生活在常宁,爱上常宁论坛! 广告服务

 找回密码
 免费注册

手机号码,快捷登录

1624查看|6回复

面对“Trinoo攻击”,应该如何抵御

[] [复制链接]
发表于 2010-12-28 00:19:10 | 显示全部楼层 |阅读模式
<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><p><span style="font-size: small">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Trinoo使用&ldquo;Master&rdquo;程序对实际实施攻击的&ldquo;代理&rdquo;程序实现自动控制,让代理程序用UDP信息包冲击网络,从而对目标进行攻击。抵御策略如下:</span></p>
<div><span style="font-size: small">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span><span style="font-size: small">1.在Master程序与代理程序的所有通信中,Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流。</span></div>
<div><span style="font-size: small">&nbsp;</span></div>
<div><span style="font-size: small">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.Trinoo Master程序的监听端口是27655,攻击者一般借助Telnet通过TCP连接到Master程序所在计算机。入侵检测软件能够搜索到使用TCP并连接到端口27655的数据流。 </span></div>
<div><span style="font-size: small">&nbsp;</span></div>
<div><span style="font-size: small">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3.所有从Master程序到代理程序的通信都包含字符串&ldquo;l44&rdquo;,并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。</span></div>
<div><span style="font-size: small">&nbsp;</span></div>
<div><span style="font-size: small">  4.Master和代理之间通信受到口令的保护,但是口令不是以加密格式发送的,因此它可以被&ldquo;嗅探&rdquo;到并被检测出来。而一旦一个代理被准确地识别出来,Trinoo网络就可以按照如下步骤被拆除:<br />
</span></div>
<div><span style="font-size: small">  在代理Daemon上使用&ldquo;strings&rdquo;命令,将Master的IP地址暴露出来。与所有作为Trinoo Master的机器管理者联系,通知他们这一事件。在Master计算机上,识别含有代理IP地址列表的文件(默认名&ldquo;...&rdquo;),得到这些计算机的IP地址列表。向代理发送一个伪造&ldquo;Trinoo&rdquo;命令来禁止代理。</span></div>
<div><span style="font-size: small">&nbsp;</span></div>
<div><span style="font-size: small">  通过crontab 文件(在UNIX系统中)的一个条目,代理可以有规律地重新启动。因此,代理计算机需要被反复地关闭,直到代理系统的管理者修复了crontab文件为止。</span></div>
<div><span style="font-size: small">&nbsp;</span></div>
<div><span style="font-size: small">  最后检查Master程序的活动TCP连接,这能显示攻击者与Trinoo Master程序之间存在的实时连接。</span></div>
发表于 2011-2-10 12:29:57 | 显示全部楼层
初来乍到,请多多关照。。。  
头像被屏蔽
发表于 2011-2-18 06:37:26 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2011-2-23 06:44:28 | 显示全部楼层
我想要`~  
发表于 2011-3-28 06:51:23 | 显示全部楼层
顶也~  
头像被屏蔽
发表于 2011-5-7 06:44:42 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2011-5-14 06:39:23 | 显示全部楼层
我在努力中  
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

b6广告位招商
快速回复 返回顶部 返回列表