【文章內(nèi)容簡介】 UDP Flood 攻擊、 UDP Fraggle 攻擊和 DNS Query Flood 攻擊。 ①UDP Fraggle 攻擊的原理與 Smurf攻擊相似，也是一種 “ 放大 ”式的攻擊，不同的是它使用 UDP 回應(yīng)代替了 ICMP 回應(yīng)。 ②DNS Query Flood 攻擊是一種針對(duì) DNS 服務(wù)器的攻擊行為。攻擊者向 DNS 的 UDP 53 端口發(fā)送大量域名查詢請求，占用大量系統(tǒng)資 源，使服務(wù)器無法提供正常的查詢請求。從以上 4 種 DoS 攻擊手段可以看出， DoS 攻擊的基本過程包括以下幾個(gè)階段： ① 攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請求； ② 被攻擊者發(fā)送響應(yīng)信息后等待回傳信息； ③ 由于得不到回傳信息，使系統(tǒng)待處理隊(duì)列不斷加長，直到資源耗盡，最終達(dá)到被攻擊者出現(xiàn)拒絕服務(wù)的現(xiàn)象。 2 DDOS 攻擊 DoS 攻擊主要是采用一對(duì)一的攻擊方式。當(dāng)目標(biāo)計(jì)算機(jī)的配置較低或網(wǎng)絡(luò)帶寬較小時(shí)，其攻擊的效果較為明顯。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，網(wǎng)絡(luò)帶寬也從百兆發(fā)展到了千兆、萬兆， DoS 攻擊很難奏效。 DDoS 攻擊是 DoS 攻擊的一種演變，它改變了傳統(tǒng)的一對(duì)一的攻擊方式，利用網(wǎng)絡(luò)調(diào)動(dòng)大量傀儡機(jī)，同時(shí)向目標(biāo)主機(jī)發(fā)起攻擊，攻擊效果極為明顯。 被 DDOS 攻擊時(shí)一般回出現(xiàn)以下幾中情況： 被攻擊主機(jī)上有大量等待的 TCP 連接 。 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假。 制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊。 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時(shí)處理所有正常請求。 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。 （ 1） DDOS 攻擊原理 DDoS主要采用了比較特殊的 3層客戶機(jī) /服務(wù)器結(jié) 構(gòu)，即攻擊端、 主控端和代理端，這 3 者在攻擊中各自扮演著不同的角色。攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī) 是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。攻擊者發(fā)起 DDoS 攻擊的第一步，就是尋找在 Inter 上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。這種 3 層客戶機(jī) /服務(wù)器結(jié)構(gòu)，使 DDos 具有更強(qiáng)的攻擊能力，并且能較好地隱藏攻擊者的真實(shí)地址。 圖五 DDoS 攻擊一旦實(shí)施，攻擊數(shù)據(jù)包就會(huì)像洪水般地從四面八方涌向被攻擊 主機(jī)，從而把合法用戶的連接請求淹沒掉，導(dǎo)致合法用戶長時(shí)間無法使用網(wǎng)絡(luò)資源。 （ 2） DDOS 攻擊的主要形式 ① 通過大量偽造的 IP 向某一固定目標(biāo)發(fā)出高流量垃圾數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法與外界通信。 ② 利用被攻擊主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)送對(duì)某特定服務(wù)的連接請求，使被攻擊主機(jī)無法及時(shí)處理正常業(yè)務(wù)。 ③ 利用被攻擊主機(jī)所提供服務(wù)中數(shù)據(jù)處理上的缺陷，反復(fù)高速地發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯(cuò)誤，大量占用系統(tǒng)資源，使被攻擊主機(jī)處于假死狀態(tài)，甚至導(dǎo)致系統(tǒng)崩潰。 3 Trinoo 攻擊軟件 進(jìn)行 DDOS 攻擊實(shí)例 DDoS 攻擊不斷在 Inter 出現(xiàn)，并在應(yīng)用的過程中不斷的得到完善，已有一系列比較成熟的軟件產(chǎn)品，如 Trinoo、獨(dú)裁者 DDoS 攻擊器、 DdoSer、 TFN、 TFN2K 等，他們基本核心及攻擊思路是很相象的，下面就通過 Trinoo 對(duì)這類軟件做一介紹。 Trinoo 是基于 UDP flood 的攻擊軟件，它向被攻擊目標(biāo)主機(jī)隨機(jī)端口發(fā)送全零的 4 字節(jié) UDP 包，被攻擊主機(jī)的網(wǎng)絡(luò)性能在處理這些超出其處理能力垃圾數(shù)據(jù)包的過程中不斷下降，直至不能提供正常服務(wù)甚至崩潰。它對(duì) IP 地址不做假 ，采用的通訊端口是： 攻擊者主機(jī)到主控端主機(jī)： 27665/TCP 主控端主機(jī)到代理端主機(jī)： 27444/UDP 代理端主機(jī)到主服務(wù)器主機(jī)： 31335/UDP Trinoo 攻擊功能的實(shí)現(xiàn)，是通過三個(gè)模塊付諸實(shí)施的： 攻擊守護(hù)進(jìn)程（ NS）； 攻擊控制進(jìn)程（ MASTER）； 客戶端（ NETCAT，標(biāo)準(zhǔn) TELNET 程序等）。攻擊守護(hù)進(jìn)程 NS 是真正實(shí)施攻擊的程序，它一般和攻擊控制進(jìn)程（ MASTER）所在主機(jī)分離，在原始 C 文件 編譯的時(shí)候，需要加入可控制其執(zhí)行的攻擊控制進(jìn)程 MASTER 所在主機(jī) IP，（只有在 中的 IP 方可發(fā)起 NS 的攻擊行為）編譯成功后，黑客通過目前比較成熟的主機(jī)系統(tǒng)漏洞破解（如 ， ）可以方便的將大量 NS 植入因特網(wǎng)中有上述漏洞主機(jī)內(nèi)。 NS 運(yùn)行時(shí)，會(huì)首先向攻擊控制進(jìn)程（ MASTER）所在主機(jī)的 31335端口發(fā)送內(nèi)容為 HELLO的 UDP包，標(biāo)示它自身的存在，隨后攻擊守護(hù)進(jìn)程即處于對(duì)端口 27444 的偵聽狀態(tài)，等待 MASTER 攻擊指令的到來。 攻擊控制進(jìn)程（ MASTER）在收到攻擊守護(hù)進(jìn)程的 HELLO 包后， 會(huì)在自己所在目錄生成一個(gè)加密的名為 ...的可利用主機(jī)表文件， MASTER 的啟動(dòng)是需要密碼的，在正確輸入默認(rèn)密碼 gOrave 后， MASTER 即成功啟動(dòng)，它一方面?zhèn)陕牰丝?31335，等待攻擊守護(hù)進(jìn)程的HELLO 包，另一方面?zhèn)陕牰丝?27665，等待客戶端對(duì)其的連接。當(dāng)客戶端連接成功并發(fā)出指令時(shí)， MASTER 所在主機(jī)將向攻擊守護(hù)進(jìn)程 ns所在主機(jī)的 27444 端口傳遞指令。 客戶端不是 Trinoo 自帶的一部分，可用標(biāo)準(zhǔn)的能提供 TCP連接的程序，如 TELNET， NETCAT 等，連接 MASTER 所在主 機(jī)的 27665端口， 輸入默認(rèn)密碼 betaalmostdone 后，即完成了連接工作，進(jìn)入攻擊控制可操作的提示狀態(tài)。 目前版本的 Trinoo 有六個(gè)可用命令， mtimer：設(shè)定攻擊時(shí)長，如 mtimer 60，攻擊 60 秒，如果不設(shè)置的話，默認(rèn)