实施DDoS攻击的条件-Read.pptVIP

Ddos 攻击篇 与 DoS 攻击一样 ,DDoS 也是向被攻击目标连续发送大量伪造的 IP 包 , 数量之大以致于服务器不能够为合法用户提供正常服务。例如 , 这次向 Yahoo! 站点发出的攻击对其路由器发出的无效请求达每秒 1GB 。但与以往常见的 DoS 攻击不同的是 ,DDoS 动员了大量的 - 无辜 - 计算机向目标共同发起攻击。结果是像 Yahoo! 这样的著名 Web 站点也无法轻易恢复正常的服务 , 且肇事者很难被追查到。  实施 DDoS 攻击的条件 为完成 DDoS 攻击 , 黑客首先需要拥有和控制三种类型的计算机。为了描述方便 , 这里使用符号代表这些计算机 : 　　　　●　ATTACKER: 黑客本人的主机 , 黑客通过它发布实施 DDoS 的指令。 　　　　●　MASTER: 直接受黑客控制的主机 , 但一般不属黑客所有 , 数目通常为 3 ～ 4 台 , 并且在这些计算机上安装上特定的主控制软件 ( 称为 master) 。这类主机类似于战场上的指挥官 , 忠实地执行黑客发出的命令。 　　　　●　DAEMON: 它们是被黑客控制但一般并不为黑客所拥有的计算机群。这样的计算机数以百计 , 好似战场上的先头部队。黑客在这些计算机上安装了守护程序 ( 称为 daemon), 运行并产生 DDoS 攻击代码 发动攻击前的准备一 显然 , 在组织进行攻击之前 , 黑客必须能够在 Internet 上找到并完全获得某些安全性脆弱计算机的控制权限 , 例如获得 ROOT 权限 , 并让这些受到侵害的主机充当黑客的 MASTER 和 DAEMON 。为此 , 黑客需要借助一系列安全漏洞扫描工具 , 在 Internet 上搜寻存在严重安全漏洞的主机 , 并试图获得这些主机的完全控制权。 　　　　 发动攻击前的准备二 随后 , 黑客在这些称为 MASTER 的受控计算机上安装主控制软件 master; 在称为 DAEMON 的计算机上安装守护程序 daemon 。 DAEMON 主机上的守护程序在指定端口上监听来自 MASTER 主机发送的攻击命令 , 而 MASTER 主机接受从黑客的 ATTACKER 计算机发送的指令。为了安全起见 , 黑客要在 MASTER 和 DAEMON 计算机上安装 ROOT KIT 程序 , 使主控制软件和守护程序本身不被 MASTER 和 DAEMON 计算机的管理员发现。  发动攻击前的准备三 最后 , 黑客只需 TELNET 到 MASTER 主机并给出口令后就可以发出大规模的 DoS 攻击命令。整个攻击的指令流向为 :attacker(s) → master(s) → daemon(s) → target(s) 。攻击过程如图 1 所示 二、　DDoS 的通信及检测 　　到目前为止 ,CERT(Computer Emergency Response Team) 公布了三种 DDoS 攻击工具 : 　　　　●　TFN(Tribe Flood Network) 、 TFN2K 和 TFN3K 　　　　●　Trin00 　　　　●　Stacheldraht 　　　　下面以 Trin00 为例 , 介绍其主控制程序 master( 源程序为 master.c, 以下简称 Trin00 master) 和守护程序 daemon( 源程序为 ns.c, 以下简称 Trin00 daemon) 之间的通信。 　　 1.　通信端口 　　　　默认情况下 ,ATTACKER　到　MASTER 的通信端口是 :27665/tcp; 　　　　MASTER　到 DAEMON　的通信端口是 :27444/udp; 　　　　DAEMON　到 MASTER　的通信端口是 :31335/udp 。 　　　　黑客要想从 ATTACKER 主机控制任何一台运行 Trin00 master 的 MASTER 主机 , 只需与它的 TCP 端口 27665 建立 TCP 连接。连接建立后 , 黑客必须给出正确的口令。 。例如 , 黑客要与 IP 地址为 10.0.0.1 的 MASTER 主机联系 , 可以发出如下命令 : 　　　　attacker$ telnet 10.0.0.1 27665 　　　　Trying 10.0.0.1 　　　　Connected to 10.0.0.1 　　　　Escape character is ^]. 　　　　betaalmostdone 　　　　trin00 v1.07d2+f3+c..[rpm8d/cb4Sx/] 　　　　trin00  如果黑客已经与这台 MASTER 主