模擬攻擊軟體下載網(wǎng)站

1、病毒source code 網(wǎng)站http:/www.darkmanworldnet.home.ro/dfiles/virii_files/Michelangelo.htmlhttp:/www.62nds.co.nz/pg/e90.phpDDOS 模擬攻擊軟體下載網(wǎng)站/down/softlist.asp?page=5&sortid=199PS:很多的DDOS攻擊軟體都可在一些大陸的網(wǎng)站找到，在這只列出四個。不過在下載這些攻擊的軟體的時候，它們可能會被一些防毒軟體看成病毒，所以在下載的時候會有困難，例如UDPFlood在norton2004掃描下會是一個駭客病毒，

2、但是其本身並不會對使用者的電腦有所損害，但是也有的攻擊軟體會造成使用者電腦的危險。所以在下載的時候記得先把自身電腦的防毒措施做個完善的保護(hù)。介紹UDPFlood也就是我們拿來實(shí)驗(yàn)的兩個攻擊軟體其中之一UDPFlood 2.00-UDPFlood 是用戶資料訊息協(xié)定包發(fā)送器。它以一個可控制的(比率)對特定的IP 和PORT發(fā)出用戶資料訊息協(xié)定包。用戶資料訊息協(xié)定包能夠由一個測試字串，或是一定byte的位元組成, 也可由一個文件的資料組成(製成)。用於服務(wù)器測驗(yàn)。 版本 2.0 不對 UDPFlood 的以前的版本表示任何附加功能性?？稍赪INDOWS簡易的平臺操作。-介紹另一個軟體DDOSpin

3、gDDOSping 可選定三種模式進(jìn)行攻擊包括Trinno，Stacheldraht，Tribe FloodNetwork。以下為其英文說明:-DDoSPing is a remote network scanner for the most common Distributed Denialof Service programs (often called Zombies by the press). These were the programsresponsible for the recent rash of attacks on high profile web sites.This

4、 tool will (hopefully!) detect Trinoo, Stacheldraht and Tribe Flood Networkprograms running with their default settings, although configuration of each programtype is possible from the tool's configuartion screen. Scanning is performed bysending the appropriate UDP and ICMP messages at a control

5、able rate to a user definedrange of addresses.DdosPing requires Winsock 2 to run. If you are running Windows 95 without theWinsock 2 upgrade you will need to visit Microsoft's web site to obtain theirupgrade. The quickest way to find it is to go to andperform a search in their knowledge base for

6、 article number Q182108.I am releasing this program for testing by responsible network admins and anybodywho can confirm whether it is working correctly or not. I have been unwillingto test it myself with live subjects on the Internet for risk of being accusedof attempted malicious attacks and besid

7、es that, it would be considered rude toprobe machines that did not belong to me or that I didn't have permission touse the program on. The same goes for anybody who uses this program.典型DoS攻擊原理及抵御措施smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序，在這它們的原理以及抵御措施進(jìn)行論述 。一、何為"smurf攻擊"，如何抵御？S

8、murf是一種簡單但有效的DDoS攻擊技術(shù)，它利用了ICMP（Internet控制信息協(xié)議）。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機(jī)聯(lián)系，通過發(fā)送一個“回音請求”（echo request）信息包看看主機(jī)是否“活著”。最普通的ping程序就使用了這個功能。Smurf是用一個偷來的帳號安裝到一個計(jì)算機(jī)上的，然後用一個偽造的源地址連續(xù)ping一個或多個計(jì)算機(jī)網(wǎng)絡(luò)，這就導(dǎo)致所有計(jì)算機(jī)所響應(yīng)的那個計(jì)算機(jī)並不是實(shí)際發(fā)送這個信息包的那個計(jì)算機(jī)。這個偽造的源地址，實(shí)際上就是攻擊的目標(biāo)，它將被極大數(shù)量的響應(yīng)信息量所淹沒。對這個偽造信息包做出響應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)就成為攻擊的不知

