模擬攻擊軟體下載網(wǎng)站

1、病毒source code 網(wǎng)站http:/www.darkmanworldnet.home.ro/dfiles/virii_files/Michelangelo.htmlhttp:/www.62nds.co.nz/pg/e90.phpDDOS 模擬攻擊軟體下載網(wǎng)站/down/softlist.asp?page=5&sortid=199PS:很多的DDOS攻擊軟體都可在一些大陸的網(wǎng)站找到，在這只列出四個(gè)。不過(guò)在下載這些攻擊的軟體的時(shí)候，它們可能會(huì)被一些防毒軟體看成病毒，所以在下載的時(shí)候會(huì)有困難，例如UDPFlood在norton2004掃描下會(huì)是一個(gè)駭客病毒，

2、但是其本身並不會(huì)對(duì)使用者的電腦有所損害，但是也有的攻擊軟體會(huì)造成使用者電腦的危險(xiǎn)。所以在下載的時(shí)候記得先把自身電腦的防毒措施做個(gè)完善的保護(hù)。介紹UDPFlood也就是我們拿來(lái)實(shí)驗(yàn)的兩個(gè)攻擊軟體其中之一UDPFlood 2.00-UDPFlood 是用戶資料訊息協(xié)定包發(fā)送器。它以一個(gè)可控制的(比率)對(duì)特定的IP 和PORT發(fā)出用戶資料訊息協(xié)定包。用戶資料訊息協(xié)定包能夠由一個(gè)測(cè)試字串，或是一定byte的位元組成, 也可由一個(gè)文件的資料組成(製成)。用於服務(wù)器測(cè)驗(yàn)。 版本 2.0 不對(duì) UDPFlood 的以前的版本表示任何附加功能性。可在WINDOWS簡(jiǎn)易的平臺(tái)操作。-介紹另一個(gè)軟體DDOSpin

3、gDDOSping 可選定三種模式進(jìn)行攻擊包括Trinno，Stacheldraht，Tribe FloodNetwork。以下為其英文說(shuō)明:-DDoSPing is a remote network scanner for the most common Distributed Denialof Service programs (often called Zombies by the press). These were the programsresponsible for the recent rash of attacks on high profile web sites.This

4、 tool will (hopefully!) detect Trinoo, Stacheldraht and Tribe Flood Networkprograms running with their default settings, although configuration of each programtype is possible from the tool's configuartion screen. Scanning is performed bysending the appropriate UDP and ICMP messages at a control

5、able rate to a user definedrange of addresses.DdosPing requires Winsock 2 to run. If you are running Windows 95 without theWinsock 2 upgrade you will need to visit Microsoft's web site to obtain theirupgrade. The quickest way to find it is to go to andperform a search in their knowledge base for

6、 article number Q182108.I am releasing this program for testing by responsible network admins and anybodywho can confirm whether it is working correctly or not. I have been unwillingto test it myself with live subjects on the Internet for risk of being accusedof attempted malicious attacks and besid

7、es that, it would be considered rude toprobe machines that did not belong to me or that I didn't have permission touse the program on. The same goes for anybody who uses this program.典型DoS攻擊原理及抵御措施smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見(jiàn)的DoS攻擊程序，在這它們的原理以及抵御措施進(jìn)行論述 。一、何為"smurf攻擊"，如何抵御？S

8、murf是一種簡(jiǎn)單但有效的DDoS攻擊技術(shù)，它利用了ICMP（Internet控制信息協(xié)議）。ICMP在Internet上用于錯(cuò)誤處理和傳遞控制信息。它的功能之一是與主機(jī)聯(lián)系，通過(guò)發(fā)送一個(gè)“回音請(qǐng)求”（echo request）信息包看看主機(jī)是否“活著”。最普通的ping程序就使用了這個(gè)功能。Smurf是用一個(gè)偷來(lái)的帳號(hào)安裝到一個(gè)計(jì)算機(jī)上的，然後用一個(gè)偽造的源地址連續(xù)ping一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，這就導(dǎo)致所有計(jì)算機(jī)所響應(yīng)的那個(gè)計(jì)算機(jī)並不是實(shí)際發(fā)送這個(gè)信息包的那個(gè)計(jì)算機(jī)。這個(gè)偽造的源地址，實(shí)際上就是攻擊的目標(biāo)，它將被極大數(shù)量的響應(yīng)信息量所淹沒(méi)。對(duì)這個(gè)偽造信息包做出響應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)就成為攻擊的不知

