[转帖]分布式拒绝服务（DDoS）攻击工具基本技术原理及其发展

dioclu

分布式拒绝服务（DDoS）攻击工具基本技术原理及其发展\r\n拒绝服务攻击拒绝服务攻击的英文意思是DenialofService，简称DoS。这种攻击行动使\r\n网站服务器充斥大量要求回复的\r\n信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提\r\n供正常的网络服务。\r\n以下的图示可解释这类攻击的过程，以及公司、企业应如何加以防范。\r\n\r\n“拒绝服务”是如何攻击的\r\n\r\n参照图示：见附件\r\n\r\n\r\n通过普通的网络连线，使用者传送信息要求服务器予以确定。服务器于是回\r\n复用户。用户被确定后，就可登\r\n入服务器。\r\n\r\n参照图示：见附件\r\n\r\n\r\n“拒绝服务”的攻击方式为：用户传送众多要求确认的信息到服务器，使服\r\n务器里充斥着这种无用的信息。\r\n所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用\r\n户。服务器于是暂时等候，有时\r\n超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确\r\n认的信息，这个过程周而复始，\r\n最终导致服务器无法动弹，瘫痪在地。\r\n\r\n\r\n如何阻挡“拒绝服务”的攻击\r\n\r\n参照图示：\r\n\r\n\r\n阻挡“拒绝服务”的攻击的常用方法之一是：在网络上建立一个过滤器（fi\r\nlter）或侦测器（sniffer），\r\n在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的攻击行动。如果某种\r\n可疑行动经常出现，过滤器能\r\n接受指示，阻挡包含那种信息，让网站服务器的对外连接线路保持畅通。\r\n\r\n\r\n分布式拒绝服务攻击\r\n------------------\r\n\r\n分布式拒绝服务攻击的英文意思是DistributedDenialofService，简称D\r\nDoS。\r\n以下是一个典型的分布式拒绝服务攻击网络结构图：\r\n\r\n参照图示：\r\n\r\n\r\n攻击者在Client（客户端）*纵攻击过程。每个Handler（主控端）是一台已\r\n被入侵并运行了特定程序\r\n的系统主机。每个主控端主机能够控制多个Agent（代理端）。每个代理端也是一\r\n台已被入侵并运行另和种\r\n特定程序的系统主机。每个响应攻击命令的代理端会向被攻击目标主机发送拒绝\r\n服务攻击数据包。\r\n\r\n至今为止，攻击者最常使用的分布式拒绝服务攻击程序包括4种：Trinoo、T\r\nFN、TFN2K和Stacheldraht。\r\n\r\n为了提高分布式拒绝服务攻击的成功率，攻击者需要控制成百上千的被入侵\r\n主机。这些主机通常是Linux和\r\nSUN机器，但这些攻击工具也能够移植到其它平台上运行。这些攻击工具入侵主机\r\n和安装程序的过程都是自动化\r\n的。这个过程可分为以下几个步骤：\r\n\r\n1、探测扫描大量主机以寻找可入侵主机目标。\r\n\r\n2、入侵有安全漏洞的主机并获取控制权。\r\n\r\n3、在每台入侵主机中安装攻击程序。\r\n\r\n4、利用已入侵主机继续进行扫描和入侵。\r\n\r\n由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工\r\n具。也就是说，在短短的一\r\n小时内可以入侵数千台主机。\r\n\r\n\r\n几种常见分布式拒绝服务攻击工具的特征\r\n------------------------------------\r\n\r\n以下是攻击者常用的分布式拒绝服务攻击工具：\r\n\r\n◆Trinoo\r\n\r\n客户端、主控端和代理端主机相互间通讯时使用如下端口：\r\n\r\n1524tcp\r\n27665tcp\r\n27444udp\r\n31335udp\r\n\r\n重要提示：以上所列出的只是该工具的缺省端口，仅作参考。这些端口可以轻\r\n易被修改。\r\n\r\n◆TFN\r\n\r\n客户端、主控端和代理端主机相互间通讯时使用ICMPECHO和ICMPECHOREPL\r\nY数据包。\r\n\r\n◆Stacheldraht\r\n\r\n客户端、主控端和代理端主机相互间通讯时使用如下端口和数据包：\r\n\r\n16660tcp\r\n65000tcp\r\nICMPECHO\r\nICMPECHOREPLY\r\n\r\n重要提示：以上所列出的只是该工具的缺省端口，仅作参考。这些端口可以轻\r\n易被修改。\r\n\r\n◆TFN2K\r\n\r\n客户端、主控端和代理端主机相互间通讯时并没有使用任何指定端口（在运行\r\n时指定或由\r\n程序随机选择），但结合了UDP、ICMP和TCP数据包进行通讯。\r\n\r\n\r\n对于这几个分布式拒绝服务攻击工具的详细技术分析，请访问中国著名网络\r\n安全组织绿色兵团\r\n站点（http://www.isbase.com/）。\r\n\r\n\r\n拒绝服务攻击工具\"进化\"过程\r\n--------------------------\r\n\r\n最容易的攻击方法之一是拒绝服务(DenialofService)攻击。