9、情的同謀。下面是Smurf DDoS攻擊的基本特性以及建議采用的抵御策略1、Smurf的攻擊平臺smurf為了能工作，必須要找到攻擊平臺，這個平臺就是其路由器上啟動了IP廣播功能。這個功能允許smurf發(fā)送一個偽造的ping信息包，然後將它傳播到整個計(jì)算機(jī)網(wǎng)絡(luò)中。2、為防止系統(tǒng)成為smurf攻擊的平臺，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能並不需要。3、攻擊者也有可能從LAN內(nèi)部發(fā)動一個smurf攻擊，在這種情況下，禁止路由器上的IP廣播功能就沒有用了。為了避免這樣一個攻擊，許多操作系統(tǒng)都提供了相應(yīng)設(shè)置，防止計(jì)算機(jī)對IP廣播請求做出響應(yīng)。 4、如果攻擊者要成功地利用你成為

10、攻擊平臺，你的路由器必須要允許信息包以不是從你的內(nèi)網(wǎng)中產(chǎn)生的源地址離開網(wǎng)絡(luò)。配置路由器，讓它將不是由你的內(nèi)網(wǎng)中生成的信息包過濾出去，這是有可能做到的。這就是所謂的網(wǎng)絡(luò)出口過濾器功能。5、ISP則應(yīng)使用網(wǎng)絡(luò)入口過濾器，以丟掉那些不是來自一個已知範(fàn)圍內(nèi)IP地址的信息包。6、挫敗一個smurf攻擊的最簡單方法對邊界路由器的回音應(yīng)答（echo reply）信息包進(jìn)行過濾，然後丟棄它們，這樣就能阻止“命中”Web服務(wù)器和內(nèi)網(wǎng)。對于那些使用Cisco路由器的人，另一個選擇是CAR（Committed Access Rate，承諾訪問速率）。丟棄所有的回音應(yīng)答信息包能使網(wǎng)絡(luò)避免被淹沒，但是它不能防止來自上游

11、供應(yīng)者通道的交通堵塞。如果你成為了攻擊的目標(biāo)，就要請求ISP對回音應(yīng)答信息包進(jìn)行過濾並丟棄。如果不想完全禁止回音應(yīng)答，那麼可以有選擇地丟棄那些指向你的公用Web服務(wù)器的回音應(yīng)答信息包。CAR技術(shù)由Cisco開發(fā)，它能夠規(guī)定出各種信息包類型使用的帶寬的最大值。例如，使用CAR，我們就可以精確地規(guī)定回音應(yīng)答信息包所使用的帶寬的最大值。二、何為"trinoo"，如何抵御它？trinoo是復(fù)雜的DDoS攻擊程序，它使用“master”程序?qū)?shí)際實(shí)施攻擊的任何數(shù)量的“代理”程序?qū)崿F(xiàn)自動控制。攻擊者連接到安裝了master程序的計(jì)算機(jī)，啟動master程序，然後根據(jù)一個IP地址的列表，

12、由master程序負(fù)責(zé)啟動所有的代理程序。接著，代理程序用UDP信息包沖擊網(wǎng)絡(luò)，從而攻擊目標(biāo)。在攻擊之前，侵入者為了安裝軟件，已經(jīng)控制了裝有master程序的計(jì)算機(jī)和所有裝有代理程序的計(jì)算機(jī)。下面是trinoo DDoS攻擊的基本特性以及建議采用的抵御策略1、在master程序與代理程序的所有通訊中，trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流。2、Trinoo master程序的監(jiān)視端口是27655，攻擊者一般借助telnet通過TCP連接到master程序所在計(jì)算機(jī)。入侵檢測軟件能夠搜索到使用TCP連接到端口27655的數(shù)據(jù)流。3、所有從master程序到代理

13、程序的通訊都包含字符串"l44"，並且被引導(dǎo)到代理的UDP端口27444.入侵檢測軟件檢查到UDP端口27444的連接，如果有包含字符串l44的信息包被發(fā)送過去，那麼接受這個信息包的計(jì)算機(jī)可能就是DDoS代理。4、Master和代理之間通訊受到口令的保護(hù)，但是口令不是以加密格式發(fā)送的，因此它可以被“嗅探”到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本/dittrich/misc/trinoo.analysis，要準(zhǔn)確地驗(yàn)證出trinoo代理的存在是很可能的。一旦一個代理被準(zhǔn)確地識別出來，t