9、情的同謀。下面是Smurf DDoS攻擊的基本特性以及建議采用的抵御策略1、Smurf的攻擊平臺(tái)smurf為了能工作，必須要找到攻擊平臺(tái)，這個(gè)平臺(tái)就是其路由器上啟動(dòng)了IP廣播功能。這個(gè)功能允許smurf發(fā)送一個(gè)偽造的ping信息包，然後將它傳播到整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中。2、為防止系統(tǒng)成為smurf攻擊的平臺(tái)，要將所有路由器上IP的廣播功能都禁止。一般來(lái)講，IP廣播功能並不需要。3、攻擊者也有可能從LAN內(nèi)部發(fā)動(dòng)一個(gè)smurf攻擊，在這種情況下，禁止路由器上的IP廣播功能就沒(méi)有用了。為了避免這樣一個(gè)攻擊，許多操作系統(tǒng)都提供了相應(yīng)設(shè)置，防止計(jì)算機(jī)對(duì)IP廣播請(qǐng)求做出響應(yīng)。 4、如果攻擊者要成功地利用你成為

10、攻擊平臺(tái)，你的路由器必須要允許信息包以不是從你的內(nèi)網(wǎng)中產(chǎn)生的源地址離開(kāi)網(wǎng)絡(luò)。配置路由器，讓它將不是由你的內(nèi)網(wǎng)中生成的信息包過(guò)濾出去，這是有可能做到的。這就是所謂的網(wǎng)絡(luò)出口過(guò)濾器功能。5、ISP則應(yīng)使用網(wǎng)絡(luò)入口過(guò)濾器，以丟掉那些不是來(lái)自一個(gè)已知範(fàn)圍內(nèi)IP地址的信息包。6、挫敗一個(gè)smurf攻擊的最簡(jiǎn)單方法對(duì)邊界路由器的回音應(yīng)答（echo reply）信息包進(jìn)行過(guò)濾，然後丟棄它們，這樣就能阻止“命中”Web服務(wù)器和內(nèi)網(wǎng)。對(duì)于那些使用Cisco路由器的人，另一個(gè)選擇是CAR（Committed Access Rate，承諾訪問(wèn)速率）。丟棄所有的回音應(yīng)答信息包能使網(wǎng)絡(luò)避免被淹沒(méi)，但是它不能防止來(lái)自上游

11、供應(yīng)者通道的交通堵塞。如果你成為了攻擊的目標(biāo)，就要請(qǐng)求ISP對(duì)回音應(yīng)答信息包進(jìn)行過(guò)濾並丟棄。如果不想完全禁止回音應(yīng)答，那麼可以有選擇地丟棄那些指向你的公用Web服務(wù)器的回音應(yīng)答信息包。CAR技術(shù)由Cisco開(kāi)發(fā)，它能夠規(guī)定出各種信息包類型使用的帶寬的最大值。例如，使用CAR，我們就可以精確地規(guī)定回音應(yīng)答信息包所使用的帶寬的最大值。二、何為"trinoo"，如何抵御它？trinoo是復(fù)雜的DDoS攻擊程序，它使用“master”程序?qū)?shí)際實(shí)施攻擊的任何數(shù)量的“代理”程序?qū)崿F(xiàn)自動(dòng)控制。攻擊者連接到安裝了master程序的計(jì)算機(jī)，啟動(dòng)master程序，然後根據(jù)一個(gè)IP地址的列表，

12、由master程序負(fù)責(zé)啟動(dòng)所有的代理程序。接著，代理程序用UDP信息包沖擊網(wǎng)絡(luò)，從而攻擊目標(biāo)。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有master程序的計(jì)算機(jī)和所有裝有代理程序的計(jì)算機(jī)。下面是trinoo DDoS攻擊的基本特性以及建議采用的抵御策略1、在master程序與代理程序的所有通訊中，trinoo都使用了UDP協(xié)議。入侵檢測(cè)軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流。2、Trinoo master程序的監(jiān)視端口是27655，攻擊者一般借助telnet通過(guò)TCP連接到master程序所在計(jì)算機(jī)。入侵檢測(cè)軟件能夠搜索到使用TCP連接到端口27655的數(shù)據(jù)流。3、所有從master程序到代理

13、程序的通訊都包含字符串"l44"，並且被引導(dǎo)到代理的UDP端口27444.入侵檢測(cè)軟件檢查到UDP端口27444的連接，如果有包含字符串l44的信息包被發(fā)送過(guò)去，那麼接受這個(gè)信息包的計(jì)算機(jī)可能就是DDoS代理。4、Master和代理之間通訊受到口令的保護(hù)，但是口令不是以加密格式發(fā)送的，因此它可以被“嗅探”到並被檢測(cè)出來(lái)。使用這個(gè)口令以及來(lái)自Dave Dittrich的trinot腳本/dittrich/misc/trinoo.analysis，要準(zhǔn)確地驗(yàn)證出trinoo代理的存在是很可能的。一旦一個(gè)代理被準(zhǔn)確地識(shí)別出來(lái)，t

