[德国新闻] 德国热线从1号开始，遭受DDoS攻击

德国的牛

德国热线从1号开始，遭受DDoS攻击，网站被拖慢，带宽被堵塞。原因不明。& s! l& A  k" P* A1 L# T& }1 {

( a; Z! i9 U% zhttp://dolc.de/forum.php?mod=viewthread&tid=1426752
* g9 O' K3 b( B. K) c! k0 h9 D人在德国 社区人在德国 社区8 M' j- Y$ y$ V4 n5 w
DDOS攻击说明% Z# C1 ]6 j& `9 p+ p
1 E, \+ |' l0 t2 t9 j( C& I
http://www.cisco.com/en/US/tech/ ... 86a0080174a5b.shtml
+ E- P- Q  a# _& }1 p) M. x5.35.249.64https://docs.google.com/viewer?a ... U022cgiiXt0wCswUf6w

费雪儿

老大，我們這里會被攻擊嗎？不過我們的前妻好像是二級區域的論壇，問題不太大。

费雪儿

暈，寫錯字了，是前期。

费雪儿

我很想不通，怎麼人家就那麼喜歡攻擊那個熱線啊，每年都會有那麼幾天，這次又是大規模的，那個論壇一直事情不斷，騙錢的事情從水晶案到現在從來沒有停過，管理人員也不給力，以為隨便封個ID就以為可以解決問題了。5.35.249.64$ Z6 V/ Z& @* H  O
0 B; A; U. x5 W* |8 N
可能直覺的問題吧，常常能感覺有神馬地方不對，上次我發現有人在賣東西的地方，找所有的人賣家要帳號，定了東西，也找我要了，那個人給了我假的地址，當時我還問過你，司徒到底有沒有那條街？我用Google定位了一下，發現是商業街，根本沒有住家的，那個要帳號的人用短消息問我，不就Ta買我的幾樣東西，幹嘛我弄的那麼緊張神馬的，但我的直覺就是告訴我神馬地方不對，我就用短訊通知了熱線的管理員，MD結果他還要讓我找證據出來，我馬上發了一個貼提醒大家，小心帳號被盜用，結果還有人反對我，後來還有人故意歪曲給我潑髒水，弄得我的ID被封了，後來現在不是有一個賣家的帳號的確被盜用了！！！我朋友打電話告訴我，我心裡真的在冷笑，那個論壇還會有別的事情發生的，等著瞧吧。我一個朋友因為那個論壇的廣告，白白的被人騙了1000歐元！！！後來我氣得不行問她怎麼就那麼傻啊？她說她是點開熱線上的廣告去做的，我說那邊的廣告有很多都是騙人的！！！
% x  E1 t% c- r" J
! S# \4 q# f# _: C; n我後來去問管理員爲什麽封我的ID，他居然說不出個所以然來，解封了沒幾天又封了，封就封吧，無所謂了，現在受到這么大的攻擊，我真的不知道該說神馬，是活該呢還是同情？？？Live就是一個過河撤僑的極品，反正對他沒好感，我這個人從來不會掩飾我自己，怎麼想就怎麼說。

费雪儿

我們這裡也有問題，還是小心點。

费雪儿

Trinoo 這個是最複雜的攻擊程序，被攻擊的主機網絡性能不斷下降，最後到崩潰，誰用這麼複雜的攻擊程序啊？對熱線多大的仇恨？
. s3 F" o7 q1 l6 u' d
8 T& {& U% H" d5.35.249.64    Communication between clients, handlers and agents use these ports:9 p0 U0 t' D+ }& X: Z: J

/ b: c" b$ _2 M) B& Y. G2 F        1524 tcp
$ ~/ \2 ^( i* C8 F- u        27665 tcp" l. K9 f9 W3 [
        27444 udp
2 b9 X9 s2 p5 ?        31335 udp
3 H1 @, b" O  o4 H' A- s+ A人在德国 社区/ W7 I! T6 U" s5 v0 v& |: S
    Note: The ports listed above are the default ports for this tool. Use these ports for orientation and example only, because the port numbers can easily be changed.
  Q& ]% a, n4 e5.35.249.645 Y3 G2 w3 }4 Q6 U
    TFN
+ \% E2 i- C) F6 @2 J, M0 V' g/ y5.35.249.645.35.249.64$ W  }7 A! q7 ?& G% c
    Communication between clients, handlers and agents use ICMP ECHO and ICMP ECHO REPLY packets.
1 ]  U9 h6 V- }: [) I) D- N7 G5 \2 H
    Stacheldraht人在德国 社区3 }! F1 D; @$ @8 j0 J" i! ~4 U
0 P1 ]7 x6 R, V& s3 E
    Communication between clients, handlers and agents use these ports:
: ~4 p+ x& ]' _4 \8 l8 r5.35.249.649 v; p. V: x8 t3 q) K* ~) |
        16660 tcp
. s! R- J6 D* U% D1 i人在德国 社区        65000 tcp
& W2 [8 W  F. f/ G* t        ICMP ECHO
6 P, \* U# d- |" o/ e& L        ICMP ECHO REPLY