14、rinoo網(wǎng)絡(luò)就可以安裝如下步驟被拆除。在代理daemon上使用"strings"命令，將master的IP地址暴露出來。與所有作為trinoo master的機(jī)器管理者聯(lián)系，通知它們這一事件。在master計(jì)算機(jī)上，識別含有代理IP地址列表的文件（默認(rèn)名""），得到這些計(jì)算機(jī)的IP地址列表。向代理發(fā)送一個偽造"trinoo"命令來禁止代理。通過crontab文件（在UNIX系統(tǒng)中）的一個條目，代理可以有規(guī)律地重新啟動，因此，代理計(jì)算機(jī)需要一遍一遍地被關(guān)閉，直到代理系統(tǒng)的管理者修復(fù)了crontab文件為止。檢查master程序的活動T

15、CP連接，這能顯示攻擊者與trinoo master程序之間存在的實(shí)時連接。如果網(wǎng)絡(luò)正在遭受trinoo攻擊，那麼系統(tǒng)就會被UDP信息包所淹沒。Trinoo從同一源地址向目標(biāo)主機(jī)上的任意端口發(fā)送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。在/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。三、何為"Tribal Flood Network"和"TFN2K"，如何抵御？Tribe Flood Network與trin

16、oo一樣，使用一個master程序與位于多個網(wǎng)絡(luò)上的攻擊代理進(jìn)行通訊。TFN可以並行發(fā)動數(shù)不勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包?？梢杂蒚FN發(fā)動的攻擊包括UDP沖擊、TCP SYN沖擊、ICMP回音請求沖擊以及ICMP廣播。以下是TFN DDoS攻擊的基本特性以及建議的抵御策略1、發(fā)動TFN時，攻擊者要訪問master程序並向它發(fā)送一個或多個目標(biāo)IP地址，然後Master程序繼續(xù)與所有代理程序通訊，指示它們發(fā)動攻擊。TFN Master程序與代理程序之間的通訊使用ICMP回音應(yīng)答信息包，實(shí)際要執(zhí)行的指示以二進(jìn)制形式包含在16位ID域中。ICMP（Intern

17、et控制信息協(xié)議）使信息包協(xié)議過濾成為可能。通過配置路由器或入侵檢測系統(tǒng)，不允許所有的ICMP回音或回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，就可以達(dá)到挫敗TFN代理的目的。但是這樣會影響所有使用這些功能的Internet程序，比如ping.TFN Master程序讀取一個IP地址列表，其中包含代理程序的位置。這個列表可能使用如"Blowfish"的加密程序進(jìn)行了加密。如果沒有加密的話，就可以從這個列表方便地識別出代理信息。2、用于發(fā)現(xiàn)系統(tǒng)上TFN代理程序的程序是td，發(fā)現(xiàn)系統(tǒng)上master程序的程序是tfn.TFN代理並不查看ICMP回音應(yīng)答信息包來自哪里，因此使用偽裝ICMP信息包沖刷掉

18、這些過程是可能的。TFN2K是TFN的一個更高級的版本，它“修復(fù)”了TFN的某些缺點(diǎn)1、在TFN2K下，Master與代理之間的通訊可以使用許多協(xié)議，例如TCP、UDP或ICMP，這使得協(xié)議過濾不可能實(shí)現(xiàn)。2、TFN2K能夠發(fā)送破壞信息包，從而導(dǎo)致系統(tǒng)癱瘓或不穩(wěn)定。3、TFN2K偽造IP源地址，讓信息包看起來好像是從LAN上的一個臨近機(jī)器來的，這樣就可以挫敗出口過濾和入口過濾。4、由于TFN2K是最近剛剛被識破的，因此還沒有一項(xiàng)研究能夠發(fā)現(xiàn)它的明顯弱點(diǎn)。在人們能夠?qū)FN2K進(jìn)行更完全的分析之前，最好的抵御方法是。加固系統(tǒng)和網(wǎng)絡(luò)，以防系統(tǒng)被當(dāng)做DDoS主機(jī)。在邊界路由器上設(shè)置出口過濾，這樣做的

19、原因是或許不是所有的TFN2K源地址都用內(nèi)部網(wǎng)絡(luò)地址進(jìn)行偽裝。請求上游供應(yīng)商配置入口過濾。四、何為"stacheldraht"，如何防範(fàn)？Stacheldraht也是基于TFN和trinoo一樣的客戶機(jī)/服務(wù)器模式，其中Master程序與潛在的成千個代理程序進(jìn)行通訊。在發(fā)動攻擊時，侵入者與master程序進(jìn)行連接。Stacheldraht增加了以下新功能攻擊者與master程序之間的通訊是加密的，以及使用rcp（remote copy，遠(yuǎn)程復(fù)制）技術(shù)對代理程序進(jìn)行更新。Stacheldraht同TFN一樣，可以並行發(fā)動數(shù)不勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝

20、源IP地址的信息包。Stacheldraht所發(fā)動的攻擊包括UDP沖擊、TCP SYN沖擊、ICMP回音應(yīng)答沖擊以及ICMP播放。以下是Stacheldraht DDoS攻擊的基本特征以及建議采取的防御措施1、在發(fā)動Stacheldraht攻擊時，攻擊者訪問master程序，向它發(fā)送一個或多個攻擊目標(biāo)的IP地址。Master程序再繼續(xù)與所有代理程序進(jìn)行通訊，指示它們發(fā)動攻擊。Stacheldraht master程序與代理程序之間的通訊主要是由ICMP回音和回音應(yīng)答信息包來完成的。配置路由器或入侵檢測系統(tǒng)，不允許一切ICMP回音和回音應(yīng)答信息包進(jìn)入網(wǎng)絡(luò)，這樣可以挫敗Stacheldraht代理

21、。但是這樣會影響所有要使用這些功能的Internet程序，例如ping.2、代理程序要讀取一個包含有效master程序的IP地址列表。這個地址列表使用了Blowfish加密程序進(jìn)行加密。代理會試圖與列表上所有的master程序進(jìn)行聯(lián)系。如果聯(lián)系成功，代理程序就會進(jìn)行一個測試，以確定它被安裝到的系統(tǒng)是否會允許它改變"偽造"信息包的源地址。通過配置入侵檢測系統(tǒng)或使用嗅探器來搜尋它們的簽名信息，可以探測出這兩個行為。代理會向每個master發(fā)送一個ICMP回音應(yīng)答信息包，其中有一個ID域包含值666，一個數(shù)據(jù)域包含字符串"skillz".如果master收到了

22、這個信息包，它會以一個包含值667的ID域和一個包含字符串"ficken"的數(shù)據(jù)域來應(yīng)答。代理和master通過交換這些信息包來實(shí)現(xiàn)周期性的基本接觸。通過對這些信息包的監(jiān)控，可以探測出Stacheldraht.一旦代理找到了一個有效master程序，它會向master發(fā)送一個ICMP信息包，其中有一個偽造的源地址，這是在執(zhí)行一個偽造測試。這個假地址是"".如果master收到了這個偽造地址，在它的應(yīng)答中，用ICMP信息包數(shù)據(jù)域中的"spoofworks"字符串來確認(rèn)偽造的源地址是奏效的。通過監(jiān)控這些值，也可以將Stach

23、eldraht檢測出來。3、Stacheldraht代理並不檢查ICMP回音應(yīng)答信息包來自哪里，因此就有可能偽造ICMP信息包將其排除。4、Stacheldraht代理程序與TFN和trinoo一樣，都可以用一個C程序來探測，它的地址是/dittrich/misc/ddos_scan.tar.五、如何配置路由器、防火牆和入侵檢測系統(tǒng)來抵御常見DDoS攻擊？1、抵御Smurf。確定你是否成為了攻擊平臺對不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包進(jìn)行監(jiān)控；監(jiān)控大容量的回音請求和回音應(yīng)答信息包。避免被當(dāng)做一個攻擊平臺在所有路由器上禁止IP廣播功能；將不是來自于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。減輕攻擊的危害在邊界路由器對回音應(yīng)答信息包進(jìn)行過濾，並丟棄；對于Cisco路由器，使用CAR來規(guī)定回音應(yīng)答信息包可以使用的帶寬最大值。2、抵御trinoo。確定你