14、rinoo網(wǎng)絡(luò)就可以安裝如下步驟被拆除。在代理daemon上使用"strings"命令，將master的IP地址暴露出來(lái)。與所有作為trinoo master的機(jī)器管理者聯(lián)系，通知它們這一事件。在master計(jì)算機(jī)上，識(shí)別含有代理IP地址列表的文件（默認(rèn)名""），得到這些計(jì)算機(jī)的IP地址列表。向代理發(fā)送一個(gè)偽造"trinoo"命令來(lái)禁止代理。通過(guò)crontab文件（在UNIX系統(tǒng)中）的一個(gè)條目，代理可以有規(guī)律地重新啟動(dòng)，因此，代理計(jì)算機(jī)需要一遍一遍地被關(guān)閉，直到代理系統(tǒng)的管理者修復(fù)了crontab文件為止。檢查master程序的活動(dòng)T

15、CP連接，這能顯示攻擊者與trinoo master程序之間存在的實(shí)時(shí)連接。如果網(wǎng)絡(luò)正在遭受trinoo攻擊，那麼系統(tǒng)就會(huì)被UDP信息包所淹沒(méi)。Trinoo從同一源地址向目標(biāo)主機(jī)上的任意端口發(fā)送信息包。探測(cè)trinoo就是要找到多個(gè)UDP信息包，它們使用同一來(lái)源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。在/nipc/trinoo.htm上有一個(gè)檢測(cè)和根除trinoo的自動(dòng)程序。三、何為"Tribal Flood Network"和"TFN2K"，如何抵御？Tribe Flood Network與trin

16、oo一樣，使用一個(gè)master程序與位于多個(gè)網(wǎng)絡(luò)上的攻擊代理進(jìn)行通訊。TFN可以並行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包?？梢杂蒚FN發(fā)動(dòng)的攻擊包括UDP沖擊、TCP SYN沖擊、ICMP回音請(qǐng)求沖擊以及ICMP廣播。以下是TFN DDoS攻擊的基本特性以及建議的抵御策略1、發(fā)動(dòng)TFN時(shí)，攻擊者要訪問(wèn)master程序並向它發(fā)送一個(gè)或多個(gè)目標(biāo)IP地址，然後Master程序繼續(xù)與所有代理程序通訊，指示它們發(fā)動(dòng)攻擊。TFN Master程序與代理程序之間的通訊使用ICMP回音應(yīng)答信息包，實(shí)際要執(zhí)行的指示以二進(jìn)制形式包含在16位ID域中。ICMP（Intern

17、et控制信息協(xié)議）使信息包協(xié)議過(guò)濾成為可能。通過(guò)配置路由器或入侵檢測(cè)系統(tǒng)，不允許所有的ICMP回音或回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，就可以達(dá)到挫敗TFN代理的目的。但是這樣會(huì)影響所有使用這些功能的Internet程序，比如ping.TFN Master程序讀取一個(gè)IP地址列表，其中包含代理程序的位置。這個(gè)列表可能使用如"Blowfish"的加密程序進(jìn)行了加密。如果沒(méi)有加密的話，就可以從這個(gè)列表方便地識(shí)別出代理信息。2、用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的程序是td，發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn.TFN代理並不查看ICMP回音應(yīng)答信息包來(lái)自哪里，因此使用偽裝ICMP信息包沖刷掉

18、這些過(guò)程是可能的。TFN2K是TFN的一個(gè)更高級(jí)的版本，它“修復(fù)”了TFN的某些缺點(diǎn)1、在TFN2K下，Master與代理之間的通訊可以使用許多協(xié)議，例如TCP、UDP或ICMP，這使得協(xié)議過(guò)濾不可能實(shí)現(xiàn)。2、TFN2K能夠發(fā)送破壞信息包，從而導(dǎo)致系統(tǒng)癱瘓或不穩(wěn)定。3、TFN2K偽造IP源地址，讓信息包看起來(lái)好像是從LAN上的一個(gè)臨近機(jī)器來(lái)的，這樣就可以挫敗出口過(guò)濾和入口過(guò)濾。4、由于TFN2K是最近剛剛被識(shí)破的，因此還沒(méi)有一項(xiàng)研究能夠發(fā)現(xiàn)它的明顯弱點(diǎn)。在人們能夠?qū)FN2K進(jìn)行更完全的分析之前，最好的抵御方法是。加固系統(tǒng)和網(wǎng)絡(luò)，以防系統(tǒng)被當(dāng)做DDoS主機(jī)。在邊界路由器上設(shè)置出口過(guò)濾，這樣做的

