网络攻击常见手段与防御措施方案.pptVIP

Linux内核恐慌（攻击手段之七） 　　在Linux内核版本2.2.0中，当用于显示共享函数库依赖关系的Ldd程序用来显示特定的核心转储文件（core）时，会发生一个潜在的DOS条件。 对付此类攻击，只有升级到Linux内核版本2.2.1。 （3）分布式拒绝服务的攻击手段 现在最常用的分布式拒绝服务攻击程序主要有Trinoo、TFN和Stacheldraht等几种。它们使用的最主要的攻击方法是利用TCP／IP协议中的漏洞，如允许碎片包、大数据包、IP路由选择、半公开TCP连接、数据包Flood等。 这类攻击工具的优点是允许一个攻击者使用多种攻击方法同时攻击一个IP地址，这将增加攻击的成功率。 Tribe Flood Network/TFN Tribe Flood Network有两个版本- TFN and TFN2K。这两个版本有以下共同的特性： 　　利用了以下的拒绝服务攻击方法： SYN　flood, PingFlood, UDP bomb, and SMURF； 　　有伪造包的能力 (例如伪造源地址)； 　　除此之外，TFN2K 有以下额外的特性: 　　与客户端的 TCP, UDP, or ICMP的通讯采用加密方式，而TFN对ICMP的通讯没有加密； 　　新增的攻击方法- Mix, Targa3； 　　诱骗包； 　　可配置的客户端进程端口 Trin00 Trin00是一个由三部分组成的分布式拒绝服务攻击工具，包括主控端、客户端和广播。 攻击者向主控端的TCP 27665号端口发送命令，主控端然后通过向所有的客户端UDP 27444端口发送消息，然后客户端启动“广播”程序，同时向目标发送UDP炸弹。 如果欲了解更详细的信息，可以访问以下链接： 　/incident_notes/IN-99-07.html 　 Stacheldraht (barbed wire) Stacheldraht 是从 TFN派生出来的。它有同样的攻击方法（SYNflood, PingFlood, UDP bomb和 SMURF），以及与TFN相同的伪造包能力。除此之外， Stacheldraht 增加了主控端与客户端加密通讯的能力。它采用可变的TCP / UDP端口和特殊格式的ICMP包进行通讯。类似于Trin00， Stacheldraht包含三个组成部分，主控端、客户端和代理。还有一个有趣的特征， Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。 6.1.4　分布式拒绝服务的防范对策 对付分布式拒绝服务的攻击，并没有万全的对策，因为连Yahoo、CNN这样的大网站都难逃其攻击。 从安全技术角度出发，网站应该在防御、检测和响应三个方面采取相应 （1）防御措施 首先，攻击者利用结点、主机或网站服务器的安全漏洞，因而要及时修补漏洞，升级系统。 其次，攻击者通常假冒源地址实施攻击，因此建议用户对所有结点进行入口过滤。如果能适时优化路由和网络结构，禁止所有不必要的服务；在多台主机中增设多IP地址，拒绝网络不用的UDP和ICMP数据包通过。这样，将极大地增加攻击者的难度。 （2）检测审计 一个网络受到DDOS攻击并不可怕，可怕的是网络管理员对此毫无察觉。因此，建议周期性地审核系统，了解系统和服务器软件是如何工作的，经常查看系统配置和安全策略，时刻留意一些权威安全网站的安全措施及其相关的安全补丁。应用最新流行的“find一ddos”工具，检测已知的DDOs攻击状况；使用Nmap或Saint对网络的开放端口进行扫描，为系统的整体安全服务。 （3）紧急响应 如果系统不幸遭遇DDOS的攻击，几乎没有可用的带宽，因而很难做直接的实时的响应反击。为此，建议与因特网服务供应商ISP或有关应急组织分析受攻击的系统，确定涉及的其他站点，阻挡已知网站的攻击流量，进一步追踪攻击者。 对受攻击的计算机的文件系统应进行备份。 如果需要，应将受攻击的计算机与网络进行物理隔绝。重启动该主机，格式化驱动器，重新安装操作系统，恢复文件系统。把计算机重新联人网络，检测网上其他计算机，为所有可能被利用的漏洞安装补丁程序。 怎样对付正在进行的DDOS攻击? 如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。 首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户若能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。 其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。 最后一种比较