久久综合视频网,国产毛片久久久久久国产毛片 ,国内精品久久久久久不卡影院

利用反弹技术进行DDoS��d��的分析与防�M

chatler — Fri, 22 Jan 2010 10:08:00 GMT

��d��者可以通过反弹技术��我们对DDOS ��d��更难以防御——利用反�Ҏ��务器反弹DDOS的洪水包�Q�也��是��_��通过发送大量的�ƺ骗��h��数据包（来源地址为victim�Q�受��x��务器�Q�或目标服务器） �l�Internet上大量的服务器群�Q�而这些服务器��收到请求后��发送大量的应答包给victim。结果是原来用于��d��的洪水数据流被大量的服务器所�E� 释，�q�最�l�在受害者处汇集为洪��_��使受完��更难以隔离��d��z�水��，�q�且更难以用Traceback 跟踪技术去扑ֈ��z�水��的来源�?

　　在分布式DOS��d��Q�DDOS�Q�中�Q�攻击者事先入侵了大量服务器，�q�在�q�些服务器上植入了DDOS��d��E�序�Q�然后结合这些被入��R的服务器的网�l�传输力量发动攻凅R��利用大量的服务器发动攻��M��仅增加了��d��的力度，而且更难于防范�?/p>

图一昄��了以往DDOS��d��的结构：一个主机，��L��务器�Q�Master�Q�，作用是发送控制消息给事先入��R�q�已植入DDOS�E�序的从服务器群 �Q�Slave�Q�，控制从服务器��发起对目标服务器的��d��。从服务器群��生高定w��的源地址��Z��造的或随机的�|�络数据��，�q�把�q�些数据��发送给目标服务器�? 因�ؓ数据��的源地址是伪造的�Q�增加了�q�查的难度�?

　　利用成百上千的从服务器不仅可以另�q�查的难度加大（因�ؓ难以识别大量不同的来源，需要查询大量的路由器）�Q�而且极大的阻��了当成功追查后所需采取的行动（因�ؓ�q�要与大量的�|�络��理员联�p�，安装大量的网�l�过滤器�Q��?/p>

而今考虑周密的攻击者可以通过利用反弹服务器（Reflector�Q�，更好的组�l�他们的��d��。反�Ҏ��务器是指�Q�当收到一个请求数据报后就会��生一个回�? 数据报的��L��。例如，所有的WEB服务器，DNS服务器，及�\由器都是反弹服务器，因�ؓ他们会对SYN报文或其他TCP报文回应SYN ACKs或RST报文�Q�以及对一些IP报文回应ICMP数据报超时或目的��C��可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发�? DDOS��d��?

　　��d��者首先锁定大量的可以做�ؓ反弹服务器的服务器群�Q�比如说100万台�Q�这�q�不是�g很难的工作，因�ؓ在Internet上光是WEB服务器就不止�q�么多的�Q�更何况�q�有更多其他的机器可以作为反�Ҏ��务器�Q�。然后攻击者们集中事先搞定的从服务器群�Q�向已锁定的反弹服务器群发送大量的�ƺ骗��h��数据包（来源地址为victim�Q�受��x��务器或目标服务器�Q�。反�Ҏ��务器��向受害服务器发送回应数据报。结果是�Q�到辑֏��x��务器的洪水数据报不是几百个，几千个的来源�Q�而是上百万个来源�Q�来源如此分散的�z�水 ��量��堵塞�Q何其他的企图对受��x��务器的连接�?/p>
　　图二昄��了利�? 反弹�q�行DDOS��d��的结构。注意到�Q�受��x��务器不需要追查攻�ȝ��来源�Q�因为所有攻��L��据报的源IP都是真实的，都是反弹服务器群的IP。而另一斚w��Q�反 �Ҏ��务器的管理�h员则难以�q�查��C��服务器的位置�Q�因��Z��所收到的数据报都是伪造的�Q�源IP为受��x��务器的IP�Q��?/p>
原则上，我们可以在反�Ҏ��务器上利用追�t�技术来发现从服务器的的位置。但是，反弹服务器上发送数据报的流量远��于从服务器发送的��量。每一个从服务器可以把它发送的�|�络��量分散到所有或者一大部分反�Ҏ��务器。例如：如果�q�里有Nr 个反�Ҏ��务器�Q�Ns 个从服务器，每个从服务器发送的�|�络��量为F�Q�那么每一个反�Ҏ��务器��生的�|�络��量�?/p>

