分布式D.O.S攻击构成严重威胁

台风

影响范围

所有主机
详细信息

7月份出现的一种新的攻击形式引起了人们的注意。该攻击方式称为分布式D.O.S(Distributed Denial Of Service)攻击。
国外一些高性能的商业网络和教育网络遭受到了这种攻击。它利用攻击者已经侵入并控制的主机(可能是数百台),对某一
单机发起攻击。在悬殊的带宽力量对比下,被攻击的主机会很快失去反应。这种攻击方式被证实是非常有效的,而且非常难
以抵挡。
一般的人比较难以顺利实现这些攻击。因为攻击者必须熟悉一些入侵技巧。出现在一些黑客网站上的两个已知工具可以帮助
实现这种攻击。它们是trin00和Tribe Flood Network。源代码包的安装使用过程是比较复杂的,因为编译者首先要找一些
internet上有漏洞的主机,通过一些典型而有效的远程溢出漏洞攻击程序,获取其系统控制权,然后在这些机器上装上并运
行分布端的攻击守护进程,下面简单地介绍一下trin00的结构:
trin00由三部分组成:
1、客户端
2、主控端(master)
3、分布端(broadcast)---攻击守护进程
------------------------------------
1、客户端可以是telnet之类的常用连接软件,客户端的作用是向主控端(master)发送命令。它通过连接master的27665
端口,然后向master发送对目标主机的攻击请求。
2、主控端(master)侦听两个端口,其中27655是接收攻击命令,这个会话是需要密码的。缺省的密码
是 "betaalmostdone"。master启动的时候还会显示一个提示符:"??",等待输入密码。密码为 "gOrave",另一个端口
是31335,等候分布端的UDP报文。
在7月份的时候这些master的机器是:
129.237.122.40
207.228.116.19
209.74.175.130
3、分布端是执行攻击的角色。分布端安装在攻击者已经控制的机器上,分布端编译前植入了主控端master的IP地址,分布端
与主控端用UDP报文通信,发送到主控端的31355端口,其中包含"*HELLO*"的字节数据。主控端把目标主机的信息通过
27444UDP端口发送给分布端,分布端即发起flood攻击。
攻击者-->master-->分布端-->目标主机
通信端口:
攻击者 to Master(s): 27665/tcp
Master to 分布端: 27444/udp
分布端 to Master(s): 31335/udp
从分布端向受害者目标主机发送的D.O.S都是UDP报文,每一个包含4个空字节,这些报文都从一个端口发出,但随机地袭
击目标主机上的不同端口。目标主机对每一个报文回复一个ICMP Port Unreachable的信息,大量不同主机发来的这些洪水
般的报文源源不断,目标主机将很快慢下来,直至剩余带宽变为0。
解决方案

有几种方式可以查到这种攻击,但由于这种攻击的主要目的是消耗主机的带宽,所以很难抵挡。必须开发一些动态的IDS产
品,才有助于对付这种攻击。IDS的检测方法是:分析一系列的UDP报文,寻找那些针对不同目标端口,但来自于相同源端
口的UDP报文。或者取10个左右的UDP报文,分析那些来自于相同的IP,相同的目标IP,相同的源端口,但不同的目标端口
的报文。这样可以逐一识别攻击的来源。还有一种方法是寻找那些相同的源地址和相同的目标地址的ICMP Port
Unreachable的信息。
附加信息

trin00该工具在1999年8月17日攻击了美国明尼舒达大学, 那时候这个工具集成了至少227个主机的控制权,其中有114
个是Internet2的主机。攻击包从这些主机源源不断地送到明尼舒达大学的服务器,造成其网络严重瘫痪。其结构形式是这
样的:

不是大地震得让我们站不稳
而是双腿抖得让自己迈不开
.
Welcome to openlab/web!