防御DDoS攻击的实时监测模型(2)

http://www.itjxue.com  2015-07-17 00:48  来源:未知  点击次数: 

  2.3、DDoS攻击的工具

 

  Trinoo[2]是第一个分布很广的DDoS攻击工具而且应用也很广泛。Trinoo[3]是一个消耗带宽的攻击工具,用一个或者多个IP地址来发起协作性的UDP洪水攻击。攻击用同样大小的UDP数据包,攻击的目标是受害机器上的随机端口。早期版本的Trinoo支持源IP地址欺骗。典型的是,Trinoo代理安装在能够使得远端的缓冲区溢出的系统上。软件中的这个漏洞允许攻击者用受害者系统的二级缓存来进行远端编辑和安转运行代理。操作者用UDP或者TCP来和代理端进行通信,因此入侵检测系统只能通过对UDP流量进行嗅探才能够发现它们。这个通道能够加密而且密码也可以受到保护。然而当前的密码不是以加密的方式传送,因此它可以被嗅探,或者被检测出来。现在的Trinoo工具没有提供源IP地址欺骗,因此它的攻击能力可以进一步扩展。

  Tribe Flood Network (TFN)[4]也是一种DDoS攻击工具,它提供给攻击者可以同时发起损耗带宽和损耗资源的攻击。它使用命令行界面在攻击者和控制主程序之间进行通信,但是在代理端和主控端间或者在主控端和攻击者之间提供的通信是没有加密的。TFN发起协作性的拒绝服务攻击,是非常难于计算出来因为它能产生多种类型的攻击,能产生欺骗的源IP地址的数据包而且能够使目标端口随机化。它能够欺骗一位或者是32位的源IP地址,或者是后8位。TFN发起的一些数据包攻击包括:smurf,UDP洪水攻击,TCP SYN洪水,ICMP 回复请求洪水攻击和ICMP定向广播。

  TFN2K[5]是一种基于TFN结构的DDoS攻击工具。TFN2K攻击增加了对构成攻击的所有组成部分之间的通信消息进行了加密[6]。真正攻击者和控制主程序之间的通信用基于密钥的CAST-256算法进行加密。控制者可以通过TCP,UDP,ICMP来发送攻击命令,可以用这三种中随机的一种,或者是把这三种全用上,则通过网络扫描就更难发现TFN2K攻击了。

  Stacheldraht[7]是基于TFN并去掉TFN工具中的一些缺点发展起来的。它结合了Trinoo(操作者/客户端结构)的特征,而这些特征是从TFN得出的。在代理端它也可以自动升级。Stacheldraht也提供了在攻击者和操作者的系统之间用对称加密技术进行安全的远程连接。新版本的Stacheldraht程序增加了很多新的特征和不同的数字签名。

  Mstream[8]工具通过改变TCP数据包的ACK标志来攻击目标。Mstream是一个简单的点对点TCP ACK洪水攻击工具。它通过TCP和UDP数据包来传输,通信过程是没有经过加密的,主攻击者通过远程登录到受害者的机器,而且访问操作是经过密码保护的。在其它的DDoS攻击工具中都没有这个特征。

  Sharft[9]是Trinoo的一个派生的工具。它用UDP在操作者和代理端之间进行通信。攻击者通过TCP远程连接来和操作者进行通信。Sharft攻击可以独立的运行,也可以联合UDP/TCP/ICMP洪水攻击中的一种发起攻击。数据包中的源IP地址和源端口号都被设置成随机的。在攻击中数据包的大小是固定。一个新的特征是在攻击中可以实时改变操作者的IP地址和端口,使检测工具很难检测出来。Shaft的另一个与众不同的特征是它可以实时改变控制的主服务器和端口,因此使的入侵检测工具就更难检测出来,更重要的是shaft提供了在洪水攻击中的统计特征。这个统计特征对攻击者来说是非常有用的,通过这些特征,攻击者可以查出受害者的系统何时彻底崩溃,以便于知道何时停止增加机器来进行DDoS攻击。

  在分析完上述有效的DDoS攻击的工具后,我们可以发现DDoS攻击具有如下的特征:

  ①数据包的源IP地址被设成随机的;

  ②数据包的源端口和目的端口被设成随机的;

  ③一些标志位(URG,ACK),片断,TCP属性,TTL和客户端的SEQ序列号由伪随机数生成器产生。

  DDoS攻击不需破解密码,也不要窃取系统资料,只要在网络上的任一角落都可以发动攻击。DDoS攻击由来自不同的源地址的数据包流组成,这类攻击控制Internet上合作的主机来耗尽目标机一些关键资源使得服务器合法用户的请求被拒绝。更重要的是,DDoS攻击流没有很明显的特征能够用来直接和大规模的检测和过滤。

(责任编辑:IT教学网)

更多