计算机安全技术TOOLS教程课件5.6.1 实例：DDoS攻击.docVIP

5.6.1 实例：DDoS攻击 模拟实验环境如图5-38所示。 DDoS攻击不断在Internet出现，并在应用的过程中不断地得到完善，DDoS采用多层C/S结构，一个完整的DDoS攻击体系一般包含4个部分：攻击者、主控端、代理端和被攻击者，其体系结构如图5-38所示。这种多层C/S结构，使DDoS具有更强的攻击能力，并且能较好的隐藏攻击者的真实地址。 图5-38 模拟实验环境 DDoS已有一系列比较成熟的软件产品，如Trinoo、TFN、TFN2K等，他们的基本核心和攻击思路是类似的，下面通过Trinoo（拒绝服务攻击工具包）对DDoS攻击进行介绍。 Trinoo是基于UDP Flood的攻击软件，它向被攻击目标主机的随机端口发送全零的4字节UDP包，被攻击主机的网络性能在处理这些超出其处理能力的垃圾数据包的过程中不断下降，直至不能提供正常服务甚至崩溃，Trinoo使用的端口是： （1）攻击者主机到主控端主机27665/TCP。 （2）主控端主机到代理端主机27444/UDP。 （3）代理端主机到主控端主机31335/UDP。 Trinoo网络由主控端（master.c）和Trinoo代理端（ns.c）组成。典型的Trinoo网络结构如图5-38所示。 Trinoo通过3个模块实现攻击功能。 （1）攻击守护进程（NS），图5-38中的代理端。 （2）攻击控制进程（MASTER），图5-38中的主控端。 （3）客户端（标准telnet，netcat等），图中的攻击者。 攻击守护进程（NS）是真正实施攻击的程序，它一般和攻击控制进程（MASTER）所在主机分离，在源文件ns.c编译的时候，需要加入可控制其执行的攻击控制进程（MASTER）所在主机IP，（只有在ns.c中的IP方可发起NS的攻击行为）编译成功后，黑客通过目前比较成熟的主机系统漏洞破解（如RPC.CMSD，RPC.TTDBSERVER，RPC.STATD）可以方便地将大量NS植入互联网中有上述漏洞主机内。NS运行时，会首先向攻击控制进程（MASTER）所在主机的31335端口发送内容为HELLO的UDP包，表示它自身的存在，随后攻击守护进程即处于对端口27444的侦听状态，等待MASTER攻击指令地到来。 攻击控制进程（MASTER）在收到攻击守护进程的HELLO包后，会在自己所在目录生成一个加密的可利用主机表文件，MASTER的启动是需要密码的，在正确输入默认密码gOrave后，MASTER即成功启动，它一方面侦听端口31335，等待攻击守护进程的HELLO包，另一方面侦听端口27665，等待客户端对其的连接。当客户端连接成功并发出指令时，MASTER所在主机将向攻击守护进程NS所在主机的27444端口传递指令。 客户端不是Trinoo自带的一部分，可用标准的能提供TCP连接的程序，如telnet，netcat等，连接MASTER所在主机的27665端口，输入默认密码betaalmostdone后，即完成了连接工作，进入攻击控制可操作的提示状态。 Trinoo主控端的远程控制是通过在27665/TCP端口建立TCP连接实现的。在连接建立后，用户必须提供正确的口令（betaalmostdone）。如果在已有人通过验证时又有另外的连接建立，则一个包含正在连接IP地址的警告信息会发送到已连接主机（程序提供的IP地址似乎有错，但警告信息仍被发送）。毫无疑问，这个功能最终的完整实现将能给予攻击者足够的时间在离开之前清除痕迹。