典型DoS攻击原理及抵御措施.docVIP

　　典型DoS攻击原理及抵御措施～教育资源库 　　smurf、trinoo、tfn、tfn2k以及stacheldraht是比较常见的DoS攻击程序，本文将对它们的原理以及抵御措施进行论述，以帮助管理员有效地抵御DoS风暴攻击，维护站点安全。 　　一、何为smurf 攻击，如何抵御？ 　　Smurf是一种简单但有效的 DDoS 攻击技术，它利用了ICMP (Inter控制信息协议)。ICMP在Inter上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个回音请求（echo request）信息包看看主机是否活着。最普通的ping程序就使用了这个功能。Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。 　　下面是Smurf DDoS 攻击的基本特性以及建议采用的抵御策略： 　　1、Smurf的攻击平台：smurf为了能工作，必须要找到攻击平台，这个平台就是：其路由器上启动了 IP广播功能。这个功能允许 smurf 发送一个伪造的ping信息包，然后将它传播到整个计算机网络中。 　　2、为防止系统成为 smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。 　　3、攻击者也有可能从LAN内部发动一个smurf攻击，在这种情况下，禁止路由器上的IP 广播功能就没有用了。为了避免这样一个攻击，许多操作系统都提供了相应设置，防止计算机对IP广播请求做出响应。 　　4、如果攻击者要成功地利用你成为攻击平台，你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器，让它将不是由你的内网中生成的信息包过滤出去，这是有可能做到的。这就是所谓的网络出口过滤器功能。 　　5、ISP则应使用网络入口过滤器，以丢掉那些不是来自一个已知范围内IP地址的信息包。 　　 6、挫败一个smurf 攻击的最简单方法对边界路由器的回音应答(echo reply)信息包进行过滤，然后丢弃它们，这样就能阻止命中aster和代理之间通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被嗅探到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本，要准确地验证出trinoo代理的存在是很可能的。 　　一旦一个代理被准确地识别出来，trinoo网络就可以安装如下步骤被拆除： 　　在代理daemon上使用strings命令，将master的IP地址暴露出来。 　　与所有作为trinoo master的机器管理者联系，通知它们这一事件。 　　在master计算机上，识别含有代理IP地址列表的文件(默认名...)，得到这些计算机的IP地址列表。 　　向代理发送一个伪造trinoo命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动， 因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。 　　检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。 　　如果网络正在遭受trinoo攻击，那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。 　　在.fbi.gov/nipc/trinoo.htm上有一个检测和根除trinoo的自动程序。 　　三、何为Tribal Floo 123下一页 友情提醒：，特别！d Netaster程序与位于多个网络上的攻击代理进行通讯。TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。 可以由TFN发动的攻击包括：UDP冲击、TCP SYN 冲击、ICMP回音请求冲击以及 ICMP 广播。 　　以下是TFN DDoS 攻击的基本特性以及建议的抵御策略： 　　1、发动TFN时，攻击者要访问master程序并向它发送一个或多个目标IP地址，然后Master程序继续与所有代理程序通讯，指示它们发动攻击。 　　TFN Master程序与代理程序之间的通讯使用ICMP回音应答信息包，实际要执行的指示以二进制形式包含在16位ID域中。ICMP (Inter控制信息协议)使信息包协议