费雪儿

- p& T/ A0 t9 i3 o- ]! i
! R  Y6 w! c$ h6 X

DoS（Denial of Service）拒绝服务攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。这种攻击可能就是泼到你服务器上的一杯水，或者网线被拔下，或者网络的交通堵塞等等，最终的结果是正常用户不能使用他所需要的服务了，不论本地或者是远程。我们这里比较关心远程的，通过网络进行的DoS攻击。人在德国 社区# e$ B& E; ^3 H" ^2 ]
  5.35.249.64& o! _' f( n6 A( ^' }6 W: i
    网络应用的普及使我们的工作生活越来越离不开网络。CRM、ERP、办公自动化软件极大的提高了我们工作的效率；通过网络可以找到各种工作、学习资料；我们上网交电话费，查看银行帐户；我们上网交友娱乐。DoS攻击直接的后果可能就是你不能访问这些服务了，对某个DNS服务器或者路由器、防火墙的攻击甚至导致对整个网络的拒绝服务。下面，就来看看这种攻击方式如何远程达到DoS的目的。5.35.249.64& y+ U0 m& `% l% R* a% E
  
. B' s: u( G. U0 Z9 p& }    具体DoS攻击方法很多，但大多都可以分为以下几类：
' d9 G9 ?! \* Z) j  
3 Y; K7 N& c6 P5 X  c) l人在德国 社区  利用软件实现的缺陷* d! R# ~( h9 h2 [
  * U9 X1 t* i1 Q7 U; O9 z9 ~
    OOB攻击（常用工具winnuke），teardrop攻击（常用工具teardrop.c boink.c bonk.c），land攻击，IGMP碎片包攻击，jolt攻击，Cisco 2600路由器IOS version 12.0(10)远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP地址的话，使追查工作几乎是不可能。
& K  H" ]. \8 c$ \* _* f+ o$ ]! c人在德国 社区  0 X6 c5 {; z3 ?* c
    那么如何造成这些攻击的？通常是软件开发过程中对某种特定类型的报文、或请求没有处理，导致软件遇到这种类型的报文运行出现异常，导致软件崩溃甚至系统崩溃。下面结合几个具体实例解释一下这种攻击的成因。
: |4 j) z. p# j3 c# l1 F9 {  & M& |. Z' P( {8 o; M7 u2 }/ \/ x
    1997年5月7号有人发布了一个winnuke.c。首先建立一条到Win95/NT主机的TCP连接，然后发送TCP紧急数据，导致对端系统崩溃。139/TCP是Win95/NT系统最常见的侦听端口，所以winnuke.c使用了该端口。之所以称呼这种攻击为OOB攻击，因为MSG_OOB标志，实际应该是TCP紧急数据攻击。5.35.249.644 D' ~! i; \' C" J6 a- Q
  ( Q9 C3 }& O4 ~
    原始teardrop.c只构造了两种碎片包，每次同时发送这两种UDP碎片包。如果指定发送次数，将完全重复先前所发送出去的两种碎片包。它可以伪造源ip并跨越路由器进行远程攻击，影响的系统包括Linux/WinNT/Win95。使用的方法是：
" N* {; ~% `6 d    teardrop 源ip 目的ip [-s 源端口] [-d 目的端口] [-n 次数]' {0 E/ f& C# m
  
