荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: jjksam (My Frozen heart), 信区: Security
标 题: [转载] 系统攻击(转寄)
发信站: 荔园晨风BBS站 (Fri Nov 16 10:59:55 2001), 转信
【 以下文字转载自 jjksam 的信箱 】
【 原文由 jjksam@smth.org 所发表 】
发信人: Derron (雷神不动北山樱), 信区: Security
标 题: 系统攻击
发信站: BBS 水木清华站 (Thu Nov 15 18:00:34 2001)
インターネットによるウイルス感染に代表されるように、近年、ネットワーク全体が
クラッカーの攻撃の対象となっています。彼らが加える攻撃の種類とその対策を以下
に述べます。
ウイルスによる攻撃
DOS攻撃
電子メール爆弾
パスワード攻撃
裏口攻撃
バックドア攻撃
スニッフィング
DDOS(分散DOS)攻撃
----------------------------------------------------------------------------
----
1.ウイルスによる攻撃
送り主不明のメールが届き、あまり深く考えずにその添付ファイルを開いた瞬間に、
ウイルスに感染してしまうケースが最近、目立ちます。最近報告された主要なウイル
ス、一般的なウイルス感染防止策と感染後の対応について、述べます。
(1) Love Letter
2000年5月4日に発見された恋文ウイルスLove Letter(または、"I love you","Love B
ug")は、メリッサを強力にしたウイルスと言えます。VBScriptを利用したウイルスと
しても特徴的です。以下にCERTのページから内容を抜粋して翻訳します。
(a)電子メール
このワームが実行されると、Microsoft Outlookを使用して、アドレス帳の全ての宛先
にコピーを送信します。(メリッサでは最大50件)このメールの特徴は次のとおり
です。添付ファイル名は、"LOVE-LETTER-FOR-YOU.TXT.VBS" 、題名は、"ILOVEYOU"、
本文は、"kindly check the attached LOVELETTER coming from me."です。
(b)IRC:インターネットリレーチャット
このワームが実行されると、script.iniというファイルが作られ、メールの受信者が
接続しているIRCチャネルの他の全ての人々にDCCで、このメールのコピーが送信され
ます。
(c)ファイルの書き換え
このワームが実行されると、次のようなファイルの書き換えが行われます。
vbsまたはvbeという拡張子を持ったファイルを、ワームのファイルに書き換えます。
js, jse, css, wsh, sct, htaという拡張子を持ったファイルを、ワームのファイルに
書き換えた後、vbsに拡張子を変えます。
jpg,jpegという拡張子を持ったファイルを、ワームのファイルに書き換えた後、拡張
子に最後に.vbsを加えます。
mp3,mp2という拡張子を持ったファイルを、ワームのファイルに書き換えます。拡張子
は変更しませんが、属性を隠しファイルに変更します。
これらの書き換えによって、元のファイルが破壊されます。また、これらのファイル
が実行されると、再びワームが実行されます。共有フォルダに、これらのファイルが
存在する場合、ネットワーク内の他のPCで実行され感染する危険性があります。
(d)IEスタートページの書き換え
このワームは、さらに、受信者のPCに裏口の設置を行います。実行されると、Inte
rnet ExplorerのスタートページのURLを、インターネット上のWIN-BUGSFIX.exeと
いうファイルを参照するように書き換えます。ワームは、このファイルを常にチェッ
クして、ダウンロードされたことを確認すると、リブート時に、このexeファイルが実
行されるように環境ファイルを書き換えます。WIN-BUGSFIX.exeの処理の詳細は不明で
すが、不正な処理が行われるものと思います。
(e)レジストリキーの書き換え
このワームは、また、次のレジストリキーを書き換えます。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
HKCU\Software\Microsoft\Windows Scripting Host\Settings\Timeout
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\WAB\*
このワームによって、大量のメールが送信されたときに、レジストリサイズの増加に
よって悪影響が生じることが考えられます。
(2) Laroux
1996年に発見されたLarouxは、Excelのマクロウイルスです。Excelの起動時に、使用
