典型DoS攻擊原理及抵御措施

smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序，本文將對它們的原理以及抵御措施進行論述，以幫助管理員有效地抵御DoS風暴攻擊，維護站點安全。

一、何為"smurf 攻擊"，如何抵御？

　　Smurf是一種簡單但有效的 DDoS 攻擊技術，它利用了ICMP (Internet控制信息協議)。ICMP在Internet上用於錯誤處理和傳遞控制信息。它的功能之一是與主機聯系，通過發送一個“回音請求”（echo request）信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計算機上的，然後用一個偽造的源地址連續ping一個或多個計算機網絡，這就導致所有計算機所響應的那個計算機並不是實際發送這個信息包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。

　　下面是Smurf DDoS 攻擊的基本特性以及建議采用的抵御策略：

　　1、Smurf的攻擊平台：smurf為了能工作，必須要找到攻擊平台，這個平台就是：其路由器上啟動了 IP廣播功能。這個功能允許 smurf 發送一個偽造的ping信息包，然後將它傳播到整個計算機網絡中。

　　2、為防止系統成為 smurf攻擊的平台，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能並不需要。

　　3、攻擊者也有可能從LAN內部發動一個smurf攻擊，在這種情況下，禁止路由器上的IP 廣播功能就沒有用了。為了避免這樣一個攻擊，許多操作系統都提供了相應設置，防止計算機對IP廣播請求做出響應。更多信息請參閱http://www.cert.org/advisories/CA-98.01.smurf.html的附錄A。

　　4、如果攻擊者要成功地利用你成為攻擊平台，你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網絡。配置路由器，讓它將不是由你的內網中生成的信息包過濾出去，這是有可能做到的。這就是所謂的網絡出口過濾器功能。

　　5、ISP則應使用網絡入口過濾器，以丟掉那些不是來自一個已知范圍內IP地址的信息包。

　　6、挫敗一個smurf 攻擊的最簡單方法對邊界路由器的回音應答(echo reply)信息包進行過濾，然後丟棄它們，這樣就能阻止“命中”Web服務器和內網。對於那些使用Cisco路由器的人，另一個選擇是CAR (Committed Access Rate，承諾訪問速率)。

　　丟棄所有的回音應答信息包能使網絡避免被淹沒，但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標，就要請求ISP對回音應答信息包進行過濾並丟棄。 如果不想完全禁止回音應答，那麼可以有選擇地丟棄那些指向你的公用Web 服務器的回音應答信息包。 CAR 技術由Cisco 開發，它能夠規定出各種信息包類型使用的帶寬的最大值。例如，使用CAR，我們就可以精確地規定回音應答信息包所使用的帶寬的最大值。

二、何為 "trinoo"，如何抵御它？

　　trinoo 是復雜的 DDoS 攻擊程序，它使用“master”程序對實際實施攻擊的任何數量的“代理”程序實現自動控制。攻擊者連接到安裝了master程序的計算機，啟動master程序，然後根據一個IP地址的列表，由master程序負責啟動所有的代理程序。接著，代理程序用UDP 信息包沖擊網絡，從而攻擊目標。在攻擊之前，侵入者為了安裝軟件，已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。

　　下面是trinoo DDoS 攻擊的基本特性以及建議采用的抵御策略：

　　1、在master程序與代理程序的所有通訊中，trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流(類型17)。

　　2、Trinoo master程序的監聽端口是27655，攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP (類型6)並連接到端口27655的數據流。

　　3、所有從master程序到代理程序的通訊都包含字符串"l44"，並且被引導到代理的UDP 端口27444。入侵檢測軟件檢查到UDP 端口27444的連接，如果有包含字符串l44的信息包被發送過去，那麼接受這個信息包的計算機可能就是DDoS代理。

　　4、Master和代理之間通訊受到口令的保護，但是口令不是以加密格式發送的，因此它可以被“嗅探”到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本http://staff.washington.edu/dittrich/misc/trinoo.analysis，要准確地驗證出trinoo代理的存在是很可能的。

　　一旦一個代理被准確地識別出來，trinoo網絡就可以安裝如下步驟被拆除：

　　·在代理daemon上使用"strings"命令，將master的IP地址暴露出來。
　　·與所有作為trinoo master的機器管理者聯系，通知它們這一事件。
　　·在master計算機上，識別含有代理IP地址列表的文件(默認名"...")，得到這些計算機的IP地址列表。
　　·向代理發送一個偽造"trinoo"命令來禁止代理。通過crontab 文件(在UNIX系統中)的一個條目，代理可以有規律地重新啟動， 因此，代理計算機需要一遍一遍地被關閉，直到代理系統的管理者修復了crontab文件為止。
　　·檢查master程序的活動TCP連接，這能顯示攻擊者與trinoo master程序之間存在的實時連接。
　　·如果網絡正在遭受trinoo攻擊，那麼系統就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。
　　·在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。

三、何為"Tribal Flood Network" 和 "TFN2K"，如何抵御?