( W8 N2 s& ~$ M    比较新的一个DoS攻击是Windows的SMB实现中的DoS攻击，2002年8月发布，只要允许匿名连接的windows系统就可以进行远程攻击，强烈建议Windows用户打相应的补丁。它的方法就是先和目标系统建立一个连接，然后发送一个特定的请求，目标系统就会兰屏。发布的测试工具SMBdie.exe是图形界面工具，输入目标地址NETBIOS名称即可。5.35.249.648 ]  T' E2 J2 w- h: g  K2 e# F8 r
  ! U0 o2 e! [( m
    从上面的讨论可以看出，这种攻击行为威力很大，而且难于侦察。但真实情况下它的危害仅现于漏洞发布后的不长的时间段内，相关厂商会很快发布补丁修补这种漏洞。所以上面提到的几种较老的攻击在现实的环境中，通常是无效的。不过最新的攻击方法还是让我们不寒而栗，我们可以做的就是关注安全漏洞的发布，及时打上新的补丁。如果你想偷懒的话，购买专业安全服务公司的相关服务应该是个更好的选择。
) d' y$ K4 I2 |6 o6 w  
/ p, {4 g2 G. B4 M. W4 u' k# v* w    利用协议的漏洞
0 x6 C* o7 X9 N9 P; a/ g  7 ?9 i* e! u  k3 Y
    如果说上面那种漏洞危害的时间不是很长，那么这种攻击的生存能力却非常强。为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议，而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。5.35.249.64' V2 o$ A" E* Y6 A) K, c' J
  
) B# p* r2 ?# N  l+ j, ]5.35.249.64    最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。* i/ h: U, o! o3 O
  人在德国 社区" ?) I7 Q1 [& e7 z: a
    这个攻击是经典的以小搏大的攻击，自己使用少量资源占用对方大量资源。一台P4的Linux系统大约能发到30－40M的64字节的synflood报文，而一台普通的服务器20M的流量就基本没有任何响应了（包括鼠标、键盘）。而且synflood不仅可以远程进行，而且可以伪造源IP地址，给追查造成很大困难，要查找必须所有骨干网络运营商，一级一级路由器的向上查找。
8 p$ P; U/ y6 X+ z  
4 s& S9 @, ?* A    对于伪造源IP的synflood攻击，除非攻击者和被攻击的系统之间所有的路由器的管理者都配合查找，否则很难追查。当前一些防火墙产品声称有抗DoS的能力，但通常他们能力有限，包括国外的硬件防火墙大多100M防火墙的抗synflood的能力只有20－30Mbps(64字节syn包)，这里涉及到它们对小报文的转发能力，再大的流量甚至能把防火墙打死机。现在有些安全厂商认识到DoS攻击的危害，开始研发专用的抗拒绝服务产品，让我们拭目以待吧！
: r+ u! ~' |* i6 r+ U5.35.249.64  5.35.249.64; X) E! v% ?/ o) b7 x7 S
    由于TCP/IP协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。) p' R3 N1 h8 s- N: J
  ( W! S6 X0 ]- [- [9 E
    另一类攻击方式是使用大量符合协议的正常服务请求，由于每个请求耗费很大系统资源，导致正常服务请求不能成功。如HTTP协议是无状态协议，攻击者构造大量搜索请求，这些请求耗费大量服务器资源，导致DoS。这种方式攻击比较好处理，由于是正常请求，暴露了正常的源IP地址，禁止这些IP就可以了。( g7 ^. T! `7 n- W! i- `
  
. ]" A- Y7 v+ h9 y  进行资源比拼
8 n2 @% O; e) P" G5 u& g3 |/ d2 P8 w4 k. I) c  ~0 g
5.35.249.64. ]% q4 G, w) k$ z
    这种攻击方式属于无赖打法，凭借着手中的资源丰富，发送大量的垃圾数据侵占完你的资源，导致DoS。比如，ICMP flood，mstream flood，Connection flood。为了获得比目标系统更多资源，通常攻击者会发动DDoS（Distributed Dos 分布式拒绝服务）攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。前两类攻击是可以伪造IP地址的，追查也是非常困难，第3种攻击由于需要建立连接，可能会暴露攻击傀儡的IP地址，通过防火墙禁止这些IP就可以了。对于难于追查，禁止的攻击行为，只能期望专用的抗拒绝服务产品了。
$ y9 |3 m; Z& [$ F; ]6 c( K) e. G% a( R

/ q5 L  u8 ?/ _( ?5.35.249.64

费雪儿

感谢雪儿,我从这个帖子,学到了很多.改日拜见你,不空着手.2 g, [" H9 q/ F; ?6 a" b8 O
happylucky126 发表于 2012-1-12 22:43

! M3 g1 Q4 K& r, ~. c+ ]) @人在德国 社区2 K+ K; ^7 d( e" R
' _5 J. H9 Y6 M$ u# S
不客气，小企鹅，你自己要是弄网站也会懂的。

Sharolin

   想给个大拇指，知不道这个图标。

lucy2011

是啊，我都好几次不能登录了。