一般的人比較難以順利實(shí)現(xiàn)這些攻擊。因?yàn)楣粽弑仨毷煜ひ恍┤肭旨记伞3霈F(xiàn)在一些黑客網(wǎng)站上的兩個(gè)已知工具可以幫助實(shí)現(xiàn)這種攻擊。它們是trin00和Tribe Flood Network。源代碼包的安裝使用過(guò)程是比較復(fù)雜的,因?yàn)榫幾g者首先要找一些internet上有漏洞的主機(jī),通過(guò)一些典型而有效的遠(yuǎn)程溢出漏洞攻擊程序,獲取其系統(tǒng)控制權(quán),然后在這些機(jī)器上裝上并運(yùn)行分布端的攻擊守護(hù)進(jìn)程,下面簡(jiǎn)單地介紹一下trin00的結(jié)構(gòu):
trin00由三部分組成:
1、客戶端
2、主控端(master)
3、分布端(broadcast)---攻擊守護(hù)進(jìn)程
1、客戶端可以是telnet之類的常用連接軟件,客戶端的作用是向主控端(master)發(fā)送命令。它通過(guò)連接master的27665端口,然后向master發(fā)送對(duì)目標(biāo)主機(jī)的攻擊請(qǐng)求。
2、主控端(master)偵聽兩個(gè)端口,其中27655是接收攻擊命令,這個(gè)會(huì)話是需要密碼的。缺省的密碼是"betaalmostdone"。master啟動(dòng)的時(shí)候還會(huì)顯示一個(gè)提示符:"??",等待輸入密碼。密碼為 "gOrave",另一個(gè)端口是31335,等候分布端的UDP報(bào)文。
在7月份的時(shí)候這些master的機(jī)器是:
129.237.122.40 |
3、分布端是執(zhí)行攻擊的角色。分布端安裝在攻擊者已經(jīng)控制的機(jī)器上,分布端編譯前植入了主控端master的IP地址,分布端與主控端用UDP報(bào)文通信,發(fā)送到主控端的31355端口,其中包含"*HELLO*"的字節(jié)數(shù)據(jù)。主控端把目標(biāo)主機(jī)的信息通過(guò)27444 UDP端口發(fā)送給分布端,分布端即發(fā)起flood攻擊。
攻擊者-->master-->分布端-->目標(biāo)主機(jī)
通信端口:
攻擊者 to Master(s): 27665/tcp
Master to 分布端: 27444/udp
分布端 to Master(s): 31335/udp
從分布端向受害者目標(biāo)主機(jī)發(fā)送的D.O.S都是UDP報(bào)文,每一個(gè)包含4個(gè)空字節(jié),這些報(bào)文都從一個(gè)端口發(fā)出,但隨機(jī)地襲擊目標(biāo)主機(jī)上的不同端口。目標(biāo)主機(jī)對(duì)每一個(gè)報(bào)文回復(fù)一個(gè)ICMP Port Unreachable的信息,大量不同主機(jī)發(fā)來(lái)的這些洪水般的報(bào)文源源不斷,目標(biāo)主機(jī)將很快慢下來(lái),直至剩余帶寬變?yōu)?。
DDos式攻擊的步驟
透過(guò)尋常網(wǎng)路(網(wǎng)絡(luò))連線,使用者傳送訊息要求服務(wù)器予以確認(rèn)。服務(wù)器于是將連線許可回傳給使用者。使用者確認(rèn)后,獲準(zhǔn)登入服務(wù)器。
但在“拒絕服務(wù)”式攻擊的情況下,使用者傳送眾多要求確認(rèn)的訊息到服務(wù)器,使服務(wù)器充斥這種垃圾訊息。所有的訊息都附上捏造的地址,以至于服務(wù)器設(shè)圖回傳確認(rèn)許可時(shí),無(wú)法找到使用者。服務(wù)器于是暫時(shí)等候,有時(shí)超過(guò)一分鐘,然后再切斷連線。服務(wù)器切斷連線時(shí),駭客再度傳送新一波佯裝成要求確認(rèn)的訊息,再度啟動(dòng)上述過(guò)程,導(dǎo)致服務(wù)器無(wú)法動(dòng)彈,服務(wù)無(wú)限期停擺。這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求答覆的訊息,導(dǎo)致系統(tǒng)不勝負(fù)荷以至于當(dāng)機(jī)。
這種分布式拒絕服務(wù)攻擊示意圖如下:
*----------* |
根據(jù)網(wǎng)絡(luò)通訊異常現(xiàn)象監(jiān)測(cè)分布式拒絕服務(wù)攻擊
許多人或工具在監(jiān)測(cè)分布式拒絕服務(wù)攻擊時(shí)常犯的錯(cuò)誤是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等。要建立網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)(NIDS)對(duì)這些工具的監(jiān)測(cè)規(guī)則,必須著重觀察分析DDoS網(wǎng)絡(luò)通訊的普遍特征,不管是明顯的,還是模糊的。
