从DDos到傻瓜的Trin00
随着信息业的高速发展,黑客攻击的手法也随之日新月异。1999年7月份左右,微软公司的视
窗操作系统的一个bug被人发现和利用,并且进行了多次攻击,这种新的攻击方式被称为\"分布式拒
绝服务攻击\"即为\"DDos(Distributed Denial Of Service Attacks)攻击\"。随后这种攻击事件发
生的越来越频繁,许多著名的国内外网站都不同程度的遭到了这种手法的攻击。使网络安全进一步
迫切化了。在这篇文章中,将向你描述关于Ddos攻击的一些详细资料,只望能在你了解此类攻击和
防范上起到帮助作用。
DDos是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机
发起攻击,在这样的带宽相比之下被攻击的主机很容易失去反应能力的。目前所见过的分布式攻击
系统一般都是基于客户机/服务器模式,随着攻击者手法的不断进步这种模式正在向着更高的方向
发展,也更进一步使它的攻击更加隐秘,并能完全的有了隐藏自己的真实位置的能力。现在这种方
式被认为是最有效的攻击形式,并且很难于防备。我们要了解它那么首先就得知道它的攻击路径。
用图来表示如下:
| Broadcast-->|
|-->主控端(master) | Broadcast |
攻击者-->|-->主控端(master)->| Broadcast |-->被攻击者
|-->主控端(master) | Broadcast |
| Broadcast-->|
上面图例是典型的分布式拒绝服务攻击的系统流程。攻击者控制着几台机器做为master,这些
master主机分别控制着大量的接点主机即Broadcast(分布端攻击守护进程),这些大量的被控主机
将是对被攻击者进行攻击的机器。所有的机器目标汇集在一起向一个目标发起进攻。这种攻击方式
可以让攻击者很容易的就隐藏起自己的真实身份,也可以同样的隐藏了那些master主机。这一点从
图中不难看出的。最重要的是让人能明白所谓Ddos分布式攻击并不是一台机跟一台机之间的较量!
而是群组机跟一台机的较量!以多打少。
这就说明了要想实施这样的攻击首先要做到的就是能控制到很多机器,再在这些部分机器上编
译出主控端(master),而攻击者控制住那些已经编译好切运行着主控端(master)的机器,而主
控端(master)之外攻击者还必须控制到大量的机器来做为发起最后攻击的Broadcast的机器。这
绝对是一种繁琐而又用心良苦的大工程。
我们从目前已经发生的一些Ddos的攻击事件上来看,此类攻击大都有一些共同点,那就是攻击
所攻击用的主控端(master)和Broadcast的驻留程序一般都可能安装在没有打过补丁或没有进行过
安全设置的主机上。而受攻击形式的影响,这些程序有的需要运用到raw sokets或者其他的特殊权
限,那么对攻击者来说拥有root权限就是必须要做到的,其他的一些驻留程序有可能仅需要普通用
户的权限就可以。在目前的Internet因为安全级别和意识不同,所以经常会出现一些机器会允许攻
击者使用普通用户的权限来做管理员权限的事情,像安装管理员级别的工具等等,这就使得网络安
全隐患进一步增大。
攻击者往往必须安装一定的基础程序在一些已被控制的机器上。除了需要能力和时间去控制那
些攻击所需要的主机之外还需要攻击者花需要大量的体力和精力在这些基础程序的编写、安装、控
制之上。攻击者通过对脚本程序的修改加快了这些基础下部组织的安装时间,使得攻击者可以随心
所遇的快速对攻击进行配置。而攻击控制器可以在任意的系统及普通的硬件上配置,这些程序所需
要的网络流量和驻留程序都是比较小。而攻击者做为攻击时在那些已经被他所控制的主机上建立一
个自己的帐户也是相当由于必要的。
在主控端(master)都已经做好之后,对主控端(master)所控制的下个接点的那些机器将开
始做工作--安装驻留程序Broadcast。当驻留程序Broadcast在那些已经被控制的机器上安装完毕调
试可以正常运行之后,这个时候Broadcast便会向master主机发来一个信号,用来说明它已经安装成
功。这个也是驻留程序安装过程中的一部分,因为它知道master主机的位置以及它所监听的端口。
主控端(master)主机可以完全控制到这些Broadcast,可以由攻击者自由的来定时间和目标,然后
指令被控主机在什么时间去攻击某个的主机。大多使用DDos做为攻击的攻击者往往为了更加完美的
隐藏自己,他们一般会把那些主控端(master)系统设置为自动清理状态,如log等等,通过这些
系统的配置恢复到攻击前的样子,这样就避免被追踪而发现自己。而有的攻击者则习惯于关闭或更
改master服务器,但这样在下次进行Ddos攻击的时候就得从0再来了。
