smurf、Fraggle 攻擊、Trinoo、Tribe Flood Network(TFN)、TFN2k以及Stacheldraht是比較常見的DDoS攻擊程序,我們再看看它們的原理,其攻擊思路基本相近。 Smurf 攻擊:Smurf是壹種簡單但有效的 DDoS 攻擊技術,Smurf還是利用ping程序進行源IP假冒的直接廣播進行攻擊。在Internet上廣播信息可以通過壹定的手段(通過廣播地址或其他機制)發送到整個網絡中的機器。當某臺機器使用廣播地址發送壹個ICMP echo請求包時(例如Ping),壹些系統會回應壹個ICMP echo回應包,這樣發送壹個包會收到許多的響應包。Smurf攻擊就是使用這個原理來進行的,同時它還需要壹個假冒的源地址。也就是說Smurf在網絡中發送的源地址為要攻擊的主機地址,目的地址為廣播地址的ICMP echo請求包,使許多的系統同時響應並發送大量的信息給被攻擊主機(因為他的地址被攻擊者假冒了)。Smurf是用壹個偽造的源地址連續ping壹個或多個計算機網絡,這就導致所有計算機響應的那個主機地址並不是實際發送這個信息包的攻擊計算機。這個偽造的源地址,實際上就是攻擊的目標,它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。壹個簡單的 smurf 攻擊最終導致網絡阻塞和第三方崩潰,這種攻擊方式要比 ping of death 洪水的流量高出壹兩個數量級。這種使用網絡發送壹個包而引出大量回應的方式也被叫做Smurf"放大"。
Fraggle 攻擊:Fraggle 攻擊對 Smurf 攻擊作了簡單的修改,使用的是 UDP 應答消息而非 ICMP。
"trinoo"攻擊:trinoo 是復雜的 DDoS 攻擊程序,是基於UDP flood的攻擊軟件。它使用"master"程序對實際實施攻擊的任何數量的"代理"程序實現自動控制。當然在攻擊之前,侵入者為了安裝軟件,已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。攻擊者連接到安裝了master程序的計算機,啟動master程序,然後根據壹個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP 信息包沖擊網絡,向被攻擊目標主機的隨機端口發出全零的4字節UDP包,在處理這些超出其處理能力垃圾數據包的過程中,被攻擊主機的網絡性能不斷下降,直到不能提供正常服務,乃至崩潰。它對IP地址不做假,因此此攻擊方法用得不多。
"Tribal Flood Network"和 "TFN2K" 攻擊:Tribe Flood Network與trinoo壹樣,使用壹個master程序與位於多個網絡上的攻擊代理進行通訊,利用ICMP給代理服務器下命令,其來源可以做假。TFN可以並行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。 可以由TFN發動的攻擊包括:SYN flood、UDP flood、ICMP回音請求flood及Smurf(利用多臺服務器發出海量數據包,實施DoS攻擊)等攻擊。TFN的升級版TFN2k進壹步對命令數據包加密,更難查詢命令內容,命令來源可以做假,還有壹個後門控制代理服務器。
"stacheldraht"攻擊:Stacheldraht也是基於TFN和trinoo壹樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了新的功能:攻擊者與master程序之間的通訊是加密的,對命令來源做假,而且可以防範壹些路由器用RFC2267過濾,若檢查出有過濾現象,它將只做假IP地址最後8位,從而讓用戶無法了解到底是哪幾個網段的哪臺機器被攻擊;同時使用rcp (remote copy,遠程復制)技術對代理程序進行自動更新。Stacheldraht 同TFN壹樣,可以並行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應答沖擊。
如何防止DoS/DdoS攻擊
DoS攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而壹直存在也不斷發展和升級。值得壹提的是,要找DoS的工具壹點不難,黑客群居的網絡社區都有***享黑客軟件的傳統,並會在壹起交流攻擊的心得經驗,妳可以很輕松的從Internet上獲得這些工具,像以上提到的這些DoS攻擊軟件都是可以從網上隨意找到的公開軟件。所以任何壹個上網者都可能構成網絡安全的潛在威脅。DoS攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,DoS攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
面對兇多吉少的DoS險灘,我們該如何對付隨時出現的黑客攻擊呢?讓我們首先對造成DoS攻擊威脅的技術問題做壹下總結。DoS攻擊可以說是如下原因造成的:
1.軟件弱點是包含在操作系統或應用程序中與安全相關的系統缺陷,這些缺陷大多是由於錯誤的程序編制,粗心的源代碼審核,無心的副效應或壹些不適當的綁定所造成的。由於使用的軟件幾乎完全依賴於開發商,所以對於由軟件引起的漏洞只能依靠打補丁,安裝hot fixes和Service packs來彌補。當某個應用程序被發現有漏洞存在,開發商會立即發布壹個更新的版本來修正這個漏洞。由於開發協議固有的缺陷導致的DoS攻擊,可以通過簡單的補丁來彌補系統缺陷。
2.錯誤配置也會成為系統的安全隱患。這些錯誤配置通常發生在硬件裝置,系統或者應用程序中,大多是由於壹些沒經驗的,無責任員工或者錯誤的理論所導致的。如果對網絡中的路由器,防火墻,交換機以及其他網絡連接設備都進行正確的配置會減小這些錯誤發生的可能性。如果發現了這種漏洞應當請教專業的技術人員來修理這些問題。
3.重復請求導致過載的拒絕服務攻擊。當對資源的重復請求大大超過資源的支付能力時就會造成拒絕服務攻擊(例如,對已經滿載的Web服務器進行過多的請求使其過載)。
要避免系統免受DoS攻擊,從前兩點來看,網絡管理員要積極謹慎地維護系統,確保無安全隱患和漏洞;而針對第三點的惡意攻擊方式則需要安裝防火墻等安全設備過濾DoS攻擊,同時強烈建議網絡管理員應當定期查看安全設備的日誌,及時發現對系統的安全威脅行為。