DDoS工具產(chǎn)生的網(wǎng)絡(luò)通訊信息有兩種:控制信息通訊(在DDoS客戶端與服務(wù)器端之間)和攻擊時(shí)的網(wǎng)絡(luò)通訊(在DDoS服務(wù)器端與目標(biāo)主機(jī)之間)。
根據(jù)以下異常現(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)建立相應(yīng)規(guī)則,能夠較準(zhǔn)確地監(jiān)測(cè)出DDoS攻擊。
異常現(xiàn)象0:雖然這不是真正的"DDoS"通訊,但卻能夠用來(lái)確定DDoS攻擊的來(lái)源。根據(jù)分析,攻擊者在進(jìn)行DDoS攻擊前總要解析目標(biāo)的主機(jī)名。BIND域名服務(wù)器能夠記錄這些請(qǐng)求。由于每臺(tái)攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會(huì)發(fā)出PTR反向查詢請(qǐng)求,也就是說(shuō)在DDoS攻擊前域名服務(wù)器會(huì)接收到大量的反向解析目標(biāo)IP主機(jī)名的PTR查詢請(qǐng)求。
異常現(xiàn)象1:當(dāng)DDoS攻擊一個(gè)站點(diǎn)時(shí),會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠分別對(duì)不同的源地址計(jì)算出對(duì)應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí)就表明存在DDoS攻擊的通訊。因此可以在主干路由器端建立ACL訪問(wèn)控制規(guī)則以監(jiān)測(cè)和過(guò)濾這些通訊。
異常現(xiàn)象2:特大型的ICP和UDP數(shù)據(jù)包。正常的UDP會(huì)話一般都使用小的UDP包,通常有效數(shù)據(jù)內(nèi)容不超過(guò)10字節(jié)。正常的ICMP消息也不會(huì)超過(guò)64到128字節(jié)。那些尺寸明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的,主要含有加密后的目標(biāo)地址和一些命令選項(xiàng)。一旦捕獲到(沒(méi)有經(jīng)過(guò)偽造的)控制信息通訊,DDoS服務(wù)器的位置就暴露出來(lái)了,因?yàn)榭刂菩畔⑼ㄓ崝?shù)據(jù)包的目標(biāo)地址是沒(méi)有偽造的。
異常現(xiàn)象3:不屬于正常連接通訊的TCP和UDP數(shù)據(jù)包。最隱蔽的DDoS工具隨機(jī)使用多種通訊協(xié)議(包括基于連接的協(xié)議)通過(guò)基于無(wú)連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外,那些連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。
異常現(xiàn)象4:數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符(例如,沒(méi)有空格、標(biāo)點(diǎn)和控制字符)的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過(guò)BASE64編碼后而只會(huì)含有base64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN2K(及其變種)的特征模式是在數(shù)據(jù)段中有一串A字符(AAA……),這是經(jīng)過(guò)調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒(méi)有使用BASE64編碼,對(duì)于使用了加密算法數(shù)據(jù)包,這個(gè)連續(xù)的字符就是“”。
異常現(xiàn)象5:數(shù)據(jù)段內(nèi)容只包含二進(jìn)制和high-bit字符的數(shù)據(jù)包。雖然此時(shí)可能在傳輸二進(jìn)制文件,但如果這些數(shù)據(jù)包不屬于正常有效的通訊時(shí),可以懷疑正在傳輸?shù)氖菦](méi)有被BASE64編碼但經(jīng)過(guò)加密的控制信息通訊數(shù)據(jù)包。(如果實(shí)施這種規(guī)則,必須將20、21、80等端口上的傳輸排除在外。)
68476636-8002)