したExcelの文書ファイルにマクロを追加し、感染していきます。大きな被害は、引き
起こしませんが、マシンへのリソースを消費し、印刷時に不具合が生じる場合があり
ます。
最近、発見されるウイルスがインターネットを利用した高度な技術を使用しているの
に比べて、Larouxの技術は、非常にシンプルです。しかし、初期のマクロウイルスで
あり、ワクチンソフトの普及が進む以前に、かなりの数のマシンが既に感染してしま
ったため、現在でも感染の届出はトップクラスのウイルスです。
(3) Thursday(W97M/Thurs.A)
1999年8月に発見されたこのウイルスは、12月13日に発病するMS-Wordに感染するマク
ロウイルスです。12月13日に感染文書を実行すると、Cドライブの全てのデータを消去
してしまいます。
このウイルスの特徴は、金融機関を特定して攻撃し、特に日本の金融機関を攻撃した
後に、世界に広がっていったことです。感染対象が金融機関であり、12月13日に
なるまで発病被害が出ていないため、潜在的なリスクはかなり高いものと考えられて
います。
(4) チェルノブイリ(W32/CIH)
このウイルスはWindows95、98が動作しているPCに感染し、.exe拡張子のついたPEファ
イル(Windows用32Bit実行ファイル)に上書き感染するタイプのウイルスです。
発病すると、ハードディスクを無意味なデータで上書きし、インテル430TX系のチップ
セットの場合は、BIOS ROMブートブロックを上書きして、システムを完全に破壊する
という、甚大な被害を引き起こします。
(5) メリッサ(W97M/Melissa)
1999年3月に米国で発見されたメリッサ(W97M.Mailissa)は、Word 97感染型の単純なマ
クロウイルスです。
「W97M.Mailissa」は感染後、ユーザが使用するMicrosoft Outlookのアドレス帳から
、送信先50件を拾い出し、複数のユーザへ同報送信し拡大させていきます。電子メー
ルの件名に,"Important Message Fromユーザ名"(○○からの重要なメッセージ)と
挿入、本文には "Here is that document you asked for ... don't show anyone el
se "(ご依頼の書類です。…他人には見せないでください)と記述し、感染ファイル
を添付して送信してしまいます。このウイルスはメールソフト、「アウトルック」と
「アウトルック?エクスプレス」を狙ったもので、広い範囲に障害が生ずるおそれがあ
ります。
(6) ハッピー99(W32/Ska)
1999年2月に日本で発見されたハッピー99(W32/SkaまたはHappy99)とも言われ、ト
ロイの木馬の一種です。このウイルスは、通常、電子メールや ニュースグループ上の
添付ファイルとして拡がっていきます。
電子メールの場合、他の自分宛のメールと同じタイミングで Happy99.exe というファ
イルだけ が添付されたメールが届きます。送り主は大抵の場合、直前にメールを送っ
てきた人物と同一です。
Windows95/98のユーザが、このファイルを実行すると、「Happy New Year 1999」とい
うタイトルの花火の画像が表示されます。
W32/SkaはSKA.EXEとSKA.DLLという名前の ファイルをWindowsのsystemフォルダに作成
し、Windows が元から備えているWSOCK32.DLLファイルを WSOCK32.SKAという名前でバ
ックアップした後、このWSOCK32.DLLの一部を書き換えます。
WSOCK32.DLLが書き換えられたコンピュータでインターネット接続し、電子メール(ま
たはニュース) を送ると、W32/Skaは、そのメッセージと同じ宛て先、同じ件名のメ
ールをコピーして、Happy99.exeを添付して送信します。
添付メールが送信されると、WindowsのsystemフォルダにLISTE.SKAという名前のファ
イルが作成され、 送り先が記録されます。
W32/Skaはこのファイルを確認してメールを送信するため、同一人物に2回以上 Happ
y99.exeが添付されたメールが送信されることはありません。
(7) W32/ExploreZip
1999年3月に米国で発見されたExploreZipはMicrosoft Outlookを利用する電子メール
ワームで、自分自身を Outlookを使用して送付します。 Outlookが起動している際に
このワームを実行すると、受信ボックスにあるメールの 送信者に対し、以下のテキス
トと共に自分のコピーを送信します。
Hi "Name Of Recipient" I have received your email and I shall send you a rep
ly ASAP. Till then take a look at the attached zipped docs. bye.
