个指令的执行时间往往是Handler上的后门程序预先设置好的,同时向被攻击者发出攻击数据流,该攻击流为普通Dos攻击。 1.2 传统BotNet DDoS攻击控制的弊病 由于傀儡机和控制台之间的通信需要使用特殊的通道，也就是说需要程序连接二者，即使是加密通信，但因为使用了特殊的协议以及特殊的专用端口并且需要发送接收特殊的数据包，使得受控傀儡机与控制台均容易被察觉及反查，导致攻击者的暴露。 1.3 新型基于邮件控制BotNet的控制过程 而新型基于邮件控制BotNet采用免费公共邮件服务器为中转的控制方式，由于邮件服务属于系统正常服务一般不会存在由于防火墙的策略变更导致无法与傀儡机联系的情况，由于傀儡机伪装成合法的邮件客户端定时接收攻击者发送的含有攻击命令的邮件，在傀儡机防火墙的日志里也只会找到合法的邮件通信记录，更不会由于傀儡机控制程序的可疑外网连接而被发现。 更重要的是采用免费公共邮件服务器中转控制不仅仅在控制台与傀儡机间增加一层跳板，而且由于免费公共邮件服务器的流量巨大无法发现隐藏在众多邮件中的包含攻击指令的控制邮件。即使受害方反查至傀儡机，也会由于控制邮件被删除而无法找到真正发送信件的控制台的地址，使反查就此中断。 以下就是基于邮件控制BotNet的DDoS攻击网络结构示意图： 本实验即通过自行搭建虚拟网络以及编写相关程序实现邮件控制的DDoS这一攻击过程。 第二章 实验方法 2.1 实验平台 Windows XP Professional sp3 ;Vmware 7 ;VC 6.0; 2.2 Vmware虚拟网络平台设置 实验使用Vmware 7的Host-only网络模型组建虚拟网络，相关机器配置如下： Bot 1:28 Bot 2: Victim:3 Mailserver: 28由于机器配置所限，无法同时运行更多虚拟主机，故控制用邮件服务器与Bot 1搭建在同一台虚拟主机上，但不影响最终结果。为简便起见，受害服务器使用Winmail的http服务模拟。 2.3 实验代码的实现 2.3.1 服务端程序 1 从制定邮件服务器获取攻击指令函数 check void checkWSADATA wsa;WSAStartupMAKEWORD2, 2, wsa;stru