了解DDoS攻击的基础.PDFVIP

目录 简介 了解 DDoS 攻击的基础 用于帮助攻击的常用程序的特征 预防 捕获证据和联系执法 相关信息 简介 此白皮书中包含的信息有助于您了解分布式拒绝服务 (DDoS) 攻击是如何形成的、识别用于帮助 DDoS 攻击的程序、运用相关措施防止攻击、收集您怀疑存在攻击时的辩论信息以及了解更多有关 主机安全的信息。 了解 DDoS 攻击的基础 请参阅以下图示： 客户端后是发动攻击的人。处理器是有特殊程序正在其上运行的漏洞主机。每个处理器均能控制多 个代理。代理是运行特殊程序的漏洞主机。每个代理程序负责生成直接指向目标受害者的数据包流 。 攻击者通常使用以下四种程序发起 DDoS 攻击： 1. Trinoo 2. TFN 3. TFN2K 4. Stacheldraht 为帮助 DDoS，攻击者需要有数百至数千台漏洞主机。主机通常是 Linux 和 SUN 计算机；但是，工 具也可以被移植到其他平台。攻陷主机和安装工具的过程是自动的。该过程可划分成以下几个步骤 ，在这些步骤中攻击者： 1. 起动扫描阶段，对大量主机(100,000或更多)的已知弱点进行探测。 2. 攻陷易受攻击主机，获取访问权。 3. 在每台主机上安装工具。 4. 对漏洞主机进行进一步扫描和破坏。 由于使用了自动化进程，攻击者在 5 秒钟内即可攻陷一台主机并在其上安装工具。换句话说，在不 到一小时的时间内即可攻陷数千台主机。 用于帮助攻击的常用程序的特征 以下是黑客用于帮助分布式拒绝服务攻击的普通程序： ● Trinoo客户端、处理器和代理之间的通信使用以下端口：注意：?以上所列端口是此工具的默认 端口。仅将这些端口用作导向和示例，因为可以轻易更改端口号。 ● TFN客户端、处理器和代理之间的通信使用 ICMP ECHO 和 ICMP ECHO REPLY 数据包。 ● Stacheldraht客户端、处理器和代理之间的通信使用以下端口：注意：?以上所列端口是此工具 的默认端口。仅将这些端口用作导向和示例，因为可以轻易更改端口号。 ● TFN2K客户端、处理器和代理之间的通信不使用任何特定端口，例如，可以在运行时提供或者 通过程序随机选择，但它是 UDP、ICMP 和 TCP 数据包的组合。有关 DDoS 程序的详细分析 ，请参阅以下条款。 注意：?Theaw 链路指向不由 Cisco Systems 维护的外部网站。 DoS 项目的“trinoo”分布式拒绝服务攻击工具 “Tribe Flood Network”分布式拒绝服务攻击工具 “stacheldraht”分布式拒绝服务攻击工具 有关 DDoS 工具及其变体的详细信息，请参阅 Packet Storm 网站上的分布式攻击工具索引。 预防 以下是用于防止分布式拒绝服务攻击的建议方法。 1. 在连接上行末端的路由器输入接口上使用 ip verify unicast reverse-path interface 命令。此功 能检查该接口上作为输入接收的每个数据包。如果源 IP 地址在指回数据包所到达同一接口的 CEF 表中没有路由，则路由器会丢弃数据包。单播 RPF 的作用是，它将在 ISP 的 POP（租 用和拨号）处终止 SMURF 攻击（及其他取决于源 IP 地址伪装的攻击）。这保护了您的网络 和客户，也保护了互联网的其他部分。要使用单播 RPF，请在路由器中启用“CEF 交换”或 “CEF 分布式交换”。无需为 CEF 交换配置输入接口。只要 CEF 在路由器上运行，就可以将各 接口配置为其他交换模式。RPF 是一种在接口或子接口上启用的输入端功能，并用于对路由 器收到的数据包进行处理。在路由器上开启 CEF 至关重要。没有 CEF，RPF 将不会工作。单 播 RPF 在任何 11.2 或 11.3 镜像均不受支持。单播 RPF 包括在支持 CEF 的平台 12.0 中，其 中包括 AS5800。因此，单播 RFP 可以配置在 AS5800 的 PSTN/ISDN 拨号接口上。 2. 使用访问控制列表 (ACL) 过滤所有 RFC-1918 地址空间。 参阅以下示例：有关可被过滤的 专用 IPv4 地址空间的另一信息源是现在已过期的 IETF 草案“记录已向 IANA 登记的专用 IPv4 地址块。” 3. 通过使用 ACL 应用入口和出口过滤（参阅 RFC-2267 ）。