(Hi, “受信者の名前” あなたから電子メールが届き、早急に返事を書かなければと
思っています。 お返事できるまで、以下に添付します、ZIP圧縮ドキュメントを見て
て下さい。 さようなら。)
ZIPPED_FILES.EXEと名前の付いたファイルが添付され、その中にこのワームが含ま れ
ています。
受信者が、この添付ファイルをダブルクリックして実行した場合、そのコンピュータ
上で活動を開始します。偽装する為に、以下のメッセージを表示します。
Cannot open file: it does not appear to be a valid archive. If this file is
part of a ZIP format backup set, insert the last disk of the backup set and
try again. Please press F1 for help.
(ファイルを開けません: 有効な圧縮ファイルではありません。ZIPフォーマット
によるバックアップセッ トの一部である場合には、バックアップセットの最後のディ
スクを挿入し、再試行 して下さい。F1でヘルプを表示します。)
その後、システムディレクトリ内に自分自身のコピーを作成し、そのコピーに EXPLO
RE.EXEと名前を変えます。Windows起動時に毎回この感染ファイルが実行され るよう
に、WIN.INIに変更を加えます。 またその他の副作用として、アクセス可能なドライ
ブ上に保存されている 、ASM、CPP、DOC、XLS、PPTの拡張子を持つファイルのサイズ
を0にします。
(8) ウイルス対策の基本
基本的なインターネットからのウイルス感染防止策として、常に次の点に心がけてお
くことが重要です。
リモートサイトからプログラムファイルをダウンロードした場合は、実行する前にウ
イルス対策ソフトによりウイルスチェックを行う。
WordやExcelなどの文書ファイルをダウンロードした場合も、いきなり開かない。(最
近は、文書ファイルでもマクロウイルスに感染している場合が多い。)
もし、コンピュータの実行速度が遅くなったり、見慣れないメッセージがディスプレ
イに現れたり、頻繁に誤動作が生じるなどの現象が現れた場合、ウイルスに感染した
恐れがあります。感染後の対応としては、次の手順が一般的です。
ウイルス対策ソフトの駆除機能により、感染したプログラムを復旧する。
安全のために、プログラムを再インストールする。
バックアップメディアに対しても、駆除を行う。
感染中にファイルをコピーした他のマシンに対しても、駆除を行う。
(9) ウイルス対策ソフトの機能
<基本機能>
ウイルスの検出と特定???パターンマッチングなどによりウイルスを検出する。
ウイルスの駆除???感染したプログラムの削除
ウイルス感染の監視と防止???常時監視機能
<高度機能>
ウイルスの行動予測???マクロのロジックを分析して行動予測によりウイルスを検出す
る。
未知ウイルスの検出???プログラムパターンから判断できない未知ウイルスでも、実際
の動作を見てウイルスを検出する。
インターネット対応???ダウンロード時に自動的にファイルをチェックする。圧縮ファ
イルでもチェック可能。
(10) ウイルス対策のポイント
ウイルス対策ソフトを導入することは、ウイルス対策の必要条件ですが、十分条件で
はありません。より安全性を高めるために、以下のポイントを押さえておくべきでし
ょう。
ウイルス対策ソフトは、最新のものを取得して、パターンファイルも最新のものを利
用する。
ウイルス対策ソフト自体もファイルである以上、感染の可能性があります。トライア
ル版でも良いので別のウイルス対策ソフトでクロスチェックをかけるべきです。
感染した後の緊急事態を想定して、ウイルスチェック済みで、書き込み保護をした起
動用フロッピーディスクを保管しておく。
ウイルス関するデマが多いので、ウイルス対策ソフトのベンダーやIPA,JPCERTなどの
信頼できるサイトの情報を常に参照する。
