DOS攻击软件的运行原理

《DOS攻击软件的运行原理》由会员分享，可在线阅读，更多相关《DOS攻击软件的运行原理（7页珍藏版）》请在装配图网上搜索。

1、DoS 攻击软件连连看TCP/IP漏洞是指利用主机协议栈处理及协议本身机制的缺陷造成的安全漏洞，这类安全漏洞 很容易造成系统缓冲区溢出，不识别 IP 欺骗，而要是在处理大量异常连接，畸形消息时更 容易导致拒绝服务。这类漏洞从PoD到DRDoS，每一种攻击都是黑客技术的杰作，而且越 来越可怕，越来越难对付。我就在这里给大家详细介绍一下各种各样的 TCP/IP 网络拒绝服 务攻击及其大体防范方法。死亡之 Ping(ping of death)1. 原理不用我多说了，大名鼎鼎的Ping早已经家喻户晓了。早期的Ping之所以能称为死亡之Ping, 那是因为在早期阶段路由器对包的最大尺寸都有限制，很多操

2、作系统对TCP/IP栈的实现在 ICMP包上都是规定为64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的 信息为有效载荷生成缓冲区。当产生畸形的包加载尺寸超过 64KB 上限的包时，就会出 现内存分配错误，从而导致TCP/IP堆栈崩溃，使系统死机。理论上Ping发出的ICMP数据包 最大为65507字节，如果超过这个限度，就会导致目标系统缓冲区溢出,TCP/IP堆栈崩溃而 死机。2. 攻击Ping命令的-I参数可以定制包的大小，-t参数可以循环发送无数包，但是仅有这些是不够的， 黑客们通常使用自己的Ping工具，甚至可以调动众多肉鸡进行分布式攻击。Tosser是一款很实用的网络测

3、试工具，提供了 Ping和Trace功能，如图1所示。图13防御现在所有标准的TCP/IP都已经具备对付超大尺寸包的能力了，各种操作系统（Windows 98 之后的Windows NT, Linux，Unix和Mac OS）都能抵抗一般的死亡之Ping，并且大多数防火 墙都能够自动过滤这些攻击，所以现在的普通Ping是很难形成Death之势了。针对Ping攻 击只需利用路由器，防火墙对ICMP进行有效的筛选即可。古老的 Smurf1原理Smurf是一种很古老的DoS攻击。这种方法使用了广播地址，广播地址的尾数通常为0比 如：192.168.1.0。在一个有 N 台计算机的网络中，当其中一台主

4、机向广播地址发送了 1KB 大小的ICMP Echo Requst时，那么它将收到N KB大小的ICMP Reply，如果N足够大它将淹 没该主机，最终导致该网络的所有主机都对此ICMP Echo Requst作出答复，使网络阻塞！利 用此攻击时，假冒受害主机的IP,那么它就会收到应答，形成一次拒绝服务攻击0 Smurf攻 击的流量比Ping of death洪水的流量高出一两个数量级，而且更加隐蔽2攻击Smurf2K是一个强大的攻击工具，它通过一个储存广播列表地址的文件，记录下Internet上可用的主机，然后利用这些主机发起进攻。如图2 所示：图23防御为了防止黑客利用你的网络进行Smur

5、f攻击，关闭外部路由器或防火墙的广播地址特性；为 了防止被攻击，在防火墙上设置规则丢弃掉ICMP包。Fraggle 攻击1原理Fraggle 攻击与 Smurf 攻击类似，只是利用 UDP 协议；虽然标准的端口是 7，但是大多数使 用Fraggle攻击的程序允许你指定其它的端口。Fraggle攻击是这样实现的：攻击者掌握着大 量的广播地址，并向这些地址发送假冒的UDP包，通常这些包是直接到目标主机的7号端 口 也就是 Echo 端口，而另一些情况下它却到了 Chargen 端口，攻击者可以制造一个在 这两个端口之间的循环来产生网络阻塞。2攻击编写Fraggle攻击程序时只要把Smurf攻击程序