　　而Nr �q�大于Ns 。所以，服务器根据网�l�流量来自动��是否是DDOS��d��源的�q�种机制��不起作用�?/p>
值得注意的是�Q�不象以往DDOS��d��Q�利用反�Ҏ��术，��d��者不需要把服务器做为网�l�流量的攑֤�器（发送比��d��者发送的更大定w��的网�l�数据）。他们甚臛_�� 以�ɋz�水��量变弱�Q�最�l�才在目标服务器回合为大定w��的洪水。这��L��机制让攻击者可以利用不同网�l�结构机制的服务器作为反�Ҏ��务器�Q��其更�Ҏ��扑ֈ��_��数量的反�Ҏ��务器�Q�用以发��h��凅R�?/p>
　　我们的分析显�C�，有三�U�特别具威胁性的反弹服务器是�Q�DNS服务器、Gnutella服务器、和��Z��TCP-IP的服务器�Q�特别是WEB 服务器）�Q�基于TCP的实现将遭受可预��初始序列号的威胁�?/p>

from:
http://www.searchsecurity.com.cn/showcontent_29184.htm

chatler 2010-01-22 18:08 发表评论

chatler — Fri, 25 Dec 2009 03:33:00 GMT

手动修改�Q?br>#vi /etc/sysconfig/SuSEfirewall2

#TCP端口的情况：
FW_SERVICES_EXT_TCP = "6000"
#UDP端口的情况：
FW_SERVICES_EXT_UDP = "177"
防火墙设�|�的生效�Q?br>#rcSuSEfirewall2 restart