戻る
2.DOS攻撃
TCP/IPプロトコルの盲点を突いて、システムをダウンさせたり、サービスを利用不能
にするクラッカーがいます。このような攻撃を、DOS(Denial of Service)と言い、個
別の対応が必要となります。
(1) SYNアタック
<攻撃方法>
代表的なDOSであるSYNアタックは、TCP/IPプロトコルの接続要求であるSYN要求を、サ
ーバーに対して洪水のように出し続けます。サーバーは、要求に応えるために、ACK/
SYNをクライアントに送り、クライアントからのACKを待ちますが、クライアントから
は、次々とSYN要求だけが送られてくるため、TCPのコネクションが一杯になって、正
常なクライアントからの要求を受け付けられなくなってしまいます。このような、SY
Nアタックに対する対策は、以下の通りです。
<対策>
クライアントからのACK待ち時間を短くする。???ただし、遠隔地からの正常な接続要
求が拒絶される恐れがある。
ハーフオープンのコネクションの上限数を増やす。???ただし、資源の無駄が増える恐
れがある。
3ウェイハンドシェイクが成立したコネクションだけサーバーに接続する。???ただし
、専用のファイアウォールが必要。
(2) Ping of Deathアタック
<攻撃方法>
TCP/IPのノード調査に使用されるpingコマンドでサイズの大きなICMPパケット(IP制
御用プロトコル)を送って、相手のシステムをダウンさせる攻撃をPing of Death ア
タックといいます。本来は、ICPMの限界サイズまでのパケットを受信できなければい
けないのですが、システムの実装における問題が原因で発生します。
<対策>
システム管理者が、対象のシステムの受信バッファ長を適正な値に変更することによ
り、防止できます。
(3) IPスプーフィング
<攻撃方法>
擬似パケット攻撃とも言い、攻撃者が、通常、信頼できるネットワーク上のどこかに
存在する本物のIPアドレスを取得し、そのアドレスを使って、ネットワークの防御を
破る攻撃方法です。すなわち、ゲートウェイホストが外部のネットワークから来たパ
ケットを内部ネットワークのものと誤認して通過させてしまい内部ネットワークが危
険にさらされます。
<対策>
パケットフィルタリング型のファイアウォ-ルのソフトを入れて、次のルール設定を
行います。
発信元が内部ネットのIPアドレスであるパケットは、外部ネットワークとのゲート
でシャットアウトする。
発信元がゲ-トウェイのIPアドレスであるパケットは、外部ネットワークとのゲー
ト でシャットアウトする。
(4) DNSスプーフィング
<攻撃方法>
もう1つのスプーフィングとして、DNSスプーフィングがあります。攻撃者は、ネット
ワークのネーム?サーバーであるDNSへのアクセスを取得します。次に、攻撃者は、標
的のシステム内の許可されたホストの名前で嘘のエントリを書き込んで、自分のシス
テムのアドレスを設定します。こうすることによって、攻撃者は、rloginを使って、
標的のシステムにアクセスすることができます。
<対策>
DNS にはなるべく内部ホストの情報を載せないようにする。
コマンド実行の制限を行い、外部からftpやtelnetが起動できないようにする。
(5) ソ-スル-ティング攻撃
<攻撃方法>
経路情報がなくても指定したル-タを通過するように、IPパケットのル-ズソ-ス
ル-トオプション情報を利用する方法です。LSRR( Louse Source and Recode Route
) 攻撃ともいいます。本来は、保守目的でパケットが通過すべき経路を変更するため
のオプションですが、IPスプーフィングと連動して悪用すると、相手の内部ネットワ
ークのアドレスを詐称して、さらに、その応答を受け取ることまでできます。
<対策>
多くのファイアウォール製品や一部のルータの機能として、ソースルーティング付き
のパケットを検出して拒否するような機能が組み込まれているので、これを、利用し
ます。