6、的代码作一下修改就可以了。3防御最好的防止系统受到Smurf和Fraggle攻击的方法是在防火墙上过滤掉ICMP报文，或者在服 务器上禁止Ping，并且只在必要时才打开Ping服务。原子弹一-OB Nuke1原理OOB Nuke又名Windows nuke，是在1997年5月被发现的，这种攻击将导致Windows 95/98 蓝屏，在当时的IRC聊天用户中很流行。OOB Nuke攻击的实现是由于Windows 95/98不能 正确的处理带外数据。在TCP协议中提供了紧急方式，是传输的一端告诉另一端有些具有 某种方式的紧急数据已经放到普通的数据流中，如何处理由接受方决定。通过设置TCP首 部中的

7、两个字段发出这种通知，URG比特被设置为1,并且一个16比特的紧急指针被设置 为一个正的偏移量，某些实现将TCP的紧急方式称之为带外数据。问题在于Windows 95/98 不知道如何处理带外数据。OOB Nuke 一般使用139端口。2攻击仅提供一款工具：WindowsNuke2,如下图3所示：图33防御打相关的补丁或者将你的 Windows 95/98 升级到 2000 或更高，不过连微软都已经放弃了 Windows 95/98，估计现在还在使用它的人少之又少了。Land 攻击1原理Land 攻击是由著名的黑客组织 RootShell 发现的，于 1997 年 11 月 20 日公布的，原

8、理比较 简单，就是利用TCP连接三握手中的缺陷，向目标主机发送源地址与目标地址一样的数据包, 造成目标主机解析Land包占用太多的资源，从而使网络功能完全瘫痪。具体说应该是，Land 攻击打造一个特别的 SYN 包，其源地址和目标地址被设置成同一个计算机的地址，这时将 导致该计算机向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一 个空连接，每个这样的连接都将保留直到超时。2攻击Land攻击对Windows 95很有效，但实际上，很多基于BSD的操作系统都有这个漏洞。不同 的操作系统对Land攻击反应不同，很多Unix将崩溃，而Windows NT会变得非常缓慢，而 且

9、对Linux，路由器，其它大量的Unix都具有相当的攻击力。这里提供Land程序的源代码 (请见光盘)。3防御 打最新的相关的安全补丁，在防火墙上进行配置，将那些在外部接口上进入的含有内部源地址的包过滤掉，包括10域，127域，192.168域，172.16到172.31域。由于Land攻击主要 是构造IP包，使源IP和目标IP相同，源端口和目的端口相同，所以如果使用Tcpdump,可 记录到攻击特征为：23：45：13 815705 192.168.0.111 23192.168.0.111 23：S 3868：3868(0) Windows 2048泪滴eardrop攻击1.原理Teard

10、rop攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实 现自己的攻击。IP分段含有指示该分段所包含的是原包的那一段的信息，某些TCP/IP在收 到含有重叠偏移的伪造分段时将崩溃。具体的讲是这样的，物理层通常给所能传输的帧加上 一个尺寸上限，IP层将数据报的大小与物理层帧的上限相比较，如果需要就进行分段。在IP 报头中设置了一些域用于分段：标志域为发送者传输的每一个报文保留一个独立的值，这个 特定的值被拷贝到每个特定报文的每个分段，标志域中有一位作为“更多分段”位，除了最后 一段之外，该位在组成一个数据报的所有分段中被置位；分段偏移域含有该分段自初始数据 报开始位置

11、的位移。对于存在 Teardrop 漏洞的操作系统，如果接受到畸形数据分段，则在 某些情况下会破坏整个IP协议栈，因此，必须重启计算机才能恢复。2攻击在早期的由 BSD 实现的网络协议中，在处理数据包分段时存在漏洞，后来的一些操作系统 都沿用了 BSD的代码，所以这个漏洞在Linux，Windows 98和Windows NT中都是存在的。 网上有一个Linux上运行的Teardrop程序Teardrop.c,它就是实现这样的攻击的。下载地址是：putec.ch/software/denial_of_service/teardrop/teardrop.c 3防御：安装最新的服务包，设置防火墙时

