|
作者: naster [naster] 论坛用户 | 登录 |
四、何为 "stacheldraht",如何防范? Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式,其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时,侵入者与master程序进行连接。Stacheldraht增加了以下新功能:攻击者与master程序之间的通讯是加密的,以及使用rcp (remote copy,远程复制)技术对代理程序进行更新。 Stacheldraht 同TFN一样,可以并行发动数不胜数的DoS攻击,类型多种多样,而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击以及ICMP播放。 以下是Stacheldraht DDoS攻击的基本特征以及建议采取的防御措施: 1、在发动Stacheldraht攻击时,攻击者访问master程序,向它发送一个或多个攻击目标的 IP地址。Master程序再继续与所有代理程序进行通讯,指示它们发动攻击。 Stacheldraht master程序与代理程序之间的通讯主要是由ICMP 回音和回音应答信息包来完成的。配置路由器或入侵检测系统,不允许一切ICMP回音和回音应答信息包进入网络,这样可以挫败Stacheldraht代理。但是这样会影响所有要使用这些功能的Internet程序,例如ping。 2、代理程序要读取一个包含有效master程序的IP地址列表。这个地址列表使用了Blowfish加密程序进行加密。代理会试图与列表上所有的master程序进行联系。如果联系成功,代理程序就会进行一个测试,以确定它被安装到的系统是否会允许它改变"伪造"信息包的源地址。通过配置入侵检测系统或使用嗅探器来搜寻它们的签名信息,可以探测出这两个行为。 代理会向每个master发送一个ICMP 回音应答信息包,其中有一个ID 域包含值666,一个数据域包含字符串"skillz"。如果master收到了这个信息包,它会以一个包含值667的ID 域和一个包含字符串"ficken"的数据域来应答。代理和master通过交换这些信息包来实现周期性的基本接触。通过对这些信息包的监控,可以探测出Stacheldraht。 一旦代理找到了一个有效master程序,它会向master发送一个ICMP信息包,其中有一个伪造的源地址,这是在执行一个伪造测试。这个假地址是"3.3.3.3"。如果master收到了这个伪造地址,在它的应答中,用ICMP信息包数据域中的"spoofworks"字符串来确认伪造的源地址是奏效的。通过监控这些值,也可以将Stacheldraht检测出来。 3、Stacheldraht代理并不检查 ICMP 回音应答信息包来自哪里,因此就有可能伪造 ICMP 信息包将其排除。 4、Stacheldraht代理程序与TFN 和 trinoo一样,都可以用一个C程序来探测,它的地址是http://staff.washington.edu/dittrich/misc/ddos_scan.tar。 五、如何配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击? 1、抵御 Smurf ・确定你是否成为了攻击平台:对不是来自于你的内部网络的信息包进行监控;监控大容量的回音请求和回音应答信息包。 ・避免被当做一个攻击平台:在所有路由器上禁止IP广播功能;将不是来自于内部网络的信息包过滤掉。 ・减轻攻击的危害:在边界路由器对回音应答信息包进行过滤,并丢弃;对于Cisco路由器,使用CAR来规定回音应答信息包可以使用的带宽最大值。 2、抵御trinoo ・确定你是否成为攻击平台:在master程序和代理程序之间的通讯都是使用UDP协议,因此对使用UDP协议(类别 17)进行过滤;攻击者用TCP端口27655与master程序连接,因此对使用TCP (类别6)端口 27655连接的流进行过滤;master与代理之间的通讯必须要包含字符串"l44" ,并被引导到代理的UDP 端口27444,因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。 ・避免被用作攻击平台:将不是来自于你的内部网络的信息包过滤掉。 ・减轻攻击的危害: 从理论上说,可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤,并丢弃它们。 3、抵御TFN和TFN2K ・确定你是否成为攻击平台:对不是来自于内部网络的信息包进行监控。 ・避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉。 4、抵御Stacheldraht ・确定你是否成为攻击平台:对 ID域中包含值666、数据域中包含字符串"skillz"或ID域中包含值667、数据域中包含字符串"ficken" 的ICMP回音应答信息包进行过滤;对源地址为"3.3.3.3"的ICMP 信息包和ICMP信息包数据域中包含字符串"spoofworks"的数据流进行过滤。 ・避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包, 当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉;将不是来源于内部网络的信息包过滤掉。 |
地主 发表时间: 09/03 08:55 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号