(6) シーケンス攻撃
<攻撃方法>
TCP/UDP ポ-トでアクセス可能な部分をしらみ潰しに調べる方法です。例えば、ポー
ト番号をカウントアップしながら、セキュリティの穴が空いている部分を探します。
TCP の 23 番ポ-トが空いていれば、telnetで接続できます。また、このようなポー
トスキャンを行うフリーソフトがインターネット上で不正に流通しています。
<対策>
tcpdumpなどのコマンドでポートの開閉を監視し、ポート番号が連続して開かれている
かどうかで、シーケンス攻撃の有無を推定できる場合があります。しかし、高度なポ
ートスキャンソフトの場合、開くポート番号をランダムに選択するために、上記の方
法では、検出できません。
(7) LAND攻撃
<攻撃方法>
TCP/IP の実装の問題で、送出元と送出先が同じIPアドレスとポート番号のパケット
が送られると、ホストをクラッシュないし「ハング」できる場合があります。クラッ
カーは、スプーフィングを利用して擬装パケットを作成して、ホストに送り込んでこ
の攻撃を行ないます。
<対策>
現在の IP プロトコル技術では,偽装 IP パケットを選別して除去することは不可能
であす。しかし,内部ネットワークとは異なる始点アドレスを持ち,ネットワーク外
に出ていこうとする偽装パケットを,ルータなどのフィルタで排除することにより,
この危険を低減させることができます。
(8) TearDrop攻撃
<攻撃方法>
TCP/IP の実装の問題で、IP フラグメンテーションを再構成するときに, IP フラグ
メントの重複をうまく扱うことができない。Teardrop は,この弱点を攻撃するプログ
ラムで,広く配付されています。
<対策>
必要に応じて、OSのベンダーから各攻撃プログラムに対して個別のパッチを取得し
て、あてます。
(9) Smurf攻撃
<攻撃方法>
Smurf のクラッカーは,標的となる被害者と,中継用の第三者のネットワーク を選び
ます。クラッカーは,第三者のサブネットの IPブロードキャストアドレスへ向けて,
応答要求のための制御用通信 (ICMP echo request) を送り出します。 しかし,サブ
ネットのIPブロードキャスト(同報)アドレスへ送ることにより,そこのコンピュータ
が一斉に返答 (ICMP echo reply) を送信します。クラッカーは,被害者が応答要求を
発信したように偽装し,また,大きなサイズの返答を発生するように仕組むので,被
害者へ向けて大きな通信量の返答が送り付けられます。 もしも,特定の被害者に対す
る smurf を多数のサブネットに仕掛けた場合,返答が被害者のところに集中し,負荷
が高まって,そのネットワークやコンピュータはサービス不能(応答遅れやダウン) に
陥ります。
<対策>
smurf 攻撃の中継を防止するためには,外部からサブネットのIP ブロードキャストア
ドレスへの通信が入るのを排除することと, IPブロードキャストアドレスへの制御用
通信(ICMP)を無視することの,二通りの対策があります。
パケットフィルタの設定で, サブネットのIPブロードキャストアドレスへ宛てたパケ
ット(directed broadcast) を外部から内部へ通さないようにする。
サブネット内にあるワークステーションなどにおいて,IP ブロードキャストアドレス
へ送られた制御用通信(ICMPメッセージ)には 反応しないように,OSに手を入れる。
戻る
3.電子メール爆弾
ウイルス以外にも、次のような電子メールを使用した攻撃があります。
(1) 電子メ-ル爆弾攻撃
<攻撃方法>
画像ファイルなどの大きなサイズのファイルを添付したメールを繰り返し送り付けて
、ディスクをパンクさせる攻撃です。SPAMとも呼ばれていますが、特に以下に述べる
第三者中継のメール転送を特にSPAMという場合があります。
<対策>
一般的に、ファイアウォールの機能で、ジャンクメールをフィルタリングすることが
可能です。すなわち、電子メールの宛先、差出人、添付ファイルサイズを指定して、
