[推荐]拒绝服务攻击详解之基础篇
热 荐 ★★★★★
拒绝服务攻击详解之基础篇
攻击者亲密接触:
很多人放任DDoS攻击发生并且在过后也不对攻击进行分析,如果你被攻击了,那么追踪攻击者以及分析他们的攻击目的是很有必要的,因为这些攻击者通常都是一些脚本小子,如果你对他们使用的工具有所了解的话,很容易沿着足迹追踪到他们,下面就是追踪攻击者的一些常用步骤。
1.看看DoS攻击是来自什么地方,你很可能注意到攻击是来自上千个IP地址,而且很多地址都是静态的,因为这些肉机都保持着ADSL连接。而这些肉鸡是不会伪造包头的IP地址的,所以你找到的IP地址是正确的,使用Whois查询几个你找到的IP,并且和他们的ISP取得联系,然后通过他们找到肉机的主人,或者是让ISP通知肉机的主人来联系你。
联系到肉机的主人后,你可以帮助他来找到安装在他机器上的DoS攻击傀儡终端,这个可以简单的通过告诉他安装一个反病毒软件来找出来,然后让肉机的主人把那个傀儡终端发给你。
2.你现在拥有这个终端了,一个曾经被利用来攻击你的服务器的终端,不过现在还不是找凶手的时候,你现在需要如下的工具来辅助你追凶。
一个包嗅探工具 (我推荐ethereal.com)
你得到的攻击傀儡终端
一台感染了这个终端的机器
Netstat或者类似的工具(可选)
IRC客户端
好的,现在你用你得到的傀儡终端感染你的机器,最好先断开网络。现在启动Ethereal,开始嗅探你计算机发出的包,如果你不知道如何使用Ethereal,这里有很多教程:
/Article/UploadFiles/200609/20060924101504717.jpg文件,然而这些文件可能象txt一样包含了IRC服务器的信息在里面,只要你用记事本(Notepad)打开这些文件就会发现一些有趣的信息在里面。
经常也许你都不需要嗅探软件就可以找到信息,你可以等待终端和IRC服务器建立联系后,使用一些类似Netstat(Windows自带)的程序去查看你的TCP/UDP连接,然后查看连接到IRC服务器的那一条就可以了,默认的IRC连接是建立在6667端口的。
3.现在你拥有傀儡服务端的信息了,恭喜,现在可以切断傀儡终端的连接,在你登录到IRC之前我建议你先在终端上找找还有什么有用的信息,如果没有,那么现在你就可以把它删除了。你可以使用反病毒程序清除它,如果你搞不定可以直接和一些反病毒公司取得联系:
Kaspersky(卡巴斯基):
http://www.kaspersky.com/contacts
Trend Micro(趋势科技):
http://subwiz.trendmicro.com/SubWiz/UndetectedMalware-for ... F527EDA4DDEAF07CC9154AFB956&proc=7
H+BEDV (AntiVir):
http://www.free-av.com/images/buttons/contact.htm
Panda Software(熊猫杀毒):
http://www.pandasoftware.com/about/contact/
当你把傀儡终端的样本送到反病毒公司后,那么你已经完成了大部分了,当你把病毒样本交给反病毒公司的同时,你应该非常礼貌的询问他们是否可以向你提供该病毒的详细信息,这样他们就很有可能回复你并且告诉你这个终端的一些信息,也许是关于IRC服务器或者更多。如果你之前自己什么信息也没找到,这个时候反病毒公司正好帮了大忙。
现在反病毒公司已经可以检测这个傀儡程序了,这样就会促使攻击者的肉机很快消失。因为很多肉机是装了杀毒软件,但是由于病毒数据库里没有这个资料,所以检测才失败的。所以,把傀儡终端的样本发送到反病毒公司是使脚本小子计划失效的最好方法。
Example: Agobot bot commands
现在如果你得到了反病毒公司的回复,他们很有可能告诉你这是某个病毒或者DoS傀儡终端的变种(经常这样),那么这个终端的使用方法将会和原版是通用的,所以现在你需要做的就是在google上搜索他的命令
例如:Agobot bot commands
你将会得到很多信息,找到有关这个终端的信息,现在就是你登录到IRC服务器的时候了,启动IRC客户端并且连接到DoS终端所用的网络,并且键入
/join #channel password
进入后你将看见在IRC里有很多同样的肉机终端连接着,显示的情况会比较类似如下的模式
Bot1
Bot2
……
现在,把你的名字修改成类似Bot1061的样子
进入后,你就一直在那挂着,若干时间之后这些傀儡的主人,也就是攻击你的人进来了,这臭小子绝对不会发觉你在角落窥视他。如果你想龌龊一把,那么你可以通过更新傀儡终端使用的IRC隧道来抢走他的肉机,当然你也可以发送一个卸载命令(极少数的攻击程序有这种命令)让他的肉们彻底解放。
他要是还老攻击你的服务器,只要你愿意,你可以将这丫的一举一动都记录下来并且用于日后恐吓他。
尾声:
在看完这篇文章后,您应该对什么是拒绝服务攻击、怎样对抗拒绝服务攻击以及怎样追踪凶手有了大概的了解了。
拒绝服务攻击一旦发生是很难阻止的,最好的方法其先决条件就是不要让恶意的攻击着掌握肉机,所以作为一个网络管理员,您应该确保您的网络里没有计算机被DoS蠕虫感染或者是没有机器被装傀儡终端成为攻击者的傀儡。
相关连接:
http://www.securitydocs.com/library/2652
http://www.astalavista.com/?section=dir&cmd=file&id=2164
http://www.securitydocs.com/library/2616
http://www.astalavista.com/?section=dir&cmd=file&id=1705
http://www.eviloctal.com/forum/read.php?tid=6499&page=1
免责条款:
阅读本文章代表您已经同意不使用文章中所述的信息做任何不法尝试,本文章仅提供教学使用,文章产生的任何后果作者和翻译者将不承担任何责任。
上一页 [1] [2] [3]
您现在的位置: