【正文】 NG to every Bcasts. Trinoo PONG 1 Received from PONG 2 Received from PONG 3 Received from （成功響應(yīng)） Trinoo mtimer 60 （設(shè)定攻擊時(shí)間為 60 秒） mtimer： Setting timer on bcast to 60. Trinoo dos DoS： Packeting ...... 至此一次攻擊結(jié)束，此時(shí) ping ，會(huì)得到 icmp不可到達(dá)反饋， 目標(biāo)主機(jī)此時(shí)與網(wǎng)絡(luò)的正常連接已被破壞。 Trinoo 運(yùn)行的總體輪廓可用圖 5 說(shuō) 明： 圖 5 我們來(lái)看一次攻擊的實(shí)例： 被攻擊的目標(biāo)主機(jī) victim IP 為： ns 被植入三臺(tái) sun 的主機(jī)里，他們的 IP 對(duì)應(yīng)關(guān)系分別為 client1： client2： client3： master 所在主機(jī)為 masterhost： 首先我們要啟動(dòng)各個(gè)進(jìn)程，在 client1， 2， 3 上分別執(zhí)行 ns， 啟動(dòng)攻擊守護(hù)進(jìn)程， 其次，在 master 所在主機(jī)啟動(dòng) master masterhost ./master ?? gOrave （系統(tǒng)示輸入密碼，輸入 gOrave 后 master 成功啟動(dòng)） Trinoo +f3+c [Mar 20 2020： 14： 38： 49] （連接成功） 在任意一臺(tái)與網(wǎng)絡(luò)連通的可使用 tel 的設(shè)備上，執(zhí)行： tel 27665 Escape character is 39。 dos：對(duì)某一目標(biāo)主機(jī)實(shí)施攻擊，如 dos mdie：停止正在實(shí)施的攻擊，使用這一功能需要輸入口令 killme， mping：請(qǐng)求攻擊守護(hù)進(jìn)程 NS 回應(yīng)，監(jiān)測(cè) ns 是否工作。 客戶端不是 Trinoo 自帶的一部分，可用標(biāo)準(zhǔn)的能提供 TCP連接的程序，如 TELNET， NETCAT 等，連接 MASTER 所在主 機(jī)的 27665端口， 輸入默認(rèn)密碼 betaalmostdone 后，即完成了連接工作，進(jìn)入攻擊控制可操作的提示狀態(tài)。 攻擊控制進(jìn)程（ MASTER）在收到攻擊守護(hù)進(jìn)程的 HELLO 包后， 會(huì)在自己所在目錄生成一個(gè)加密的名為 ...的可利用主機(jī)表文件， MASTER 的啟動(dòng)是需要密碼的，在正確輸入默認(rèn)密碼 gOrave 后， MASTER 即成功啟動(dòng)，它一方面?zhèn)陕?tīng)端口 31335，等待攻擊守護(hù)進(jìn)程的HELLO 包，另一方面?zhèn)陕?tīng)端口 27665，等待客戶端對(duì)其的連接。攻擊守護(hù)進(jìn)程 NS 是真正實(shí)施攻擊的程序，它一般和攻擊控制進(jìn)程（ MASTER）所在主機(jī)分離，在原始 C 文件 編譯的時(shí)候，需要加入可控制其執(zhí)行的攻擊控制進(jìn)程 MASTER 所在主機(jī) IP，（只有在 中的 IP 方可發(fā)起 NS 的攻擊行為）編譯成功后，黑客通過(guò)目前比較成熟的主機(jī)系統(tǒng)漏洞破解（如 ， ）可以方便的將大量 NS 植入因特網(wǎng)中有上述漏洞主機(jī)內(nèi)。 Trinoo 是基于 UDP flood 的攻擊軟件，它向被攻擊目標(biāo)主機(jī)隨機(jī)端口發(fā)送全零的 4 字節(jié) UDP 包，被攻擊主機(jī)的網(wǎng)絡(luò)性能在處理這些超出其處理能力垃圾數(shù)據(jù)包的過(guò)程中不斷下降，直至不能提供正常服務(wù)甚至崩潰。 ③ 利用被攻擊主機(jī)所提供服務(wù)中數(shù)據(jù)處理上的缺陷，反復(fù)高速地發(fā)送畸形數(shù)據(jù)引發(fā)服務(wù)程序錯(cuò)誤，大量占用系統(tǒng)資源，使被攻擊主機(jī)處于假死狀態(tài)，甚至導(dǎo)致系統(tǒng)崩潰。 （ 2） DDOS 攻擊的主要形式 ① 通過(guò)大量偽造的 IP 向某一固定目標(biāo)發(fā)出高流量垃圾數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法與外界通信。這種 3 層客戶機(jī) /服務(wù)器結(jié)構(gòu)，使 DDos 具有更強(qiáng)的攻擊能力，并且能較好地隱藏攻擊者的真實(shí)地址。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。代理端主機(jī) 是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。攻擊者操縱整個(gè)攻擊過(guò)程，它向主控端發(fā)送攻擊命令。 （ 1） DDOS 攻擊原理 DDoS主要采用了比較特殊的 3層客戶機(jī) /服務(wù)器結(jié) 構(gòu)，即攻擊端、 主控端和代理端，這 3 者在攻擊中各自扮演著不同的角色。 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求。 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假。 DDoS 攻擊是 DoS 攻擊的一種演變，它改變了傳統(tǒng)的一對(duì)一的攻擊方式，利用網(wǎng)絡(luò)調(diào)動(dòng)大量傀儡機(jī)，同時(shí)向目標(biāo)主機(jī)發(fā)起攻擊，攻擊效果極為明顯。當(dāng)目標(biāo)計(jì)算機(jī)的配置較低或網(wǎng)絡(luò)帶寬較小時(shí)，其攻擊的效果較為明顯。從以上 4 種 DoS 攻擊手段可以看出， DoS 攻擊的基本過(guò)程包括以下幾個(gè)階段： ① 攻擊者向被攻擊者發(fā)送眾多的帶有虛假地址的請(qǐng)求； ② 被攻擊者發(fā)送響應(yīng)信息后等待回傳信息； ③ 由于得不到回傳信息，使系統(tǒng)待處理隊(duì)列不斷加長(zhǎng)，直到資源耗盡，最終達(dá)到被攻擊者出現(xiàn)拒絕服務(wù)的現(xiàn)象。 ②DNS Query Flood 攻擊是一種針對(duì) DNS 服務(wù)器的攻擊行為。 UDP 攻擊通?？煞譃?UDP Flood 攻擊、 UDP Fraggle 攻擊和 DNS Query Flood 攻擊。在 UDP Flood 攻擊中，攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務(wù)，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機(jī)。例如，攻擊者冒充被攻擊者的 IP 使用 PING 來(lái)對(duì)一個(gè) C 類網(wǎng)絡(luò)的廣播地址發(fā)送 ICMP包，該網(wǎng)絡(luò)上的 254 臺(tái)主機(jī)就會(huì)對(duì)被攻擊者的 IP 發(fā)送 ICMP 回應(yīng)包，這樣攻擊者的攻擊行為就被放大了 254 倍。每個(gè)這樣的空連接到將暫存在服務(wù)器中，當(dāng)隊(duì)列足夠長(zhǎng)時(shí)，正常的連接請(qǐng)求將被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。 （ 2） Land 攻擊 Land 攻擊是利用向目標(biāo)主機(jī)發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，造成目標(biāo)主機(jī)解析 Land 包時(shí)占用大量系統(tǒng)資源，從而使網(wǎng) 絡(luò)功能完全癱瘓的攻擊手段。 圖 四 Syn Flood 惡意地不完成三次握手 假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN 報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無(wú)法收到客戶端的 ACK報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送 SYN+ACK 給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的