　　Tribe Flood Network與trinoo一樣，使用一個master程序與位於多個網絡上的攻擊代理進行通訊。TFN可以並行發動數不勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。 可以由TFN發動的攻擊包括：UDP沖擊、TCP SYN 沖擊、ICMP回音請求沖擊以及 ICMP 廣播。

　　以下是TFN DDoS 攻擊的基本特性以及建議的抵御策略：

　　1、發動TFN時，攻擊者要訪問master程序並向它發送一個或多個目標IP地址，然後Master程序繼續與所有代理程序通訊，指示它們發動攻擊。

　　TFN Master程序與代理程序之間的通訊使用ICMP回音應答信息包，實際要執行的指示以二進制形式包含在16位ID域中。ICMP (Internet控制信息協議)使信息包協議過濾成為可能。通過配置路由器或入侵檢測系統，不允許所有的ICMP回音或回音應答信息包進入網絡，就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序，比如ping。

　　TFN Master程序讀取一個IP地址列表，其中包含代理程序的位置。這個列表可能使用如"Blowfish"的加密程序進行了加密。如果沒有加密的話，就可以從這個列表方便地識別出代理信息。

　　2、用於發現系統上TFN 代理程序的程序是td，發現系統上master程序的程序是tfn。TFN 代理並不查看ICMP回音應答信息包來自哪裡，因此使用偽裝ICMP 信息包沖刷掉這些過程是可能的。

　　TFN2K是TFN的一個更高級的版本，它“修復”了TFN的某些缺點：

　　1、在TFN2K下，Master與代理之間的通訊可以使用許多協議，例如TCP、UDP或ICMP，這使得協議過濾不可能實現。

　　2、TFN2K能夠發送破壞信息包，從而導致系統癱瘓或不穩定。

　　3、TFN2K偽造IP源地址，讓信息包看起來好像是從LAN上的一個臨近機器來的，這樣就可以挫敗出口過濾和入口過濾。

　　4、由於TFN2K是最近剛剛被識破的，因此還沒有一項研究能夠發現它的明顯弱點。

　　在人們能夠對TFN2K進行更完全的分析之前，最好的抵御方法是：

　　·加固系統和網絡，以防系統被當做DDoS主機。
　　·在邊界路由器上設置出口過濾，這樣做的原因是或許不是所有的TFN2K源地址都用內部網絡地址進行偽裝。
　　·請求上游供應商配置入口過濾。

四、何為 "stacheldraht"，如何防范?

　　Stacheldraht也是基於TFN和trinoo一樣的客戶機/服務器模式，其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時，侵入者與master程序進行連接。Stacheldraht增加了以下新功能：攻擊者與master程序之間的通訊是加密的，以及使用rcp (remote copy，遠程復制)技術對代理程序進行更新。

　　Stacheldraht 同TFN一樣，可以並行發動數不勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP 沖擊、TCP SYN 沖擊、ICMP 回音應答沖擊以及ICMP播放。

　　以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施：

　　1、在發動Stacheldraht攻擊時，攻擊者訪問master程序，向它發送一個或多個攻擊目標的 IP地址。Master程序再繼續與所有代理程序進行通訊，指示它們發動攻擊。

　　Stacheldraht master程序與代理程序之間的通訊主要是由ICMP 回音和回音應答信息包來完成的。配置路由器或入侵檢測系統，不允許一切ICMP回音和回音應答信息包進入網絡，這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序，例如ping。

　　2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯系。如果聯系成功，代理程序就會進行一個測試，以確定它被安裝到的系統是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統或使用嗅探器來搜尋它們的簽名信息，可以探測出這兩個行為。

　　代理會向每個master發送一個ICMP 回音應答信息包，其中有一個ID 域包含值666，一個數據域包含字符串"skillz"。如果master收到了這個信息包，它會以一個包含值667