[其他] DDoS

看板HOT_Game (熱門遊戲)作者hollejacklin (私は不器用です)時間17年前 (2007/06/21 09:00)推噓6(6推 0噓 1→)

留言7則, 6人參與討論串1/1

DDOS阻斷服務攻擊程式判斷特徵： DDoS會持續送出大量封包，符合下面的判斷規則。並且流量符合十分鐘，外部主機:flow>100，內部主機:flow>100，即判斷為ddos攻擊。判斷原理：判斷規則一：目的地port：445，協定：TCP，封包數：2，封包大小：96；判斷規則二：目的地port：445，協定：TCP，封包數：1，封包大小：48；判斷規則三：協定：TCP，封包數：2 ，封包大小：96；判斷規則四：目的地port：1434，協定：UDP，封包數：1，封包大小：404。什麼是DDoS Dos是一對一的網路攻擊方式，攻擊者藉由不當方式佔用系統分享資源(CPU、網路、硬碟…)，達到干擾正常系統運作的進行。不同於一般網路入侵，DoS 不一定需要取得系統使用的權力，即可達到目的。最常見的DoS方式即是透過所謂的訊息洪泛(Message Flood)，向攻擊對象送出大量且無意義的網路訊息，不管被攻擊對象是否回應，都會因頻寬的被佔用，而導致不正常運作。 DDoS算是DoS的一種，只是攻擊的模式並非一對一，而是以多對一的方式，同時對一個攻擊目標發動攻擊，而這些發動攻擊的點，通常是已遭受入侵而不自知的電腦系統。由於這種攻擊方式多數係以遙控方式，利用替死鬼行兇，因此不僅難以防範，追查更是不易。更遭的是，這些被用來發動攻擊的程式不僅可在網站中取得，且設計上即使不是電腦高手也可輕易使用。這類被用來進行大規模DDoS攻擊的程式已知的至少有有”Tribal Flood Net”、”Trinoo”及”tfn2k”三種，使用的協定包括UDP、ICMP ECHO到目前TCP與UDP並用，可以執行的平台則包括RedHAT Linux及Solaris，其中又以Solaris版本最為流行。其攻擊模式不外乎下面步驟： 1. 利用作業系統、網路協定、應用程式設計上的漏洞或其他各種可能方式，入侵電腦系統。 2. 在這些被入侵的系統中安裝攻擊程式。 3. 經由主控端，遙控這些攻擊程式，同時對選定目標發動攻擊。如下圖所示，攻擊者可以由Client端控制主控程式，再由主控程式驅動攻擊程式，在同一時間攻擊由攻擊者選定的對象，而主控程式與攻擊程式則都是在事先已被攻佔的網站中執行。經由以上對於DDoS運作方式簡單的描述，讀者應該可以看出，DDoS之所以難以預防原因，在於攻擊使用的協定屬一般合法之協定，且攻擊發起源難以掌握，以致無法以Filter技術加以預防；同時由於發動攻擊的電腦並非真正第一現場，事後追查也會顯得於事無補而無力感十足。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.244.25