1.在Master程序与代理程序的所有通信中,Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流。
2.Trinoo Master程序的监听端口是27655,攻击者一般借助Telnet通过TCP连接到Master程序所在计算机。入侵检测软件能够搜索到使用TCP并连接到端口27655的数据流。
3.所有从Master程序到代理程序的通信都包含字符串“l44”,并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。
4.Master和代理之间通信受到口令的保护,但是口令不是以加密格式发送的,因此它可以被“嗅探”到并被检测出来。而一旦一个代理被准确地识别出来,Trinoo网络就可以按照如下步骤被拆除:
在代理Daemon上使用“strings”命令,将Master的IP地址暴露出来。与所有作为Trinoo Master的机器管理者联系,通知他们这一事件。在Master计算机上,识别含有代理IP地址列表的文件(默认名“...”),得到这些计算机的IP地址列表。www.ItcOMpuTER.com.Cn向代理发送一个伪造“Trinoo”命令来禁止代理。
通过crontab 文件(在UNIX系统中)的一个条目,代理可以有规律地重新启动。因此,代理计算机需要被反复地关闭,直到代理系统的管理者修复了crontab文件为止。
最后检查Master程序的活动TCP连接,这能显示攻击者与Trinoo Master程序之间存在的实时连接。
面对“Smurf攻击”,应该如何抵御? Smurf是用别人的账号安装到一个计算机上的,它会用一个伪造的源地址连续ping一个或多个计算机网络,这就导致所有计算机所响应的计算机并不是实际发送这个信息包的计算机。而这个伪造的源地址实际上就是攻击的目标,它将被数量极多的响应信息所淹没。对这个伪造信息包做出响应的计算机就成为这次攻击的不知情的同谋。下面就针对Smurf DDoS攻击的基本特性介绍一些抵御策略:
1.Smurf为了能工作,必须要找到攻击平台。如果路由器上启动了IP广播功能,那么这个功能就允许Smurf发送一个伪造的ping信息包,然后将它传播到整个计算机网络中。因此建议将所有路由器上IP的广播功能都禁止。
2.攻击者也有可能从LAN内部发动一个Smurf攻击。在这种情况下,禁止路由器上的IP广播功能就没有用了。为了避免这种攻击,许多操作系统都提供了相应设置,防止计算机对IP广播请求做出响应。
3.如果攻击者要成功地利用你成为攻击平台,你的路由器必须要允许信息包以不是从你所在内网中产生的源地址离开网络。因此要配置路由器,让它将不是由你的内网中生成的信息包过滤出去,这也就是所谓的网络出口过滤器功能。
4.ISP则应使用网络入口过滤器,以丢掉那些不是来自一个已知范围内IP地址的信息包。
5.对边界路由器的回音应答(echo reply)信息包进行过滤,这样就能阻止其“命中”Web服务器和内网。对于使用Cisco路由器的用户,可以选择CAR (Committed Access Rate,承诺访问速率)。
如果自己成为了攻击的目标,那么就要请求ISP对回音应答信息包进行过滤并丢弃。如果不想完全禁止回音应答,那么可以有选择地丢弃那些指向自己的公用Web服务器的回音应答信息包。
From:http://www.itcomputer.com.cn/Article/Network/201309/3792.html