upside
 
   
  
 反病毒 反诈骗 反虐犬
|
分享:
▼
x0
|
DDOS阻断服务攻击
程式判断特征:
DDoS会持续送出大量封包,符合下面的判断规则。并且流量符合十分钟,外部主机:flow>100,内部主机:flow>100,即判断为ddos攻击。
判断原理:
判断规则一:目的地port:445,协定:TCP,封包数:2,封包大小:96;
判断规则二:目的地port:445,协定:TCP,封包数:1,封包大小:48;
判断规则三:协定:TCP,封包数:2 ,封包大小:96;
判断规则四:目的地port:1434,协定:UDP,封包数:1,封包大小:404。
什么是DDoS
Dos是一对一的网路攻击方式,攻击者藉由不当方式占用系统分享资源(CPU、网路、硬碟…),达到干扰正常系统运作的进行。不同于一般网路入侵,DoS 不一定需要取得系统使用的权力,即可达到目的。最常见的DoS方式即是透过所谓的讯息洪泛(Message Flood),向攻击对象送出大量且无意义的网路讯息,不管被攻击对象是否回应,都会因频宽的被占用,而导致不正常运作。
DDoS算是DoS的一种,只是攻击的模式并非一对一,而是以多对一的方式,同时对一个攻击目标发动攻击,而这些发动攻击的点,通常是已遭受入侵而不自知的电脑系统。由于这种攻击方式多数系以遥控方式,利用替死鬼行凶,因此不仅难以防范,追查更是不易。更遭的是,这些被用来发动攻击的程式不仅可在网站中取得,且设计上即使不是电脑高手也可轻易使用。这类被用来进行大规模DDoS攻击的程式已知的至少有有”Tribal Flood Net”、”Trinoo”及”tfn2k”三种,使用的协定包括UDP、ICMP ECHO到目前TCP与UDP并用,可以执行的平台则包括RedHAT Linux及Solaris,其中又以Solaris版本最为流行。其攻击模式不外乎下面步骤:
1. 利用作业系统、网路协定、应用程式设计上的漏洞或其他各种可能方式,入侵电脑系统。
2. 在这些被入侵的系统中安装攻击程式。
3. 经由主控端,遥控这些攻击程式,同时对选定目标发动攻击。
如下图所示,攻击者可以由Client端控制主控程式,再由主控程式驱动攻击程式,在同一时间攻击由攻击者选定的对象,而主控程式与攻击程式则都是在事先已被攻占的网站中执行。
经由以上对于DDoS运作方式简单的描述,读者应该可以看出,DDoS之所以难以预防原因,在于攻击使用的协定属一般合法之协定,且攻击发起源难以掌握,以致无法以Filter技术加以预防;同时由于发动攻击的电脑并非真正第一现场,
事后追查也会显得于事无补而无力感十足。
|