該当する電子メールをフィルタリングします。
<第三者中継>
ファイアウォールの設定で、特定のサーバーからのメールを拒否した場合でも、クラ
ッカーは、標的のメールサーバーとは無関係のサーバーを中継することにより、擬装
したメールを大量送付する場合があります。これを、第三者中継といって、いつのま
にか、クラッカーの協力者になったり、標的のサーバーからメールの受信を拒否され
たりする恐れがあります。
<第三者中継の対策>
sendmailの設定などで、第三者中継を防ぐ対策が可能です。
(2) MIME電子メ-ル攻撃
<攻撃方法>
MIMEは、Internetメールに様々なデータを入れるための仕様です。MIMEのヘッダー部
の記述により、ディスクの削除コマンドなどが埋め込まれたPostScriptファイルを送
り込み、その内容を見たとたんにコマンドを実行するのがこのMIME電子メ-ル攻撃で
す。
<対策>
ファイアウォールの機能で、電子メールのMIMEタイプを指定して、該当する電子メー
ルをフィルタリングします。
戻る
4.パスワード攻撃
<攻撃方法>
システムに侵入してパスワードファイルを取得したクラッカーは、パスワード解析ソ
フトを使用して暗号化されたパスワードを突き止めてしまうことができます。Crackな
どのパスワード解析ソフトは、フリーソフトとして流通しており、様々な辞書を使い
ながら、高い精度(約25%)で解析を行います。
<対策>
英語や日本語の辞書に載っているような意味のある言葉をパスワードに使用しないよ
うにします。
戻る
5.裏口攻撃
<攻撃方法>
ファイアウォールなどで守られたゲートウェイ(正面口)に対して、ダイアルアップ
でIP接続するホストを裏口と呼び、ここに不正侵入の口を作るのが、裏口攻撃です
。クラッカーは、システムに潜入すると、正面口に比べてセキュリティ面で脆弱な場
合が多い裏口に、自分用のアクセスポイントを設置する場合が多いです。
<対策>
ダイアルアップ用のホストに対して、不正なアクセスがないか監視します。
戻る
6.バックドア攻撃
<攻撃方法>
バックドアとは、システムの開発ベンダーが、デバッグや緊急対応のために、ユーザ
ーに秘密に潜入させた次のような機能です。
OSなどの隠しコマンド???WINDOWSには、多数の隠しコマンドが存在する。
DEBUGモードでの接続???DEBUGで接続するとroot権限でUNIXのコマンドが何でも起
動できる場合がある。
DEBUGモードで接続することにより、パスワードを破る必要無くシステム侵入?破壊を
許すことになります。
<対策>
ベンダーやCERTの発表を見て、使用しているソフトにバックドアがあるかどうかを常
に意識しておく必要があります。
戻る
7.スニッフィング
<攻撃方法>
スニッフィングとは、システム内に次のような機能を設定して、通過するパケットの
情報を盗聴する方法です。スニッフィング自体は、攻撃ではありませんが、ここで収
集した情報を元にして、クラッカーは他の攻撃を仕掛けてきます。
Soralisのsnoopコマンド???このコマンドによって、telnet開始時のログイン名とパス
ワードを取得できます。WWWサーバーにこのコマンドを仕掛けられて、外部からの
telnetのログイン名とパスワードを盗聴される可能性があります。
NICのPromiscuousモード???ほとんどのNIC(Network Interface Card)には、Promiscu
ousモード(無差別モード)の設定が可能になっています。このモードによって、通過
するすべてのパケットの情報(自分宛て以外のパケットも含めて)を取得できます。
<対策>
WWWホストには snoop、tcpdump、etherfind等のプログラムを放置しないようにし
ます。また、NICについては、個々のベンダーと対応について相談するほうがよいでし
ょう。
戻る
8.DDOS(分散DOS)攻撃
高いセキュリティで守られている著名な商業用サイト(Yahoo,Amazon.com etc)や米国
