第六章拒绝服务攻击及防御技术.pptVIP

* 网络入侵与防范讲义 * Trinoo—工作原理 Trinoo的守护进程NC在编译时就将安装有服务程序的主机IP地址包含在内，这样，守护进程NC一旦运行起来，就会自动检测本机的IP地址，并将本机的IP地址发送到预先知道的服务器的31335端口（服务器开启31335UDP端口接收守护进程）。 同时，守护进程也在本机打开一个27444的UDP端口等待服务器端过来的命令。 Trinoo的服务器端在收到守护进程发回来的IP地址后，就明白已有一个守护进程准备完毕，可以发送指控命令了。 主服务器会一直记录并维护一个已激活守护程序的主机清单。 第九十四页，共一百四十页。 * 网络入侵与防范讲义 * Trinoo—设计特色 Trinooo的所有连接都需要口令，连接的口令是编译时就指定的，缺省情况下，服务端连接守护进程的口令是“144adsl”，而客户端连接到服务端的口令是“betaalmostdone”。不过口令在进行验证时是明文进行传送的。 Trinoo另一个比较有特色的设计是，当客户端连接到服务端时，如果还有其他的连接建立，Trinoo会将一个包含连接IP地址的报警信息发送到已连接的主机。这样，入侵者在控制服务端发动攻击时，还能掌握系统上的用户动向，确保Trinoo客户端的安全。 第九十五页，共一百四十页。 * 网络入侵与防范讲义 * Trinoo--基本特性及建议的抵御策略 在master程序（服务端）与代理程序（守护程序）的所有通讯中，Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。 Trinoo master程序的监听端口是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655上的数据流。 第九十六页，共一百四十页。 * 网络入侵与防范讲义 * Trinoo--基本特性及建议的抵御策略(2) 所有从master程序到代理程序的通讯都包含字符串l44，并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。 Master和代理之间的通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令以及Dave Dittrich编写的Trinot脚本，要准确地验证出Trinoo代理的存在是很可能的。 第九十七页，共一百四十页。 * 网络入侵与防范讲义 * Stacheldraht Stacheldraht 也是一个分布式拒绝服务攻击，它很多方面类似于Trinoo和TFN，能发动ICMP Flood、SYN Flood、UDP Flood和Smurf等多种攻击。它的主要特色是能进行自动更新。 第九十八页，共一百四十页。 * 网络入侵与防范讲义 * Stacheldraht(2) Stacheldraht跟TFN和trinoo一样也是基于客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时，入侵者与master程序进行连接。 Stacheldraht增加了以下新功能：攻击者与master程序之间的通讯是加密的，以及使用rcp (remote copy，远程复制)技术对代理程序进行更新。 第九十九页，共一百四十页。 * 网络入侵与防范讲义 * Stacheldraht(3) Stacheldraht同TFN一样，可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。 Stacheldraht所发动的攻击包括UDP洪水、TCP SYN洪水、ICMP回应洪水攻击。 第一百页，共一百四十页。 * 网络入侵与防范讲义 * Stacheldraht DDoS攻击的特征及防御 1）在发动Stacheldraht攻击时，攻击者访问master程序，向它发送一个或多个攻击目标的 IP地址。Master程序再继续与所有代理程序进行通讯，指示它们发动攻击。 Stacheldraht master程序与代理程序之间的通讯主要是由ICMP 回音和回音应答信息包来完成的。配置路由器或入侵检测系统，不允许一切ICMP回音和回音应答信息包进入网络，这样可以挫败Stacheldraht代理。但是这样会影响所有要使用这些功能的Internet程序，例如ping。 第一百零一页，共一百四十页。 * 网络入侵与防范讲义 * 6.2.9 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，由于这种攻击方式简单易用，互联网上也很容易找到这些发送匿名邮件的工具，并且入侵者只需要知道对方的电子邮件地址就可以进行攻击了。