您现在的位置: 主页 > 华夏黑客联盟 > QQ 黑客 > 文章内容

简述终极武器DDoS--黑客基地攻击

作者: QQ黑客 来源:未知 时间: 2014-01-03 阅读:

说到让安全人员谈虎色变的黑客工具,那非莫属了,下面会为大家作一些简单的说明。

  通常,DoS攻击的目标是你网络的TCP/IP内层结构,而这些攻击分为三种:一种是利用TCP/IP协议的漏洞;二种是利用给定的TCP/IP协议栈软件的弱点;第三种是不断尝试的野蛮攻击。

  起这个黑客软件的破坏力,那就不可以不说起网络安全界鼻祖CERT被攻击的事情了。5月22日,星期二,这本来只是Pittsburgh Carnegie Mellon大学CERT 交流中心的一个寻常的日子。可是就在这一天,被认为是计算机安全的泰斗的CERT将在这一天被黑客们"离散的服务拒绝"(DDoS)的攻击手段踢出网络。另外,微软、雅虎和Exodus都在过去的12个月里遭到了DDos的毒手;可能成为下一个目标很可能就是你或者是你的客户喔。毕竟,如果有人真的想要用DDoS攻击你的服务器而使其瘫痪,他们是绝对有能力做到的,而且是防不胜防。

  “离散的服务拒绝”主要是通过阻止你的服务器发送你所提供的服务而工作的。要达到这个目的,黑客可以有很多种方法,例如最典型的就是Outlook e-mail 蠕虫病毒Melissa及其同类了,因为它们可以驱使Outlook 程序的客户端向服务器不停的发出充满了蠕虫病毒的信件直到服务器在重压之下瘫痪。很多人一提到DoS攻击的过程,就会联想到是用很多无用的信息来阻塞网络,以此来达到使其瘫痪的目的。其实这只是其中一个比较典型的方法。事实上还有一种方法其实也是非常有效的,那就是名为消耗服务器资源方式的攻击。这种攻击是用一个低速的modem连接来进行的。

  其中,Mazu网络公司设计的TrafficMaster Inspector是一种对付DDoS的好工具。通过不停地进行以G为单位的以太网速度的数据检查,并且尽可能远的追溯数据来源。简单的说,Mazu希望能够实时的探测到网络攻击,然后让正常的数据包通过同时将DDoS数据包阻挡起来。它对网络的这种保护使得它适合于ISP和数据中心服务器。

  对于企业用户来说,可以通过安装一些软件例如防火墙和象Zone Labs 公司的Zone Alarm Pro等,这些都可以起到免受或克制DDoS攻击的作用。另外,企业用户也可以寻求Asta 网络公司的帮助。Asta 网络公司开发了一种Vantage系统,这种系统可以起到一种类似于反病毒软件的作用,主要是起到预防的作用,当它发现了可能的攻击,Vantage系统会提示网络管理员,然后网络管理员就能使用路由过滤器甚至在数据流传送的途中关闭网络服务器来阻止攻击。而这个系统是通过分析和寻找可能的DDoS攻击的在一般攻击前的特点,它不停地将网络上数据包和已知的DDoS数据包的定式比较,这些定式包括流往域名服务器(DNS)的非标准的数据流,如果当它发现问题的时候,就会提示网络管理员了。
上面已经说过,DDoS其中的一种破坏方法就是破坏TCP/IP协议。其中最典型的例子就是Ping of Death攻击啦,这些黑客建造了一个超过了IP标准的最大长度--65535个字节的IP数据包。(Sinbad注:Ping 'o Death攻击是发送多个IP分片,总长度超过65535;jolt2才是连续发送一个偏移量很大的数据包)当这个"浮肿的"数据包到达的时候,,它就使得一个使用脆弱的TCP/IP协议软件和操作系统的服务器瘫痪。另外一个进行攻击的例子是Teardrop, 它主要是利用了系统重组IP数据包过程中的漏洞工作的。一个数据包在从互联网的另一端到你这里的路上也许会被分拆成更小的数据报文。这些数据报中的每一个都拥有最初的IP数据报的报头,同时还拥有一个偏移字节来标示它拥有原始数据报中的哪些字节。通过这些信息,一个被正常分割的数据报文能够在它的目的地被重新组装起来,并且网络也能够正常运转而不被中断。当一次Teardrop攻击开始时,你的服务器将受到拥有重叠的偏移字段的IP数据包的轰炸。如果你的服务器或是路由器不能丢弃这些数据包而且如果企图重组它们,你的服务器就会很快瘫痪。如果你的系统被及时更新了,或者你拥有一个可以阻挡Teardrop数据包的防火墙,你应该不会有什么麻烦。

 

  另外还有就是利用TCP/IP协议本身的漏洞来进行攻击的手段,这些手段也不少,其中最流行的SYN攻击。SYN工作的原理就是利用两个互联网程序间协议握手的过程进行的攻击。协议握手的过程如下,其中一个应用程序向另一个程序发送一个TCP SYN(同步)数据包。然后目标程序向第一个程序发送一个TCP-ACK应答数据包作为回答;第一个程序最后用一个ACK应答数据包确认已经收到。一旦这两个程序握手成功,它们就准备一起运行了。 SYN攻击用一堆TCP SYN数据包来淹没它的受害者。每个SYN数据包迫使目标服务器产生一个SYN-ACK应答数据包然后等待对应的ACK应答。这很快就导致过量的SYN-ACK一个接一个的堆积在缓存队列里。当缓存队列满了以后,系统就会停止应答到来的SYN请求。如果SYN攻击中包括了拥有错误IP源地址的SYN数据包,情况很快就会变得更糟。在这种情况下,当SYN-ACK被送出的时候,ACK应答就永远不会被收到。飞快充满的缓存队列使得合法程序的SYN请求无法再通过。更加厉害的是,与之相似的Land攻击手段使用欺骗性的SYN数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。 大多数时新的操作系统和防火墙可以阻止SYN攻击。另一个简单的阻止SYN攻击的方法是阻塞掉所有带有已知的错误的IP源地址的数据包。这些数据包应该包括带有错误的为内部保留的IP地址的外部数据包。

  另外还有Smurf攻击和用户数据报文协议冲击。这两种攻击都使用了同一的手段。当你被Smurf攻击的时候,攻击者用互联网控制信息协议(ICMP)的应答数据包--一种特殊的ping数据包来填充你的路由器。这些数据包的目的IP地址同时是你的广播地址,这使得你的路由器将ICMP数据包广播到网络上的每一台主机。不言自明的是,对于一个大型网络来说,它将引起巨大的网络信息流量。而且,就像Land攻击那样,如果黑客将Smurf攻击和欺骗手段结合起来,破坏力就更大。免Smurf攻击的一种简单的方法就是在路由器中禁用广播地址并且设置你的防火墙来过滤ICMP应答协议。你也可以设置你的服务器来使得它不对发送ICMP数据包到IP广播地址的要求做出响应。这些设置不会影响到你的网络的正常工作因为很少有应用程序使用IP协议的广播功能。