DDoS攻击并不是每个人都能做到的。事实上,要了解DDoS攻击的原理,首先必须知道DDoS攻击更为困难的
原因是我们应该掌握一些入侵
操作技术,我们将向您
介绍我们
经常在互联网上看到的攻击
工具。我们想给你一个
详细的解释,他们是Trin00和Tribe Flood Network。
对DDoS攻击原理的再认识:
对
安装过程的源代码更为复杂,因为编译器必须先在互联网上的主机
发现了一些漏洞,通过一些典型的、有效的远程溢出攻击
程序,对
系统的访问
控制,那么这些机器的安装和
运行配电侧攻击守护
进程,三以下的攻击工具trin00:
客户端
主控终端(主控)
分发终端(广播)-攻击后台程序
对DDoS攻击工具trin00结构的认识:
1,客户端可以是telnet等常用的
连接软件,客户端的角色是将
命令发送到主控终端(主控终端),连接到主机的27665端口,然后向主机发送攻击请求到主机。
2、主控端(主)听两个端口,其中27655是接收攻击命令,这个会议需要一个
密码,
默认密码是betaalmostdone。当主人开始,
提示会
显示:密码是狂欢和其他端口31335,
等待分布式端UDP报文。
在七月,这些主机器:
129.237.122.40
207.228.116.19
209.74.175.130
3,分布式终端是
执行攻击的角色,分布式终端安装在攻击者控制的机器上。主控制终端主机的IP
地址植入分布终端之前。分布式终端通过UDP
消息与主控终端通信,并发送到主控制端口的31355端口,该端口包含* * hello的字节数据,主控制器通过27444 UDP端口发送
目标主机信息到分发端,分配端是洪水攻击。
的分布
通信端口:
攻击者要掌握:(27665)
主到分发终端:27444 UDP
终端到主机的分配:31335
在这里将从分布式端到受害者的主机是UDP报文,每个包含4个空字节,这是从一个端口发送,但随机攻击不同的端口对目标主机,目标主机回复每封邮件一个ICMP端口不可达的信息。大量主机发送的大量消息将不断流,目标主机将慢下来,直到剩余带宽被更改为0。
DDoS攻击原理的实现攻击
步骤:
通过一个普通的
网络(网络)连接,
用户向
服务器发送一条消息来
确认它,然后服务器将连接
权限返回给用户,当用户被确认后,就可以进入服务器。
但在服务型的
情况下,攻击和否定,用户发送所需的大量确认信息到服务器,使服务器充满垃圾信息。所有信息连接到制作的地址,用户可以不被发现,当服务器重新
设置确认许可证服务器等待的时刻,有时超过一分钟,然后连接被切断,切断服务器的连接,再冒充新黑客
传输波需要确认的消息,重新
启动的过程,导致服务器搬迁,服务无限。这种攻击与大量的请求回复消息的Web服务器,导致系统过载崩溃。这种分布式拒绝服务冰攻击示意图如下:
---------- * *
攻击者
---------- * *
---------- * *
主控端
---------- * *
(指挥每个节点攻击)
* * * * ------------ ------ ------ ------------ *
v v v v
* * * * * ---------- ---------- ---------- ---------- * * *
侧剂侧剂
* * * * * ---------- ---------- ---------- ---------- * * *
/ /
/ /
(许多垃圾数据包遭到攻击)
/ /
/ /
V v v v
----------------------- * *
攻击服务器
----------------------- * *
DDoS攻击原理的网络通信异常监测:
当监视分布式拒绝服务攻击时,许多人或工具常常出错。他们只
搜索默认的特征字符串,默认端口和那些DDoS工具默认密码。建立监测网络入侵监测系统(NIDS)这些工具的规则,我们必须观察和分析DDoS网络通信的一般特征,不管是明显的或模糊的。
DDoS攻击工具产生的网络通信信息主要有两种:控制信息通信(DDOS客户端和服务器端)和网络攻击(DDoS服务器端和目标主机)之间的网络通信。
DDoS攻击原理的DDoS攻击监测:
例外0:虽然这不是一个真正的分布式拒绝服务的通信,它可以用来确定DDoS攻击源。据分析,攻击者总是解析目标主机名进行DDoS攻击之前。绑定域名服务器可以记录这些请求。因为每次攻击服务器将进行攻击之前发出PTR反向
查询请求,也就是说,在DDoS攻击,域名服务器将收到大量的PTR查询请求扭转目标主机名称。
例外1:当DDoS攻击一个
网站,它的极限流量明显超出了网络的正常
工作。目前的技术可以分别计算不同的源地址,相应的限值。DDoS攻击的通信时显示的限制显然是超越极限。因此,ACL访问控制规则可以对骨干建立监控和过滤这些通信。
例外2:特大型ICP和UDP数据包。正常的UDP会话通常使用小的UDP包,通常有效数据量不超过10字节。正常的ICMP消息不会超过64到128个字节。尺寸大得多的数据包有可能控制的信息传播,主要包含加密后的目标地址和命令
选项一旦我们抓住了(伪造)控制信息和通信的DDoS服务器的
位置暴露,因为控制信息和通信数据包的目标地址是伪造的。
例外3:TCP和UDP数据包不属于正常连接通信。最隐蔽的DDoS工具随机使用多种通信协议,包括无连接协议,发送数据在一个连接的通道。优秀的防火墙和
路由规则可以发现这些包。此外,包连接到超过1024的目标端口不属于常见的网络服务也很可疑。
例外4:数据段中的内容只包含文字和数字字符(例如,没有空格,标点符号和控制字符)。这往往是数据的编码是通过Base64和只包含base64字符集字符的字符特征。发送的控制信息包是这两种
类型包,对两种特征
模式(及其变种)就是在数据段的一串字符(aaahellip;hellip;),这是经过
调整后的数据段和加密算法的大小。如果Base64编码是没有用的,因为加密算法包使用,这种
连续性是;。
例外5:数据段中的内容只包含二进制和高位字符的数据包。虽然二进制
文件可能会在这个时候发送,如果这些包通常不是有效的沟通,可以怀疑是不加密的Base64的控制信息包发送。(如果本规则实施,有必要对20, 21和80端口排除传输)。
介绍了DDoS攻击的基本原理和基于DDoS攻击原理的监控内容,希望能帮助您理解和掌握DDoS攻击原理。