模拟攻击软体下载网站

模拟攻击软体下载网站 病毒source code 網站 DDOS 模擬攻擊軟體下載網站 ://www.chinahack.cn/down/soft.asp?nclass_id=703 ;sortid=199 PS:很多的DDOS攻擊軟體都可在一些大陸的網站找到,在這只列出四個。不過在下載這些攻擊的軟體的時候,它們可能會被一些防毒軟體看成病毒,所以在下載的時候會有困難,例如UDPFlood在norton2004掃描下會是一個駭客病毒,但是其本身並不會對使用者的電腦有所損害,但是也有的攻擊軟體會造成使用者電腦的危險。所以在下載的時候記得先把自身電腦的防毒措施做個完善的保護。 介紹UDPFlood也就是我們拿來實驗的兩個攻擊軟體其中之一 UDPFlood 2.00 ------------- UDPFlood 是用戶資料訊息協定包發送器。它以一個可控制的(比率)對特定的IP 和PORT發出用戶資料訊息協定包。用戶資料訊息協定包能夠由一個測試字串,或是一定byte的位元組成, 也可由一個文件的資料組成(製成)。用於服務器測驗。 版本 2.0 不對 UDPFlood 的以前的版本表示任何附加功能性。 可在WINDOWS簡易的平台操作。 ------------- 介紹另一個軟體 DDOSping DDOSping 可選定三種模式進行攻擊包括Trinno,Stacheldraht,Tribe Flood Network。 以下為其英文說明: ----------------------- DDoSPing is a remote network scanner for the most common Distributed Denial of Service programs (often called Zombies by the press). These were the programs responsible for the recent rash of attacks on high profile web sites. This tool will (hopefully!) detect Trinoo, Stacheldraht and Tribe Flood Network programs running with their default settings, although configuration of each program type is possible from the tool's configuartion screen. Scanning is performed by sending the appropriate UDP and ICMP messages at a controlable rate to a user defined range of addresses. DdosPing requires Winsock 2 to run. If you are running Windows 95 without the Winsock 2 upgrade you will need to visit Microsoft's web site to obtain their upgrade. The quickest way to find it is to go to and perform a search in their knowledge base for article number Q182108. I am releasing this program for testing by responsible network admins and anybody who can confirm whether it is working correctly or not. I have been unwilling to test it myself with live subjects on the Internet for risk of being accused of attempted malicious attacks and besides that, it would be considered rude to probe machines that did not belong to me or that I didn't have permission to use the program on. The same goes for anybody who uses this program. 典型DoS攻擊原理及抵御措施 smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序,在這 它們的原理以及抵御措施進行論述 。 一、何為\"smurf攻擊\",如何抵御, Smurf是一種簡單但有效的DDoS攻擊技術,它利用了ICMP:Internet控制 信息協議:。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是 與主機聯系,通過發送一個“回音請求”:echo request:信息包看看主機是否“活 著”。 最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一 個計算機上的,然後用一個偽造的源地址連續ping一個或多個計算機網絡,這 就導致所有計算機所響應的那個計算機並不是實際發送這個信息包的那個計算機。這個偽造的源地址,實際上就是攻擊的目標,它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。 下面是Smurf DDoS攻擊的基本特性以及建議采用的抵御策略: 1、Smurf的攻擊平台:smurf為了能工作,必須要找到攻擊平台,這個平台就是:其路由器上啟動了IP廣播功能。這個功能允許smurf發送一個偽造的ping信息包,然後將它傳播到整個計算機網絡中。 2、為防止系統成為smurf攻擊的平台,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能並不需要。 