12、对分段进行重组，而不是转发它们。UDP Flood1原理做个简单的实验，用Telnet连接到对方TCP chargen 19号端口，看看返回了什么？很吃惊的 是，返回了大量的回应数据，如果能加以利用的话就能够发动 DoS 攻击了。先介绍一下Chargen服务，RFC0864中定义了这种服务，其UDP/TCP均使用了 19号端口。UDP chargen server若收到一个封包，就会随一个封包回去；而TCP chargen server若发现与Client的连线 存在，就会不断的发送封包给Client，所以TCP chargen可以直接诱发DoS攻击。不过常用 的还是UDP chargen，它

13、常被用来作为DDoS中放大网络流量之用，一般要结合Echo服务。 Echo服务用的是UDP的7号端口，如果它收到一个包，就会把包中的负载按原样返回，而 如果你向UDP的19号端口 Chargen发送一个任意字符，它将返回一个假的随机字符串UDP Flood攻击就是通过伪造与某一台主机的Chargen服务之间的UDP连接，回复地址指向开着 Echo 服务的一台主机，这就能在两台主机之间产生无用的数据流，如果数据流足够多就会 导致 DoS。UDP Flood图解（如图4所示）:图42攻击一个典型的UDP Flood攻击工具UDP Flooder，如图5所示:图53防御关掉一些不必要的TCP/IP服

14、务，或者对防火墙进行配置，阻断来自Internet的请求这些服务 的 UDP 请求。分布式拒绝服务一一DDoS1原理大名鼎鼎的 DDoS 在 2000 年的“电子珍珠港事件”中名声大震，我也没必要说很多。从名字 中我们就能得知，它是利用很多台机器一起发动攻击。攻击手法可能只是简单的Ping，也可 能是SYN Flood或其它，但是由于它调用了很多台机器，所以规模很大，火力更猛，而且因 为它利用了 TCP/IP网络协议的缺陷，所以很难防御这种进攻。2攻击2001年用来攻击Yahoo等网站的程序一一TFN，Trinoo, TFN2K等都堪称是黑客技术的杰作， 而且网上都有它们的源代码。3防御 主要

15、谈一下防御。要阻止这种进攻关键是网络出口反欺骗过滤器的功能是否强大，也就是说 如果你的WEB服器收到的数据包的源IP地址是伪造的话，你的边界路由器或防火墙必须能 够识别出来并将其丢弃，最快速的方法是和ISP联手通过丢包等方法一起来阻挡这种庞大的 进攻。另外针对DDoS进攻是集中于某一个IP地址的特点，使用移动IP地址技术也是一种 不错的选择。大多数的DDoS攻击代码是公开的，分析源代码我们也可以根据其特点设计出 有效的反击方法，或者使用工具检测这种进攻。现在已经出现了名为Ngrep的工具，它使用 DNS来跟踪TFN2K驻留程序。分布式反射拒绝服务一一DRDoS1原理一种比DDoS更可怕的攻击方

16、式已经出现了！它就是DRDoS一一分布式反射拒绝服务(Distributed Reflection Denial of Service)。DRDoS 不同于以往的拒绝服务方式，它对 DDoS 作了改进，它是通过对正常的服务器进行网络连接请求来达到攻击目的的。从TCP的三次握 手中我们知道了任何合法的TCP连接请求都会得到返回数据包,而这种攻击方法就是将这个 返回包直接返回到被攻击的主机上，这里涉及到数据包内的源 IP 地址问题，就是利用数据 包的IP地址欺骗方法，欺骗被利用的网络服务器提供TCP服务，让此服务器认为TCP请求 连接都是被攻击主机上发送的，接着它就会发送SYN+ACK”数据包给被攻击主机，恶意的数 据包就从被利用的服务器“反射”到了被害主机上，形成洪水攻击。DRDoS图解（如图9所示）:图93攻击DRDoS 很好地隐蔽了攻击者的真实地址，利用时我们也可以使用威力更大的方式。 DRDoS 攻击体系如图 10 所示：这里提供一款命令行攻击工具一一DRDoS （安全焦点有下载），使用很简单，但是威力很大。慎用！3防御防御这种攻击需要相当高的专业技巧，一般来说应该让网络安全事件响应小组来取证分析 并请信息安全服务商来解决。