19、原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進(jìn)行偽裝。請(qǐng)求上游供應(yīng)商配置入口過(guò)濾。四、何為"stacheldraht"，如何防範(fàn)？Stacheldraht也是基于TFN和trinoo一樣的客戶機(jī)/服務(wù)器模式，其中Master程序與潛在的成千個(gè)代理程序進(jìn)行通訊。在發(fā)動(dòng)攻擊時(shí)，侵入者與master程序進(jìn)行連接。Stacheldraht增加了以下新功能攻擊者與master程序之間的通訊是加密的，以及使用rcp（remote copy，遠(yuǎn)程復(fù)制）技術(shù)對(duì)代理程序進(jìn)行更新。Stacheldraht同TFN一樣，可以並行發(fā)動(dòng)數(shù)不勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝

20、源IP地址的信息包。Stacheldraht所發(fā)動(dòng)的攻擊包括UDP沖擊、TCP SYN沖擊、ICMP回音應(yīng)答沖擊以及ICMP播放。以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施1、在發(fā)動(dòng)Stacheldraht攻擊時(shí)，攻擊者訪問(wèn)master程序，向它發(fā)送一個(gè)或多個(gè)攻擊目標(biāo)的IP地址。Master程序再繼續(xù)與所有代理程序進(jìn)行通訊，指示它們發(fā)動(dòng)攻擊。Stacheldraht master程序與代理程序之間的通訊主要是由ICMP回音和回音應(yīng)答信息包來(lái)完成的。配置路由器或入侵檢測(cè)系統(tǒng)，不允許一切ICMP回音和回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，這樣可以挫敗Stacheldraht代理

21、。但是這樣會(huì)影響所有要使用這些功能的Internet程序，例如ping.2、代理程序要讀取一個(gè)包含有效master程序的IP地址列表。這個(gè)地址列表使用了Blowfish加密程序進(jìn)行加密。代理會(huì)試圖與列表上所有的master程序進(jìn)行聯(lián)系。如果聯(lián)系成功，代理程序就會(huì)進(jìn)行一個(gè)測(cè)試，以確定它被安裝到的系統(tǒng)是否會(huì)允許它改變"偽造"信息包的源地址。通過(guò)配置入侵檢測(cè)系統(tǒng)或使用嗅探器來(lái)搜尋它們的簽名信息，可以探測(cè)出這兩個(gè)行為。代理會(huì)向每個(gè)master發(fā)送一個(gè)ICMP回音應(yīng)答信息包，其中有一個(gè)ID域包含值666，一個(gè)數(shù)據(jù)域包含字符串"skillz".如果master收到了

22、這個(gè)信息包，它會(huì)以一個(gè)包含值667的ID域和一個(gè)包含字符串"ficken"的數(shù)據(jù)域來(lái)應(yīng)答。代理和master通過(guò)交換這些信息包來(lái)實(shí)現(xiàn)周期性的基本接觸。通過(guò)對(duì)這些信息包的監(jiān)控，可以探測(cè)出Stacheldraht.一旦代理找到了一個(gè)有效master程序，它會(huì)向master發(fā)送一個(gè)ICMP信息包，其中有一個(gè)偽造的源地址，這是在執(zhí)行一個(gè)偽造測(cè)試。這個(gè)假地址是"".如果master收到了這個(gè)偽造地址，在它的應(yīng)答中，用ICMP信息包數(shù)據(jù)域中的"spoofworks"字符串來(lái)確認(rèn)偽造的源地址是奏效的。通過(guò)監(jiān)控這些值，也可以將Stach

23、eldraht檢測(cè)出來(lái)。3、Stacheldraht代理並不檢查ICMP回音應(yīng)答信息包來(lái)自哪里，因此就有可能偽造ICMP信息包將其排除。4、Stacheldraht代理程序與TFN和trinoo一樣，都可以用一個(gè)C程序來(lái)探測(cè)，它的地址是/dittrich/misc/ddos_scan.tar.五、如何配置路由器、防火牆和入侵檢測(cè)系統(tǒng)來(lái)抵御常見(jiàn)DDoS攻擊？1、抵御Smurf。確定你是否成為了攻擊平臺(tái)對(duì)不是來(lái)自于你的內(nèi)部網(wǎng)絡(luò)的信息包進(jìn)行監(jiān)控；監(jiān)控大容量的回音請(qǐng)求和回音應(yīng)答信息包。避免被當(dāng)做一個(gè)攻擊平臺(tái)在所有路由器上禁止IP廣播功能；將不是來(lái)自于內(nèi)部網(wǎng)絡(luò)的信息包過(guò)濾掉。減輕攻擊的危害在邊界路由器對(duì)回音應(yīng)答信息包進(jìn)行過(guò)濾，並丟棄；對(duì)于Cisco路由器，使用CAR來(lái)規(guī)定回音應(yīng)答信息包可以使用的帶寬最大值。2、抵御trinoo。確定你