3、攻擊者也有可能從LAN內部發動一個smurf攻擊,在這種情況下,禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊,許多操作系統都提供了相應設置,防止計算機對IP廣播請求做出響應。 4、如果攻擊者要成功地利用你成為攻擊平台,你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網絡。配置路由器,讓它將不是由你的內網中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網絡出口過濾器功能。 5、ISP則應使用網絡入口過濾器,以丟掉那些不是來自一個已知範圍內IP地址的信息包。 6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應答:echo reply: 信息包進行過濾,然後丟棄它們,這樣就能阻止“命中”Web服務器和內網。對于那些使用Cisco路由器的人,另一個選擇是CAR:Committed Access Rate,承諾訪問速率:。 丟棄所有的回音應答信息包能使網絡避免被淹沒,但是它不能防止來自上游供應者通道的交通堵塞。如果你成為了攻擊的目標,就要請求ISP對回音應答信息包進行過濾並丟棄。如果不想完全禁止回音應答,那麼可以有選擇地丟棄那些指向你的公用Web服務器的回音應答信息包。CAR技術由Cisco開發,它能夠規定出各種信息包類型使用的帶寬的最大值。例如,使用CAR,我們就可以精確地規定回音應答信息包所使用的帶寬的最大值。 二、何為\"trinoo\",如何抵御它, trinoo是復雜的DDoS攻擊程序,它使用“master”程序對實際實施攻擊的任何數 量的“代理”程序實現自動控制。攻擊者連接到安裝了master程序的計算機,啟動master程序,然後根據一個IP地址的列表,由master程序負責啟動所有的代理程序。接著,代理程序用UDP信息包沖擊網絡,從而攻擊目標。在攻擊之前,侵入者為了安裝軟件,已經控制了裝有master程序的計算機和所有裝有代理程序的計算機。 下面是trinoo DDoS攻擊的基本特性以及建議采用的抵御策略: 1、在master程序與代理程序的所有通訊中,trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流。 2、Trinoo master程序的監視端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP連接到端口27655的數據流。 3、所有從master程序到代理程序的通訊都包含字符串\"l44\",並且被引導到代理的UDP端口27444.入侵檢測軟件檢查到UDP端口27444的連接,如果有包含字符串l44的信息包被發送過去,那麼接受這個信息包的計算機可能就是DDoS代理。 4、Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發送的,因此它可以被“嗅探”到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本,要準確地驗證出trinoo代理的存在是很可能的。 一旦一個代理被準確地識別出來,trinoo網絡就可以安裝如下步驟被拆除: 。在代理daemon上使用\"strings\"命令,將master的IP地址暴露出來。。與所有作為trinoo master的機器管理者聯系,通知它們這一事件。。在master計算機上,識別含有代理IP地址列表的文件:默認名\"\":,得到這些計算機的IP地址列表。。 向代理發送一個偽造\"trinoo\"命令來禁止代理。通過crontab文件:在UNIX系統中: 的一個條目,代理可以有規律地重新啟動,因此,代理計算機需要一遍一遍地被關閉,直到代理系統的管理者修復了crontab文件為止。。檢查master程序的活動TCP連接,這能顯示攻擊者與trinoo master程序之間存在的實時連接。。如果網絡正在遭受trinoo攻擊,那麼系統就會被UDP信息包所淹沒。Trinoo從同一源地址向目標主機上的任意端口發送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。。在上有一個檢測和根除trinoo的自動程序。 三、何為\"Tribal Flood Network\"和\"TFN2K\",如何抵御, Tribe Flood Network與trinoo一樣,使用一個master程序與位于多個網絡上的攻擊代理進行通訊。TFN可以並行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。可以由TFN發動的攻擊包括:UDP沖擊、TCP SYN沖擊、ICMP回音請求沖擊以及ICMP廣播。 以下是TFN DDoS攻擊的基本特性以及建議的抵御策略: 1、發動TFN時,攻擊者要訪問master程序並向它發送一個或多個目標IP地址,然後Master程序繼續與所有代理程序通訊,指示它們發動攻擊。 TFN Master程序與代理程序之間的通訊使用ICMP回音應答信息包,實際要執行的指示以二進制形式包含在16位ID域中。ICMP:Internet控制信息協議:使信息包協議過濾成為可能。通過配置路由器或入侵檢測系統,不允許所有的ICMP回音或回音應答信息包進入網絡,就可以達到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序,比如ping. TFN Master程序讀取一個IP地址列表,其中包含代理程序的位置。這個列表可能使用如\"Blowfish\"的加密程序進行了加密。如果沒有加密的話,就可以從這個列表方便地識別出代理信息。 2、用于發現系統上TFN代理程序的程序是td,發現系統上master程序的程序是tfn.TFN代理並不查看ICMP回音應答信息包來自哪里,因此使用偽裝ICMP信息包沖刷掉這些過程是可能的。 TFN2K是TFN的一個更高級的版本,它“修復”了TFN的某些缺點: 1、在TFN2K下,Master與代理之間的通訊可以使用許多協議,例如TCP、UDP或ICMP,這使得協議過濾不可能實現。 