分布式D.O.S攻击（二）(安全动态)

公司介绍

员工心声

招聘信息

服务范围

分布式D.O.S攻击（二） (Other,其他)

涉及程序：

任何在线主机

描述：

分布式D.O.S攻击种种手段综述

详细：

最近，一些组织和个人对世界上一些顶级的大站点实施了攻击，造成这些高性能的商业网站长达数小时的瘫痪。经跟踪发现，这一波袭击采用的手段都是分布式D.O.S攻击的几种形式，下面就这几种典型的攻击做一简单的综述：
1、Smurf Attack
"Smurf attack"可能是最早的分布式D.O.S攻击的形式。攻击者先使用扫描程序搜索一些允许广播包的路由器，找到这种路由器以后，攻击者就可以着手“陷害”攻击目标了(在下面我们把攻击目标称为"受害机")。这种路由器有一个特性，在这个网段内的每台机器都会对ping广播包回应一个包，所以，如果这个网段内有240台机器，一台机器发一个ping广播包，将有240个包回复给这台机器。攻击做的事情就是向这种路由器发送一些经过伪造的报文，包头上的地址伪造为"受害机"的地址，这样通过不停地发送这些伪造的ping广播包，受害机收到的将是数以百倍计的报文，很快"受害机"就会被淹没在这种洪水般的报文中，对其它的正常请求失去反应能力。
为了防止被跟踪，攻击者通常会在另一台他已经入侵并控制的机器上来做这件事情。
要防御 "smurf attack"攻击，必须联系该网段的管理员，在网络的边界路由器上拒绝ping广播包，最好对其它的ICMP包也做严格的处理。
关于smurf attack的更多信息，请参看本站的英文资料:

http://www.cnns.net/article/db/70.htm

2、MacOS 9 Smurf
攻击者只需要对MacOS 9发少量包, 就可以产生大量的包，扩大倍数可以达到37.5，与"smurf attack"类似关于该攻击的补丁，请参考:
The solution is a patch for MacOS 9 at http://asu.info.apple.com/swupdates.nsf/artnum/n11559.

3、trin00
请参考:
trin00的分析

4、Tribal Flood Network
最危险的分布式D.O.S工具是Tribal Flood Network (TFN)，作者是Mixter
这个工具利用Unix机器(被利用机)，集成了ICMP flood, SYN flood, UDP flood, and Smurf attacks等多种攻击方式。这个工具还在发起攻击的平台上(被利用机)创建后门，允许攻击者以root身份访问这台被利用的机器。
关于TFN的更多资料，请参考本站的英文资料:
http://www.cnns.net/article/db/72.htm

5、Stacheldraht
"Stacheldraht"这个攻击结合了 "trin00" 和 "Tribal Flood Network"，在攻击者与被利用机器的通信上面还采用了加密验证，并且有自动升级的功能。
关于"Stacheldraht"的更多信息，请参考本站的英文资料:http://www.cnns.net/article/db/71.htm

6、Tribal Floodnet 2K
是"Tribal Flood Network"的升级版，能从多个源对单个或多个目标发动攻击。这个工具增强了伪装功能，使攻击报文更加难以识别和过滤，

除了远程执行指令外，还对攻击源地址加以伪装，并集成了多种协议的攻击报文，如UDP,TCP,ICMP等，同时还增加了跟踪工作的难度，特别值得一提的是，它还尝试发送一些非法报文使目标机器崩溃。

关于TFN2k的更多信息，请参考:
http://www.cnns.net/article/db/73.htm

其它的DDOS攻击工具和更多关于DDOS攻击的资料请参看本站的英文资料:
http://www.cnns.net/article/db/74.htm

同时几百上千个人向一台服务器发送Ping等命令也是很早的一种分布式D.O.S攻击形式。在linux下面使用带 -f 参数的ping指令的攻击力就很强。
分布式D.O.S工具不能简单地认定是攻击工具，实际上分布式的发包攻击方法最早是用于网络安全测试，或者网络性能测试。这种方法可以测出一个网站的性能和吞吐量，能测出网站能处理的最大通信量的值。

解决方案：

本站正在防御该攻击的程序，该功能将绑定到我们的IDS入侵检测系统上

发布时间：2000年2月12日