发信人: ilyyz()
整理人: williamlong(2000-06-14 13:08:11), 站内信件
|
最近,一些组织和个人对世界上一些顶级的大站点实施了攻击,造成这些高性能
的商业网站长达数小时的瘫痪。经跟踪发现,这一波袭击采用的手段都是分布式
D.O.S攻击的几种形式,下面就这几种典型的攻击做一简单的综述:
1、Smurf Attack
"Smurf attack"可能是最早的分布式D.O.S攻击的形式。攻击者先使用扫描程
序搜索一些允许广播包的路由器,找到这种路由器以后,攻击者就可以着手“陷
害”攻击目标了(在下面我们把攻击目标称为"受害机")。这种路由器有一个特性
,在这个网段内的每台机器都会对ping广播包回应一个包,所以,如果这个网段
内有240台机器,一台机器发一个ping广播包,将有240个包回复给这台机器。攻
击做的事情就是向这种路由器发送一些经过伪造的报文,包头上的地址伪造为"受
害机"的地址,这样通过不停地发送这些伪造的ping广播包,受害机收到的将是数
以百倍计的报文,很快"受害机"就会被淹没在这种洪水般的报文中,对其它的正
常请求失去反应能力。
为了防止被跟踪,攻击者通常会在另一台他已经入侵并控制的机器上来做这
件事情。
要防御 "smurf attack"攻击,必须联系该网段的管理员,在网络的边界路由
器上拒绝ping广播包,最好对ICMP包也做严格的处理。
2、MacOS 9 Smurf
攻击者只需要对MacOS 9发少量包, 就可以产生大量的包,扩大
倍数可以达到37.5。
3、trin00
7月份出现的一种新的攻击形式引起了人们的注意。该攻击方式称为分布式D.O.S
(Distributed Denial Of Service)攻击。国外一些高性能的商业网络和教育网络
遭受到了这种攻击。它利用攻击者已经侵入并控制的主机(可能是数百台),对
某一单机发起攻击。在悬殊的带宽力量对比下,被攻击的主机会很快失去反应。
这种攻击方式被证实是非常有效的,而且非常难以抵挡。
一般的人比较难以顺利实现这些攻击。因为攻击者必须熟悉一些入侵技巧。
出现在一些黑客网站上的两个已知工具可以帮助实现这种攻击。它们是trin00和
Tribe Flood Network。源代码包的安装使用过程是比较复杂的,因为编译者首先
要找一些internet上有漏洞的主机,通过一些典型而有效的远程溢出漏洞攻击程
序,获取其系统控制权,然后在这些机器上装上并运行分布端的攻击守护进程,
下面简单地介绍一下trin00的结构:
trin00由三部分组成:
1、客户端
2、主控端(master)
3、分布端(broadcast)---攻击守护进程
------------------------------------
1、客户端可以是telnet之类的常用连接软件,客户端的作用是向主控端(mas
ter)发送命令。它通过连接master的27665端口,然后向master发送对目标主机的
攻击请求。
2、主控端(master)侦听两个端口,其中27655是接收攻击命令,这个会话是需
要密码的。缺省的密码是 "betaalmostdone"。master启动的时候还会显示一个提
示符:"??",等待输入密码。密码为 "gOrave",另一个端口是31335,等候分布
端的UDP报文。
3、分布端是执行攻击的角色。分布端安装在攻击者已经控制的机器上,分布
端编译前植入了主控端master的IP地址,分布端与主控端用UDP报文通信,发送到
主控端的31355端口,其中包含"*HELLO*"的字节数据。主控端把目标主机的信息
通过27444UDP端口发送给分布端,分布端即发起flood攻击。
攻击者-->master-->分布端-->目标主机
通信端口:
攻击者 to Master(s): 27665/tcp
Master to 分布端: 27444/udp
分布端 to Master(s): 31335/udp
从分布端向受害者目标主机发送的D.O.S都是UDP报文,每一个包含4个空字节
,这些报文都从一个端口发出,但随机地袭击目标主机上的不同端口。目标主机
对每一个报文回复一个ICMP Port Unreachable的信息,大量不同主机发来的这些
洪水般的报文源源不断,目标主机将很快慢下来,直至剩余带宽变为0。
4、Tribal Flood Network
最危险的分布式D.O.S工具是Tribal Flood Network (TFN),作者是Mixter
这个工具利用Unix机器(被利用机),集成了ICMP flood, SYN flood, UDP flood
, and Smurf attacks等多种攻击方式。这个工具还在发起攻击的平台上(被利用
机)创建后门,允许攻击者以root身份访问这台被利用的机器。
5、Stacheldraht
"Stacheldraht"这个攻击结合了 "trin00" 和 "Tribal Flood Network",在
攻击者与被利用机器的通信上面还采用了加密验证,并且有自动升级的功能。
关于"Stacheldraht"的更多信息。
6、Tribal Floodnet 2K
是"Tribal Flood Network"的升级版,能从多个源对单个或多个目标发动攻
击。这个工具增强了伪装功能,使攻击报文更加难以识别和过滤,
除了远程执行指令外,还对攻击源地址加以伪装,并集成了多种协议的攻击
报文,如UDP,TCP,ICMP等,同时还增加了跟踪工作的难度,特别值得一提的是,
它还尝试发送一些非法报文使目标机器崩溃。
关于TFN2k的更多信息,请参考:
http://www.cnns.net/article/db/73.htm
其它的DDOS攻击工具和更多关于DDOS攻击的资料请参看英文资料:
http://www.cnns.net/article/db/74.htm
同时几百上千个人向一台服务器发送Ping等命令也是很早的一种分布式D.O.