chatler 2009-12-25 11:33 发表评论

chatler — Sun, 20 Dec 2009 14:57:00 GMT

已经有很多介�l�DOS�Q�Denial of Service�Q�即拒绝服务�Q�攻�ȝ��文章�Q�但是，多数��是不知道DOS到底是什么，它到底是怎么实现的。本文主要介�l�DOS的机理和常见的实施方法。因前段旉��仔细了解了TCP/IP协议以及RFC文��Q�有点心得。同�Ӟ��文中有部分内容参考了Shaft的文章翻译而得
。要想了解DOS��d��得实现机理，必须对TCP有一定的了解。所以，本文分�ؓ两部分，�W�一部分介绍一
些实现DOS��d��相关的协议，�W�二部分则介�l�DOS的常见方式�?br>
1�?什么是DOS��d��
DOS�Q�即Denial Of Service�Q�拒�l�服务的�~�写�Q�可不能认�ؓ是微软的dos操作�pȝ��了。好象在5·1的时候闹�q�这��L��W�话。拒�l�服务，��q��当于必胜客在客满的时候不再让��M��P��呵呵�Q�你惛_��馅饼�Q�就必须在门口等吧。DOS��d��x��击者想办法让目标机器停止提供服务或资源讉K��Q�这些资源包括磁盘空间、内存、进�E�甚至网�l�带宽，从而阻止正常用��L��讉K��。比如：
* 试图FLOOD服务器，��L��合法的网�l��?br>* 破坏两个机器间的�q�接�Q�阻止访问服�?br>* ��L��Ҏ��用户讉K��服务
* 破坏服务器的服务或者导致服务器��L��
不过�Q�只有那些比较阴险的��d��者才单独使用DOS��d��Q�破坏服务器。通常�Q�DOS��d��会被作�ؓ一�ơ入�늚�一部分�Q�比如，�l�过入��R��系�l�的时候，通常从用大量的攻��d��发，��D��入��R��系�l�日志过多或者反应迟钝，�q�样�Q�入侵者就可以在潮水般的攻��M��混骗�q�入侉|��系�l��?br>
2、有关TCP协议的东�?br>TCP�Q�transmission control protocol�Q�传输控制协议）�Q�是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议�Q�在RFC793中有正式定义�Q�还有一些解决错误的东西在RFC 1122中有记录�Q�RFC 1323则有TCP的功能扩展�?br>
我们常见到的TCP/IP协议中，IP层不保证��数据报正确传送到目的圎ͼ�TCP则从本地机器接受用户的数据流�Q�将其分成不��过64K字节的数据片�D�，��每个数据片�D�作为单独的IP数据包发送出去，最后在目的地机器中再组合成完整的字节流�Q�TCP协议必须保证可靠性�?br>
发送和接收方的TCP传输以数据段的�Ş式交换数据，一个数据段包括一个固定的20字节��_��加上可选部分，后面再跟上数据，TCP协议从发送方传送一个数据段的时候，�q�要启动计时器，当数据段到达目的地后�Q�接收方�q�要发送回一个数据段�Q�其中有一个确认序��P��它等于希望收到的下一个数据段的顺序号�Q�如果计时器在确认信息到辑։��时了，发送方会重新发送这个数据段�?br>
上面�Q�我们��M��上了解一点TCP协议�Q�重要的是要熟悉TCP的数据头�Q�header�Q�。因为数据流的传输最重要的就是header里面的东西，至于发送的数据�Q�只是header附带上的。客��L��和服务端的服务响应就是同header里面的数据相养I��两端的信息交��和交换是根据header中的内容实施的，因此�Q�要实现DOS�Q�就必须对header中的内容非常熟悉�?br>
下面是TCP数据�D�头格式�?br>Source Port�?Destination Port :是本地端口和目标端口
Sequence Number �?Acknowledgment Number �Q�是��序号和��认��P��认��h��希望接收的字节号。这都是32位的�Q�在TCP��中�Q�每个数据字节都被编受��Data offset :表明TCP头包含多��个32位字�Q�用来确定头的长度，因�ؓ头中可选字�D�长度是不定的。Reserved : 保留�?位，现在没用�Q�都�?
接下来是6�?位的标志�Q�这是两个计��机数据交流的信息标志。接收和发送断�Ҏ��q�些标志来确定信息流的种�c�R��下面是一些介�l�： URG�Q�（Urgent Pointer field significant�Q�紧急指针。用到的时候��gؓ1�Q�用来处理避免TCP数据��中断ACK�Q�（Acknowledgment field significant�Q�置1时表�C�确认号�Q�Acknowledgment Number�Q��ؓ合法�Q��ؓ0的时候表�C�数据段不包含确认信息，��认可��忽略�?br>PSH�Q�（Push Function�Q�，PUSH标志的数据，�|?时请求的数据�D�在接收方得到后��可直接送到应用�E�序�Q�而不必等到缓冲区满时才传送�?br>RST�Q�（Reset the connection�Q�用于复位因某种原因引�v出现的错误连接，也用来拒�l�非法数据和��h��。如�?br>接收到RST位时候，通常发生了某些错误�?br>SYN�Q�（Synchronize sequence numbers�Q�用来徏立连接，在连接请求中�Q�SYN=1�Q�CK=0�Q�连接响应时�Q�SYN=1�Q?br>ACK=1。即�Q�SYN和ACK来区分Connection Request和Connection Accepted�?br>FIN�Q�（No more data from sender�Q�用来释放连接，表明发送方已经没有数据发送�?br>
知道�q�重要的6个指�C�标志后�Q�我们��l�来�?br>16位的WINDOW字段�Q�表�C�确认了字节后还可以发送多��字节。可以�ؓ0�Q�表�C�已�l�收到包括确认号�?�Q�即已发送所有数据）
在内的所有数据段�?br>接下来是16位的Checksum字段�Q�用来确保可靠性的�?br>16位的Urgent Pointer�Q�和下面的字�D�|��们这里不解释了。不然太多了。呵呵，��h��啊�?br>
我们�q�入比较重要的一部分�Q�TCP�q�接握手�q�程。这个过�E�简单地分�ؓ三步。在没有�q�接中，接受方（我们针对服务器）�Q�服务器处于LISTEN状态，�{�待其他机器发送连接请求�?br>�W�一步：客户端发送一个带SYN位的��h��Q�向服务器表�C�需要连接，比如发送包假设��h��序号�?0�Q�那么则为：SYN=10�Q�ACK=0�Q�然后等待服务器的响应�?br>�W�二步：服务器接收到�q�样的请求后�Q�查看是否在LISTEN的是指定的端口，不然�Q�就发送RST=1应答�Q�拒�l�徏立连接。如果接收连接，那么服务器发送确认，SYN为服务器的一个内码，假设�?00�Q�ACK位则是客��L��的请求序号加1�Q�本例中发送的数据是：SYN=100�Q�ACK=11�Q�用�q�样的数据发送给客户端。向客户端表�C�，服务器连接已�l�准备好了，�{�待客户端的��认�q�时客户端接收到消息后，分析得到的信息，准备发送确认连接信号到服务�?br>�W�三步：客户端发送确认徏立连接的消息�l�服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即�Q�SYN=11�Q�ACK=101�?br>�q�时�Q�连接已�l�徏立�v来了。然后发送数据，。这是一个基本的��h��和连接过�E�。需要注意的是这些标志位的关�p�，比如SYN、ACK�?br>
3、服务器的缓冲区队列�Q�Backlog Queue�Q?br>服务器不会在每次接收到SYN��h��q��d��客户端徏立连接，而是��接请求分配内存空��_��建立会话�Q��ƈ攑ֈ�一个等待队列中。如果，�q�个�{�待的队列已�l�满了，那么�Q�服务器��׃��在�ؓ新的�q�接分配��M��东西�Q�直接丢弃新的请求。如果到了这��L��地步�Q�服务器��是拒绝服务了�?br>如果服务器接收到一个RST位信息，那么��p��是一个有错误的数据段�Q�会�Ҏ��客户端IP�Q�把�q�样的连接在�~�冲区队列中清除掉。这对IP�ƺ骗有媄响，也能被利用来做DOS��d��?br>
####################################################################