2、TFN2K能夠發送破壞信息包,從而導致系統癱瘓或不穩定。 3、TFN2K偽造IP源地址,讓信息包看起來好像是從LAN上的一個臨近機器來的,這樣就可以挫敗出口過濾和入口過濾。 4、由于TFN2K是最近剛剛被識破的,因此還沒有一項研究能夠發現它的明顯弱點。 在人們能夠對TFN2K進行更完全的 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 之前,最好的抵御方法是: 。加固系統和網絡,以防系統被當做DDoS主機。。在邊界路由器上設置出口過濾,這樣做的原因是或許不是所有的TFN2K源地址都用內部網絡地址進行偽裝。。 請求上游供應商配置入口過濾。 四、何為\"stacheldraht\",如何防範, Stacheldraht也是基于TFN和trinoo一樣的客戶機/服務器模式,其中Master程序與潛在的成千個代理程序進行通訊。在發動攻擊時,侵入者與master程序進行連接。Stacheldraht增加了以下新功能:攻擊者與master程序之間的通訊是加密的,以及使用rcp:remote copy,遠程復制:技術對代理程序進行更新。 Stacheldraht同TFN一樣,可以並行發動數不勝數的DoS攻擊,類型多種多樣,而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發動的攻擊包括UDP沖擊、TCP SYN沖擊、ICMP回音應答沖擊以及ICMP播放。 以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施: 1、在發動Stacheldraht攻擊時,攻擊者訪問master程序,向它發送一個或多個攻擊目標的IP地址。Master程序再繼續與所有代理程序進行通訊,指示它們發動攻擊。 Stacheldraht master程序與代理程序之間的通訊主要是由ICMP回音和回音應答信息包來完成的。配置路由器或入侵檢測系統,不允許一切ICMP回音和回音應答信息包進入網絡,這樣可以挫敗Stacheldraht代理。但是這樣會影響所有要使用這些功能的Internet程序,例如ping. 2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進行加密。代理會試圖與列表上所有的master程序進行聯系。 如果聯系成功,代理程序就會進行一個測試,以確定它被安裝到的系統是否會允許它改變\"偽造\"信息包的源地址。通過配置入侵檢測系統或使用嗅探器來搜尋它們的簽名信息,可以探測出這兩個行為。 代理會向每個master發送一個ICMP回音應答信息包,其中有一個ID域包含值666,一個數據域包含字符串\"skillz\".如果master收到了這個信息包,它會以一個包含值667的ID域和一個包含字符串\"ficken\"的數據域來應答。代理和 master通過交換這些信息包來實現周期性的基本接觸。通過對這些信息包的監控,可以探測出Stacheldraht. 一旦代理找到了一個有效master程序,它會向master發送一個ICMP信息包,其中有一個偽造的源地址,這是在執行一個偽造測試。這個假地址是\"3.3.3.3\". 如果master收到了這個偽造地址,在它的應答中,用ICMP信息包數據域中的\"spoofworks\"字符串來確認偽造的源地址是奏效的。通過監控這些值,也可以將Stacheldraht檢測出來。 3、Stacheldraht代理並不檢查ICMP回音應答信息包來自哪里,因此就有可能偽造ICMP信息包將其排除。 4、Stacheldraht代理程序與TFN和trinoo一樣,都可以用一個C程序來探測,它的地址是: 五、如何配置路由器、防火牆和入侵檢測系統來抵御常見DDoS攻擊, 1、抵御Smurf 。確定你是否成為了攻擊平台:對不是來自于你的內部網絡的信息包進行監控;監控大容量的回音請求和回音應答信息包。。避免被當做一個攻擊平台:在所有路由器上禁止IP廣播功能;將不是來自于內部網絡的信息包過濾掉。。減輕攻擊的危害:在邊界路由器對回音應答信息包進行過濾,並丟棄;對于Cisco路由器,使用CAR來規定回音應答信息包可以使用的帶寬最大值。 2、抵御trinoo 。確定你是否成為攻擊平台:在master程序和代理程序之間的通訊都是使用UDP協議,因此對使用UDP協議:類別17:進行過濾;攻擊者用TCP端口27655與master程序連接,因此對使用TCP:類別6:端口27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串\"l44\",並被引導到代理的UDP端口27444,因此對與UDP端口27444連接且包含字符串l44的數據流進行過濾。。避免被用作攻擊平台:將不是來自于你的內部網絡的信息包過濾掉。。減輕攻擊的危害:從理論上說,可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾,並丟棄它們。 3、抵御TFN和TFN2K 。確定你是否成為攻擊平台:對不是來自于內部網絡的信息包進行監控。。避免被用作攻擊平台:不允許一切到你的網絡上的ICMP回音和回音應答信息包,當然這會影響所有要使用這些功能的Internet程序;將不是來源于內部網絡的信息包過濾掉。 4、抵御Stacheldraht 。確定你是否成為攻擊平台:對ID域中包含值666、數據域中包含字符串\"skillz\"或ID域中包含值667、數據域中包含字符串\"ficken\"的ICMP回音應答信息包進行過濾;對源地址為\"3.3.3.3\"的ICMP信息包和ICMP信息包數據域中包含字符串\"spoofworks\"的數據流進行過濾。。避免被用作攻擊平台:不允許一切到你的網絡上的ICMP回音和回音應答信息包,當然這會影響所有要使用這些功能的Internet程序;將不是來源于內部網絡的信息包過濾掉;將不是來源于內部網絡的信息包過濾掉。 以下網址為一個大陸人用另一套攻擊軟體(fn2k)攻擊然後用(iptable)過濾測試所寫的文章………..