掌握一定的入侵技巧是进行DDos攻击的基础。而大量的编写、编译和烦琐的安装那些驻留程序
却是一件很麻烦切很另人头痛的事情,也是检验攻击者的语言和系统技术掌握能力的时候。这也是
Ddos只能在一定范围内被攻击者所使用的最重要的原因之一。但是,TFN(TribeFloodNetwork)的
出现大大减低了Ddos攻击时的复杂程度。可TFN并不是一个完全的工具,随后的Trin00的出现则是
让Ddos工具化、简单化、傻瓜化了。也就是说只要你有一定的入侵技巧那么你就有可能成为一次Ddos的
实施者。不再像最初时那么烦琐了。
Trin00由三部分构成,三部分分别是客户端、主控端(master)、Broadcast(即分布端攻击
守护进程)。
客户端是telnet的程序,作用是向目标主制端(master)攻击发送命令。
主控端(master)主要是监听两个连接的端口27655和31355。其中27655就是用来接收由客户
端发来的命令,这个执行要求密码,如果缺省密码可能是\"betaalmostdone\",
主控端(master)启动的时候会显示一个提示符号\"?\",等待密码输入
之后(密码为g0rave)31355这个端口便开始等候分布端的UDP报文。
Broadcast(即分布端攻击守护进程),就是最后执行攻击的。这个端是安装在一台已经被你所
控制的机器上的,编译分布端之前首先得先植入主控端(master)的真实
有效的IP地址,它跟主控端(master)是利用UDP报文通信的,发送至主
控端(master)的31355端口,其中包含\"*HELLO*\"的字节数据,主控端把
目标机器的信息通过UDP27444端口发会开始发起攻击了。
用一个实际攻击来说明:
攻击者主机地址为1.1.1.1,要攻击的对象是80.80.80.80
首先利用了一个远程溢出的漏洞控制到两台Unix地址分别为2.2.2.2和3.3.3.3
而在这之前攻击者已经控制到了三十余台位于不同地域的机器,这些机器大都属于server之类,
但好象它们仅仅只是为了能连接上Internet,从没做任何安全方面的配置,它们的类型也很杂乱,
系统包括NT、Win9x和一些Linux以及Unix的某几个版本。
工作开始!首先在自己的机器1.1.1.1上安装上Trin00的客户端,然后再在2.2.2.2和3.3.3.3
上分别装上Trin00的主控端(master),工作做了四分之一。接着把Trin00的Broadcast根据要安
装的机器的系统的不同而分类,Windows的为一组,把他们的Broadcast进行修改好适合运行在windows的
环境之下,而Linux、Unix也同样如此步骤。最后再把主控端(master)的两台unix机器的真实地
址2.2.2.2和3.3.3.3根据自己的爱好植入到Broadcast的程序中去,再把端口设置好。好能让它返回
控制信息。接着上传安装一切完成。
攻击开始。运行自己机器上的Trin00客户端,然后telnet到2.2.2.2和3.3.3.3启动Trin00的主
控端(master),向27655端口发送一个集合命令。好用来帮那些安装上Broadcast的机器找到主
控端(master)。同时也可以帮主控端(master)找到那些Broadcast。
这时候由1.1.1.1向2.2.2.2和3.3.3.3发布了攻击80.80.80.80的命令同时设定了攻击时间
和攻击的方式(比如是发送哪个类型的数据包等等)一切都在悄悄的进行知道攻击成功到最后为止,
结束时当然是擦痕迹了。
这次攻击的流向显而易见为:
发起攻击的机器->主控端(master)-> Broadcast->目标机器
从Broadcast(即分布端攻击守护进程)向目标机器发出的都是UDP报文,每个包含4个空
字节,这些报文都是从一个端口发出的,但是针对的目标机器的端口则是不同的。目标机器对每个
报文都要回复一个ICMP Port Unreachable的信息,大量不同主机发来的这些UDP报文会把目标机器
变的慢慢的速度减低。一直到带宽成为0。
Ddos的攻击形式的出现,使网络攻击的单一化变得开始混乱了。从Ddos看出,对网络最大威胁的
将来自那些毫无安全意识和配置低级的用户!虽然他们不是真正的危害者,但他们所使用的机器却正在
成为攻击者的武器。没有安全意识的用户也就无形中成了攻击者的帮凶了……
____________________________________________________________________________________________
本文出自:寒路 [email protected]
www.ncod.net 转载请您保持文章的完整性,同时请注明来自NCOD。
发布人:闻君 来自:网络技术