面对“Trinoo攻击”，应该如何抵御

admin · 发表于 2010-12-28 00:19:10

<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><p><span style="font-size: small">        Trinoo使用“Master”程序对实际实施攻击的“代理”程序实现自动控制，让代理程序用UDP信息包冲击网络，从而对目标进行攻击。抵御策略如下:</span></p>
<div><span style="font-size: small">        </span><span style="font-size: small">1.在Master程序与代理程序的所有通信中，Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流。</span></div>
<div><span style="font-size: small"> </span></div>
<div><span style="font-size: small">        2.Trinoo Master程序的监听端口是27655，攻击者一般借助Telnet通过TCP连接到Master程序所在计算机。入侵检测软件能够搜索到使用TCP并连接到端口27655的数据流。 </span></div>
<div><span style="font-size: small"> </span></div>
<div><span style="font-size: small">        3.所有从Master程序到代理程序的通信都包含字符串“l44”，并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。</span></div>
<div><span style="font-size: small"> </span></div>
<div><span style="font-size: small">　　4.Master和代理之间通信受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。而一旦一个代理被准确地识别出来，Trinoo网络就可以按照如下步骤被拆除:<br />
</span></div>
<div><span style="font-size: small">　　在代理Daemon上使用“strings”命令，将Master的IP地址暴露出来。与所有作为Trinoo Master的机器管理者联系，通知他们这一事件。在Master计算机上，识别含有代理IP地址列表的文件(默认名“...”)，得到这些计算机的IP地址列表。向代理发送一个伪造“Trinoo”命令来禁止代理。</span></div>
<div><span style="font-size: small"> </span></div>
<div><span style="font-size: small">　　通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动。因此，代理计算机需要被反复地关闭，直到代理系统的管理者修复了crontab文件为止。</span></div>
<div><span style="font-size: small"> </span></div>
<div><span style="font-size: small">　　最后检查Master程序的活动TCP连接，这能显示攻击者与Trinoo Master程序之间存在的实时连接。</span></div>

缘分 · 发表于 2011-2-10 12:29:57

初来乍到，请多多关照。。。

j83f74f8s · 发表于 2011-2-18 06:37:26

提示: 作者被禁止或删除内容自动屏蔽

容入凡天 · 发表于 2011-2-23 06:44:28

我想要`~

qidu2000 · 发表于 2011-3-28 06:51:23

顶也～

赵坦 · 发表于 2011-5-7 06:44:42

提示: 作者被禁止或删除内容自动屏蔽

枥中人 · 发表于 2011-5-14 06:39:23

我在努力中

帐号		自动登录	找回密码
密码			免费注册

j83f74f8s j83f74f8s 当前离线 UID 1393 主题禁止发言ＣＮ币币威望值报料奖元贡献值回复帖日志好友帖子主题听众收听性别保密 IP卡狗仔卡头像被屏蔽	发表于 2011-2-18 06:37:26 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
	【招募版主】常宁论坛版主招募中！快点击加入我们吧！发杨传统...看贴回贴是美德！
	回复支持反对使用道具举报显身卡

赵坦赵坦当前离线 UID 1277 主题禁止发言ＣＮ币币威望值报料奖元贡献值回复帖日志好友帖子主题听众收听性别保密 IP卡狗仔卡头像被屏蔽	发表于 2011-5-7 06:44:42 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复支持反对使用道具举报显身卡