S攻击形式。在linux下面使用带 -f 参数的ping指令的攻击力就很强。
分布式D.O.S工具不能简单地认定是攻击工具,实际上分布式的发包攻击方法
最早是用于网络安全测试,或者网络性能测试。这种方法可以测出一个网站的性
能和吞吐量,能测出网站能处理的最大通信量的值。
根据对以往的各种DOS(Denial Of Service)攻击事件和手段的经验,并结合网络
协议尤其是TCP/IP协议的先天缺陷,对DOS攻击的发展趋势,cnns.net有如下结论
:
1、D.O.S攻击将越来越多地采用IP欺骗或借刀杀人的技术;
2、D.O.S攻击呈现由单一攻击源发起进攻,转变为由多个攻击源对单一目标进攻
的趋势;
3、D.O.S攻击将会变得越来越智能化,试图躲过网络入侵检测系统的检测跟踪,
并试图绕过防火墙防御体系;
4、针对路由器的弱点的D.O.S攻击将会增多;
5、DOS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;
6、采用半连接技术SYN攻击,和针对TCP/IP协议先天缺陷的的ACK攻击,将是新的
DOS攻击趋势,这种攻击防火墙也难以防止;
D.O.S攻击将是网络经济与电子商务的拦路虎,而更多可以导致黑客入侵系统的安
全隐患将更是那些不重视网络安全的公司的噩梦。
------------------------------------
1、客户端可以是telnet之类的常用连接软件,客户端的作用是向主控端(mas
ter)发送命令。它通过连接master的27665端口,然后向master发送对目标主机的
攻击请求。
2、主控端(master)侦听两个端口,其中27655是接收攻击命令,这个会话是需
要密码的。缺省的密码是 "betaalmostdone"。master启动的时候还会显示一个提
示符:"??",等待输入密码。密码为 "gOrave",另一个端口是31335,等候分布
端的UDP报文。
3、分布端是执行攻击的角色。分布端安装在攻击者已经控制的机器上,分布
端编译前植入了主控端master的IP地址,分布端与主控端用UDP报文通信,发送到
主控端的31355端口,其中包含"*HELLO*"的字节数据。主控端把目标主机的信息
通过27444UDP端口发送给分布端,分布端即发起flood攻击。
攻击者-->master-->分布端-->目标主机
通信端口:
攻击者 to Master(s): 27665/tcp
Master to 分布端: 27444/udp
分布端 to Master(s): 31335/udp
从分布端向受害者目标主机发送的D.O.S都是UDP报文,每一个包含4个空字节
,这些报文都从一个端口发出,但随机地袭击目标主机上的不同端口。目标主机
对每一个报文回复一个ICMP Port Unreachable的信息,大量不同主机发来的这些
洪水般的报文源源不断,目标主机将很快慢下来,直至剩余带宽变为0。
4、Tribal Flood Network
最危险的分布式D.O.S工具是Tribal Flood Network (TFN),作者是Mixter
这个工具利用Unix机器(被利用机),集成了ICMP flood, SYN flood, UDP flood
, and Smurf attacks等多种攻击方式。这个工具还在发起攻击的平台上(被利用
机)创建后门,允许攻击者以root身份访问这台被利用的机器。
5、Stacheldraht
"Stacheldraht"这个攻击结合了 "trin00" 和 "Tribal Flood Network",在
攻击者与被利用机器的通信上面还采用了加密验证,并且有自动升级的功能。
关于"Stacheldraht"的更多信息。
6、Tribal Floodnet 2K
是"Tribal Flood Network"的升级版,能从多个源对单个或多个目标发动攻
击。这个工具增强了伪装功能,使攻击报文更加难以识别和过滤,
除了远程执行指令外,还对攻击源地址加以伪装,并集成了多种协议的攻击
报文,如UDP,TCP,ICMP等,同时还增加了跟踪工作的难度,特别值得一提的是,
它还尝试发送一些非法报文使目标机器崩溃。
关于TFN2k的更多信息,请参考:
http://www.cnns.net/article/db/73.htm
其它的DDOS攻击工具和更多关于DDOS攻击的资料请参看英文资料:
http://www.cnns.net/article/db/74.htm
同时几百上千个人向一台服务器发送Ping等命令也是很早的一种分布式D.O.
S攻击形式。在linux下面使用带 -f 参数的ping指令的攻击力就很强。
分布式D.O.S工具不能简单地认定是攻击工具,实际上分布式的发包攻击方法
最早是用于网络安全测试,或者网络性能测试。这种方法可以测出一个网站的性
能和吞吐量,能测出网站能处理的最大通信量的值。
根据对以往的各种DOS(Denial Of Service)攻击事件和手段的经验,并结合网络
协议尤其是TCP/IP协议的先天缺陷,对DOS攻击的发展趋势,cnns.net有如下结论
:
1、D.O.S攻击将越来越多地采用IP欺骗或借刀杀人的技术;
2、D.O.S攻击呈现由单一攻击源发起进攻,转变为由多个攻击源对单一目标进攻
的趋势;
3、D.O.S攻击将会变得越来越智能化,试图躲过网络入侵检测系统的检测跟踪,
并试图绕过防火墙防御体系;
4、针对路由器的弱点的D.O.S攻击将会增多;
5、DOS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;
6、采用半连接技术SYN攻击,和针对TCP/IP协议先天缺陷的的ACK攻击,将是新的
DOS攻击趋势,这种攻击防火墙也难以防止;
D.O.S攻击将是网络经济与电子商务的拦路虎,而更多可以导致黑客入侵系统的安
全隐患将更是那些不重视网络安全的公司的噩梦。
--
※ 修改:.ilyyz 于 Feb 23 20:06:02 修改本文.[FROM: 202.96.191.124]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.191.124]
|
|