在TCP/IP堆栈\r\n中存在许多漏洞，如允许碎\r\n片包、大数据包、IP路由选择、半公开TCP连接、数据包flood等等，这些都能够\r\n降低系统性能，甚至使系统\r\n崩溃。\r\n\r\n每发现一个漏洞，相应的攻击程序往往很快就会出现。每一个攻击程序都是\r\n独立的。一个特定的漏洞攻击\r\n程序往往只影响某一版本的TCP/IP协议（虽然Mircosoft拥有非常庞大的个人计算\r\n机市场，大多数的家庭用户\r\n几乎完全没有意识到这些漏洞的存在，也不知道如何得到和使用安全漏洞的补丁\r\n程序，多种漏洞攻击方法导致\r\n目标系统崩溃的机率相当高。）\r\n\r\n拒绝服务攻击程序可从互联网上下载得到，如以下网址：\r\n\r\nhttp://www.technotronic.com/denial.html\r\nhttp://www.rootshell.com/\r\n\r\n接着就是用Unixshell脚本将多种的拒绝服务攻击程序组合到一个工具里。\r\n\"rape\"就是这样一种工具：\r\n（由\"mars\"编写，\"ttol\"改进）\r\n\r\necho\"Edittedforusewithwww.ttol.base.org\"\r\necho\"rapeing$IP.usingweapons:\"\r\necho\"latierra\"\r\necho-n\"teardropv2\"\r\necho-n\"newtear\"\r\necho-n\"boink\"\r\necho-n\"bonk\"\r\necho-n\"frag\"\r\necho-n\"f\\*\\*ked\"\r\necho-n\"trollicmp\"\r\necho-n\"trolludp\"\r\necho-n\"nestea2\"\r\necho-n\"fusion2\"\r\necho-n\"peacekeeper\"\r\necho-n\"arnudp\"\r\necho-n\"nos\"\r\necho-n\"nuclear\"\r\necho-n\"ssping\"\r\necho-n\"pingodeth\"\r\necho-n\"smurf\"\r\necho-n\"smurf4\"\r\necho-n\"land\"\r\necho-n\"jolt\"\r\necho-n\"pepsi\"\r\n\r\n这种工具的优点是允许一个攻击者使用多种攻击方法同时攻击单个IP地址（\r\n这增加了攻击成功的概率），\r\n但也意味着必须将所有编译好的攻击程序打包好（如Unix的\"tar\"文件），以方便\r\n传输和进行攻击。\r\n\r\n在允许使用多种拒绝服务攻击方法的情况下，同时又是一个单一的、更易于\r\n保存/传输/和使用的已编译程\r\n序，就是类似于Mixter编写的\"targa.c\"这种程序。Targa程序在一个C源程序中结\r\n合了以下多种攻击方法：\r\n\r\n/*targa.c-copyrightbyMixter\r\nversion1.0-released6/24/98-interfaceto8\r\nmulti-platformremotedenialofserviceexploits\r\n*/\r\n...\r\n\r\n/*bonkbyroute|daemon9&klepto\r\n*joltbyJeffW.Roberson(modifiedbyMixterforoverdropeffect)\r\n*landbym3lt\r\n*nesteabyhumble&ttol\r\n*newtearbyroute|daemon9\r\n*syndropbyPineKoan\r\n*teardropbyroute|daemon9\r\n*winnukeby_eci*/\r\n\r\n但是，即使是象\"targa\"这类多种拒绝服务攻击组合工具，一个攻击者在同一\r\n时间内也只能攻击一个\r\nIP地址。\r\n\r\n为了增加攻击的效率，一群攻击者们需要通过IRC频道或电话来保持联系，每\r\n一个人攻击不同的系统，\r\n以实现团体攻击。这种方法在探测漏洞、入侵系统、安装后门和rootkit的行动中\r\n也经常被使用。\r\n\r\n即使存在一些使用限制，但至少在两年内，这个工具不断地增加各种攻击程\r\n序，形成了一个名为\r\n\"DenialofServiceCluster\"（拒绝服务集群）软件包。\"trinoo\"工具就是这样\r\n一个例子。而在计算机\r\n黑客界中也有一个由Mixter编写的类似工具\"TribeFloodNetwork\"(TFN)。\r\n\r\n与trinoo只实现UDP攻击相比，TFN支持ICMPflood、UDPflood、SYNflood\r\n和Smurf攻击等。这些攻\r\n击通过发送ICMP_ECHOREPLY(ICMPType0)包命令控制。TFN也使用了与trinoo一\r\n样的Blowfish加密算法。\r\n\r\n我敢担保，这些拒绝服务工具包将会得到进一步的发展与完善，功能更强大\r\n，隐蔽性更强，关键字符串和\r\n控制命令口令将使用更强壮加密算法，甚至对自身进行数字签名，或在被非攻击\r\n者自己使用时自行消毁，使用\r\n加密通讯通道，使用象ICMP这种令防火墙更难监测或防御的协议进行数据包传输，等等。

天下第二

下次别忘记把图也贴出来啊