荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: bstone (无心伤害), 信区: Hacker
标 题: 分布式拒绝服务攻击异常现象监测
发信站: BBS 荔园晨风站 (Fri Mar 17 21:05:04 2000), 站内信件
发信人: triton (半颗勇敢的心), 信区: Security
标 题: 分布式拒绝服务攻击异常现象监测
发信站: 武汉白云黄鹤站 (Wed Mar 15 10:16:22 2000), 站内信件
作者:backend
许多人或工具在监测分布式拒绝服务攻击时常犯的错误是只搜索
那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等。要建立网
络入侵监测系统(NIDS)对这些工具的监测规则,人们必须着重观察
分析DDoS网络通讯的普遍特征,不管是明显的,还是模糊的。
DDoS工具产生的网络通讯信息有两种:控制信息通讯(在DDoS客
户端与服务器端之间)和攻击时的网络通讯(在DDoS服务器端与目标
主机之间)。
根据以下异常现象在网络入侵监测系统建立相应规则,能够较准
确地监测出DDoS攻击。
异常现象0:虽然这不是真正的"DDoS"通讯,但却能够用来确定DDoS
攻击的来源。
根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名。BIND
域 名服务器能够记录这些请求。由于每台攻击服务器在进
行一个攻击前 会发出PTR反向查询请求,也就是说在DDoS攻
击前域名服务器会接收 到大量的反向解析目标IP主机名的PTR
查询请求。
异常现象1:当DDoS攻击一个站点时,会出现明显超出该网络正
常工作时的极限通 讯流量的现象。现在的技术能够分别对
常工作时的极限通 讯流量的现象。现在的技术能够分别对
不同的源地址计算出对应的极 限值。当明显超出此极限值
时就表明存在DDoS攻击的通讯。因此可以 在主干路由器端
建立ACL访问控制规则以监测和过滤这些通讯。
异常现象2:特大型的ICP和UDP数据包。正常的UDP会话一般都使
用小的UDP包,通 常有效数据内容不超过10字节。正常的ICMP
消息也不会超过64到128 字节。那些大小明显大得多的数
据包很有可能就是控制信息通讯用的 ,主要含有加密后的
目标地址和一些命令选项。一旦捕获到(没有经 过伪造的)
控制信息通讯,DDoS服务器的位置就无所遁形了,因为控
制信息通讯数据包的目标地址是没有伪造的。
异常现象3:不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS
工具随机使用 多种通讯协议(包括基于连接的协议)通过
基于无连接通道发送数据 。优秀的防火墙和路由规则能够
发现这些数据包。另外,那些连接到 高于1024而且不属于
常用网络服务的目标端口的数据包也是非常值得 怀疑的。
异常现象4:数据段内容只包含文字和数字字符(例如,没有空
格、标点和控制字 符)的数据包。这往往是数据经过BASE64
编码后而只会含有base64字 符集字符的特征。TFN2K发送
的控制信息数据包就是这种类型的数据 包。TFN2K(及其
变种)的特征模式是在数据段中有一串A字符(AAA ……),
这是经过调整数据段大小和加密算法后的结果。如果没有使
用BASE64编码,对于使用了加密算法数据包,这个连续的字符就
工具随机使用 多种通讯协议(包括基于连接的协议)通过
是“ \0”。
异常现象5:数据段内容只包含二进制和high-bit字符的数据包
。虽然此时可能在 传输二进制文件,但如果这些数据包不
属于正常有效的通讯时,可以 怀疑正在传输的是没有被BASE64
编码但经过加密的控制信息通讯数据 包。(如果实施这种
规则,必须将20、21、80等端口上的传输排除在 外。)
--
"每一个生命都需要倾诉"
※ 来源:.武汉白云黄鹤站 bbs.whnet.edu.cn.[FROM: 202.114.10.202]
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@192.168.28.23]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店