网络攻击透视与防范课程设计论文(编辑修改稿)

网络攻击透视与防范课程设计论文(编辑修改稿)内容摘要：

UDP Flood 攻击、 UDP Fraggle 攻击和 DNS Query Flood 攻击。 ①UDP Fraggle 攻击的原理与 Smurf攻击相似，也是一种 “ 放大 ”式的攻击，不同的是它使用 UDP 回应代替了 ICMP 回应。 ②DNS Query Flood 攻击是一种针对 DNS 服务器的攻击行为。 攻击者向 DNS 的 UDP 53 端口发送大量域名查询请求，占用大量系统资 源，使服务器无法提供正常的查询请求。 从以上 4 种 DoS 攻击手段可以看出， DoS 攻击的基本过程包括以下几个阶段： ① 攻击者向被攻击者发送众多的带有虚假地址的请求； ② 被攻击者发送响应信息后等待回传信息； ③ 由于得不到回传信息，使系统待处理队列不断加长，直到资源耗尽，最终达到被攻击者出现拒绝服务的现象。 2 DDOS 攻击 DoS 攻击主要是采用一对一的攻击方式。 当目标计算机的配置较低或网络带宽较小时，其攻击的效果较为明显。 随着计算机及网络技术的发展，计算机的处理能力迅速增长，网络带宽也从百兆发展到了千兆、万兆， DoS 攻击很难奏效。 DDoS 攻击是 DoS 攻击的一种演变，它改变了传统的一对一的攻击方式，利用网络调动大量傀儡机，同时向目标主机发起攻击，攻击效果极为明显。 被 DDOS 攻击时一般回出现以下几中情况： 被攻击主机上有大量等待的 TCP 连接。 网络中充斥着大量的无用的数据包，源地址为假。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。 严重时会造成系统死机。 （ 1） DDOS 攻击原理 DDoS主要采用了比较特殊的 3层客户机 /服务器结 构，即攻击端、 主控端和代理端，这 3 者在攻击中各自扮演着不同的角色。 攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。 攻击者操纵整个攻击过程，它向主控端发送攻击命令。 主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。 主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。 代理端主机 是攻击的执行者，真正向受害者主机发送攻击。 攻击者发起 DDoS 攻击的第一步，就是寻找在 Inter 上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。 第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。 最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。 这种 3 层客户机 /服务器结构，使 DDos 具有更强的攻击能力，并且能较好地隐藏攻击者的真实地址。 图五 DDoS 攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击 主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。 （ 2） DDOS 攻击的主要形式 ① 通过大量伪造的 IP 向某一固定目标发出高流量垃圾数据，造成网络拥塞，使被攻击主机无法与外界通信。 ② 利用被攻击主机提供的服务或传输协议上的缺陷，反复高速地发送对某特定服务的连接请求，使被攻击主机无法及时处理正常业务。 ③ 利用被攻击主机所提供服务中数据处理上的缺陷，反复高速地发送畸形数据引发服务程序错误，大量占用系统资源，使被攻击主机处于假死状态，甚至导致系统崩溃。 3 Trinoo 攻击软件 进行 DDOS 攻击实例 DDoS 攻击不断在 Inter 出现，并在应用的过程中不断的得到完善，已有一系列比较成熟的软件产品，如 Trinoo、独裁者 DDoS 攻击器、 DdoSer、 TFN、 TFN2K 等，他们基本核心及攻击思路是很相象的，下面就通过 Trinoo 对这类软件做一介绍。 Trinoo 是基于 UDP flood 的攻击软件，它向被攻击目标主机随机端口发送全零的 4 字节 UDP 包，被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降，直至不能提供正常服务甚至崩溃。 它对 IP 地址不做假 ，采用的通讯端口是： 攻击者主机到主控端主机： 27665/TCP 主控端主机到代理端主机： 27444/UDP 代理端主机到主服务器主机： 31335/UDP Trinoo 攻击功能的实现，是通过三个模块付诸实施的： 攻击守护进程（ NS）； 攻击控制进程（ MASTER）； 客户端（ NETCAT，标准 TELNET 程序等）。 攻击守护进程 NS 是真正实施攻击的程序，它一般和攻击控制进程（ MASTER）所在主机分离，在原始 C 文件 编译的时候，需要加入可控制其执行的攻击控制进程 MASTER 所在主机 IP，（只有在 中的 IP 方可发起 NS 的攻击行为）编译成功后，黑客通过目前比较成熟的主机系统漏洞破解（如 ， ）可以方便的将大量 NS 植入因特网中有上述漏洞主机内。 NS 运行时，会首先向攻击控制进程（ MASTER）所在主机的 31335端口发送内容为 HELLO的 UDP包，标示它自身的存在，随后攻击守护进程即处于对端口 27444 的侦听状态，等待 MASTER 攻击指令的到来。 攻击控制进程（ MASTER）在收到攻击守护进程的 HELLO 包后， 会在自己所在目录生成一个加密的名为 ...的可利用主机表文件， MASTER 的启动是需要密码的，在正确输入默认密码 gOrave 后， MASTER 即成功启动，它一方面侦听端口 31335，等待攻击守护进程的HELLO 包，另一方面侦听端口 27665，等待客户端对其的连接。 当客户端连接成功并发出指令时， MASTER 所在主机将向攻击守护进程 ns所在主机的 27444 端口传递指令。 客户端不是 Trinoo 自带的一部分，可用标准的能提供 TCP连接的程序，如 TELNET， NETCAT 等，连接 MASTER 所在主 机的 27665端口， 输入默认密码 betaalmostdone 后，即完成了连接工作，进入攻击控制可操作的提示状态。 目前版本的 Trinoo 有六个可用命令， mtimer：设定攻击时长，如 mtimer 60，攻击 60 秒，如果不设置的话，默认。