上面的介�l�，我们了解TCP协议�Q�以及连接过�E�。要对SERVER实施拒绝服务��d��Q�实质上的方式就是有两个�Q?br>一�Q?�q��服务器的�~�冲区满�Q�不接收新的��h��?br>二，使用IP�ƺ骗�Q�迫使服务器把合法用��L��q�接复位�Q�媄响合法用��L��q�接
�q�就是DOS��d��实施的基本思想。具体实现有�q�样的方法：

1、SYN FLOOD
利用服务器的�q�接�~�冲区（Backlog Queue�Q�，利用�Ҏ��的程序，讄��TCP的Header�Q�向服务器端不断地成倍发送只有SYN标志的TCP�q�接��h��。当服务器接收的时候，都认为是没有建立��h��的连接请求，于是��些请求徏立会话，排到�~�冲区队列中�?br>如果你的SYN��h��过了服务器能容�U�的限度�Q�缓冲区队列满，那么服务器就不再接收新的��h��了。其他合法用��L��q�接都被拒绝掉。可以持�l�你的SYN��h��发送，直到�~�冲��Z��都是你的只有SYN标记的请求。现在有很多实施SYN FLOOD的工��P��呵呵�Q�自己找��d��?br>
2、IP�ƺ骗DOS��d��
�q�种��d��利用RST位来实现。假讄��在有一个合法用�?1.1.1.1)已经同服务器建立了正常的�q�接�Q�攻击者构造攻�ȝ��TCP数据�Q�伪装自��q��IP�?.1.1.1�Q��ƈ向服务器发送一个带有RST位的TCP数据�D�c��服务器接收到这��L��数据后，认�ؓ�?.1.1.1发送的�q�接有错误，��׃��清空�~�冲��Z��建立好的�q�接。这�Ӟ��如果合法用户1.1.1.1再发送合法数据，服务器就已经没有�q�样的连接了�Q�该用户��必
��M��新开始徏立连接。攻��L��Q�伪造大量的IP地址�Q�向目标发送RST数据�Q��服务器不对合法用��h��务�?br>
3�?带宽DOS��d��
如果你的�q�接带宽��_��大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这�U�攻��d��是�h多力量大了，配合上SYN一起实施DOS�Q�威力巨大。不�q�是初��DOS��d��。呵��c��Ping白宫�Q�？你发疯了啊！

4、自�w�消耗的DOS��d��
�q�是一�U�老式的攻��L��法。说老式�Q�是因�ؓ老式的系�l�有�q�样的自�w�BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的�pȝ��?br>�q�种DOS��d��是把请求客��L��IP和端口弄成主机的IP端口相同�Q�发送给��L��。��得主机给自己发送TCP��h��和连接。这�U�主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些��n份认证系�l�还是威胁巨大的�?br>上面�q�些实施DOS��d��的手�D�|��主要的就是构造需要的TCP数据�Q�充分利用TCP协议。这些攻��L��法都是徏立在TCP基础上的。还
有其他的DOS��d��手段�?br>
5、塞满服务器的硬�?br>通常�Q�如果服务器可以没有限制地执行写操作�Q�那么都能成为塞满硬盘造成DOS��d��的途径�Q�比如：
发送垃��N��件。一般公司的服务器可能把邮�g服务器和WEB服务器都攑֜�一赗��破坏者可以发送大量的垃圾邮�g�Q�这些邮件可能都塞在一个邮仉��列中或者就是坏邮�g队列中，直到邮箱被撑破或者把��盘塞满�?br>让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能��造成日志文�g非常庞大�Q�甚至会塞满��盘。同时会让管理员痛苦地面对大量的日志�Q�甚臛_��不能发现入��R者真正的入��R途径�?br>向匿名FTP塞垃圾文件。这样也可以塞满��盘�I�间�?br>
6、合理利用策�?br>一般服务器都有关于帐户锁定的安全策略，比如�Q�某个帐戯��l?�ơ登陆失败，那么�q�个帐号��被锁定。这点也可以被破坏者利用，他们伪装一个帐号去错误登陆�Q�这样��得这个帐可��锁定�Q�而正常的合法用户��׃��能��用这个帐号去登陆�pȝ��? .

from:
http://lib.360doc.com/06/1103/22/4546_249496.shtml

chatler 2009-12-20 22:57 发表评论