政府関係のサイトに対して、DOS攻撃を高度化したDDOS(分散DOS)攻撃が行われ、長時
間使用不能に陥るケースが増えています。
(1) DOS攻撃との相違点
これまでDOS攻撃を仕掛けられた場合、システム管理者がパケットの送出元のサイトを
追跡して、ファイアウォールの設定を変更することによって、比較的、早い段階で攻
撃を防ぐことができました。しかし、DDOS攻撃では、数百台にも及ぶマシンが不
完全なパケットを一斉に標的のサイトに送り付けるため、障害の復旧と犯人の追跡が
極めて、困難です。
(2) 攻撃の構成要素(Trin00の例)
Intruder???クラッカーが所有し全体の攻撃の統制に使用するマシン
Master???クラッカーがネットワーク上で探し出したセキュリティの弱い数台のマシン
。密かにMasterソフトをインストールし、デーモンプロセスとして実行しておく。
Daemon???クラッカーがネットワーク上で探し出した数十台から数百台のセキュリティ
の弱いマシン。事前にDaemonソフトをインストールし、デーモンプロセスとして実行
しておく。
Target???標的のサイト。
(3) 攻撃手順
クラッカーは、ポートスキャンツールを使って、root権限を獲得できる脆弱なMaster
とDaemonをネットワークから探し出します。
クラッカーは、上記のMasterとDaemonにroot権限で入り込んで、各ソフトをインスト
ールしてデーモンプロセスを実行させます。
Daemonのプロセスは、Masterとの間で自動的に通信を行って、攻撃準備が整ったこと
を知らせます。
クラッカーは、IntruderからMasterマシンに、暗号化したTargetマシンのIPアドレス
を送り込み、攻撃開始を指令します。
Masterマシンは、DaemonマシンにTargetマシンのIPアドレスを通知します。
通知を受けたDaemonマシンは、Targetマシンに対して様々なDos攻撃を開始します。
(4) 主要攻撃ツール
Trin00???UDP Flood攻撃を行う。
TFN:Tribe FloodNet???UDP flood,TCP SYN flood,ICMP echo request flood,smurfの
全攻撃を行う。
TFN2K???TFNの強化版。不正な形式のパケットを送り付けて、システムを不安定にさせ
てクラッシュさせる。
Stacheldraht
(5) 対策
現段階では、標的のサイトがDDOS攻撃を仕掛けられた場合、効率的な防御は難しいと
言われています。それよりも、自分が管理するマシンがHostやBroadcasterとならない
ように、ツールを使用してこれらのソフトがインストールされたことを検出して、未
然に攻撃を防ぐ対策が第一に求められています。
(6) 損害賠償
米国では、MasterやBroadCasterのソフトをインストールされ、結果的にDDOS攻撃に加
担してしまったIPSやWebサーバーの管理者が、管理責任を問われて損害賠償の請求
をされるリスクが指摘されています。これらの責任の負担を回避するためにも、ツー
ルによる攻撃ソフトの定期的な検出が求められます。
(7) 米国CERTの関連ページ
Trin00,TFNについて
TFN2Kについて
Stacheldrahtについて
--
終わりのない この道 愛する人 そばに連れて
夢 探しながら 雨に降られて ぬかるんだ道でも いつかは
また 晴れる日が来るから ああ 川の流れのように
おだやかに この身を まかせていたい ああ
川の流れのように 移り行く 季節 雪どけを待ちながら
※ 来源:·BBS 水木清华站 smth.org·[FROM: 202.205.232.240]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.146]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店