拒絕服務(wù)攻擊原理及解決方法

1、拒絕服務(wù)攻擊原理及解決方法Internet給全世界的人們帶來了無限的生機(jī)，真正實(shí)現(xiàn)了無國界的全球村。但是還有很多困繞我們的因素，象IP地址的短缺，大量帶寬的損耗，以及政府規(guī)章的限制和編程技術(shù)的不足?，F(xiàn)在，由于多年來網(wǎng)絡(luò)系統(tǒng)累積下了無數(shù)的漏洞，我們將面臨著更大的威脅，網(wǎng)絡(luò)中潛伏的好事者將會(huì)以此作為缺口來對(duì)系統(tǒng)進(jìn)行攻擊，我們也不得不為以前的疏忽付出更大的努力。雖然大多的網(wǎng)絡(luò)系統(tǒng)產(chǎn)品都標(biāo)榜著安全的旗號(hào)，但就我們現(xiàn)在的網(wǎng)絡(luò)協(xié)議和殘缺的技術(shù)來看，危險(xiǎn)無處不在。拒絕服務(wù)攻擊是一種遍布全球的系統(tǒng)漏洞，黑客們正醉心于對(duì)它的研究，而無數(shù)的網(wǎng)絡(luò)用戶將成為這種攻擊的受害者。TribeFloodNetwork,tfn

2、2k,smurf,targa還有許多的程序都在被不斷的開發(fā)出來。這些程序想瘟疫一樣在網(wǎng)絡(luò)中散布開來，使得我們的村落更為薄弱，我們不得不找出一套簡(jiǎn)單易用的安全解決方案來應(yīng)付黑暗中的攻擊。在這篇文章中我們將會(huì)提供： 對(duì)當(dāng)今網(wǎng)絡(luò)中的拒絕服務(wù)攻擊的討論。 安全環(huán)境中的一些非技術(shù)性因素以及我們必須克服的一些障礙問題。 如何認(rèn)清產(chǎn)品推銷商所提供的一些謊言。在我們正式步入對(duì)這些問題的技術(shù)性討論之前，讓我們先從現(xiàn)實(shí)的生活中的實(shí)際角度來看一下這些困繞我們的問題。當(dāng)前的技術(shù)概況在我們進(jìn)入更為詳細(xì)的解決方案之前，讓我們首先對(duì)問題做一下更深入的了解。與安全相關(guān)的這些小問題如果詳細(xì)來講的話都能成為一個(gè)大的章節(jié)，但限于篇

3、幅的原因，我們只能先作一下大體的了解。 軟件弱點(diǎn)是包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷，這些缺陷大多是由于錯(cuò)誤的程序編制，粗心的源代碼審核，無心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻?。根?jù)錯(cuò)誤信息所帶來的對(duì)系統(tǒng)無限制或者未經(jīng)許可的訪問程度，這些漏洞可以被分為不同的等級(jí)。 典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過載。當(dāng)一個(gè)對(duì)資源的合理請(qǐng)求大大超過資源的支付能力時(shí)就會(huì)造成拒絕服務(wù)攻擊（例如，對(duì)已經(jīng)滿載的Web服務(wù)器進(jìn)行過多的請(qǐng)求。）拒絕服務(wù)攻擊還有可能是由于軟件的弱點(diǎn)或者對(duì)程序的錯(cuò)誤配置造成的。區(qū)分惡意的拒絕服務(wù)攻擊和非惡意的服務(wù)超載依賴于請(qǐng)求發(fā)起者對(duì)資源的請(qǐng)求是否過份，從而使得其

4、他的用戶無法享用該服務(wù)資源。 錯(cuò)誤配置也會(huì)成為系統(tǒng)的安全隱患。這些錯(cuò)誤配置通常發(fā)生在硬件裝置，系統(tǒng)或者應(yīng)用程序中。如果對(duì)網(wǎng)絡(luò)中的路由器，防火墻，交換機(jī)以及其他網(wǎng)絡(luò)連接設(shè)備都進(jìn)行正確的配置會(huì)減小這些錯(cuò)誤發(fā)生的可能性。如果發(fā)現(xiàn)了這種漏洞應(yīng)當(dāng)請(qǐng)教專業(yè)的技術(shù)人員來修理這些問題。如果換個(gè)角度，也可以說是如下原因造成的： 錯(cuò)誤配置。錯(cuò)誤配置大多是由于一些沒經(jīng)驗(yàn)的，無責(zé)任員工或者錯(cuò)誤的理論所導(dǎo)致的。開發(fā)商一般會(huì)通過對(duì)您進(jìn)行簡(jiǎn)單的詢問來提取一些主要的配置信息，然后在由經(jīng)過專業(yè)培訓(xùn)并相當(dāng)內(nèi)行的專業(yè)人士來解決問題。 軟件弱點(diǎn)。由于使用的軟件幾乎完全依賴于開發(fā)商，所以對(duì)于由軟件引起的漏洞只能依靠打補(bǔ)丁，安裝hotf

5、ixes和Servicepacks來彌補(bǔ)。當(dāng)某個(gè)應(yīng)用程序被發(fā)現(xiàn)有漏洞存在，開發(fā)商會(huì)立即發(fā)布一個(gè)更新的版本來修正這個(gè)漏洞。 拒絕服務(wù)攻擊。拒絕服務(wù)攻擊大多是由于錯(cuò)誤配置或者軟件弱點(diǎn)導(dǎo)致的。某些DoS攻擊是由于開發(fā)協(xié)議固有的缺陷導(dǎo)致的，某些DoS攻擊可以通過簡(jiǎn)單的補(bǔ)丁來解決，還有一些導(dǎo)致攻擊的系統(tǒng)缺陷很難被彌補(bǔ)。最后，還有一些非惡意的拒絕服務(wù)攻擊的情況，這些情況一般是由于帶寬或者資源過載產(chǎn)生瓶頸導(dǎo)致的，對(duì)于這種問題沒有一個(gè)固定的解決方案。深入DoSDoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件

6、系統(tǒng)空間容量，開放的進(jìn)程或者向內(nèi)的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因?yàn)槿魏问露加幸粋€(gè)極限，所以，總能找到一個(gè)方法使請(qǐng)求的值大于該極限值，因此就會(huì)使所提供的服務(wù)資源匱乏，象是無法滿足需求。千萬不要自認(rèn)為自己擁有了足夠?qū)挼膸捑蜁?huì)有一個(gè)高效率的網(wǎng)站，拒絕服務(wù)攻擊會(huì)使所有的資源變得非常渺小。傳統(tǒng)上，攻擊者所面臨的主要問題是網(wǎng)絡(luò)帶寬，由較小的網(wǎng)絡(luò)規(guī)模和較慢的網(wǎng)絡(luò)速度，無法使攻擊者發(fā)出過多的請(qǐng)求，然而，類似"thepingofdeath"的攻擊類型緊需要很少量的包就可以摧毀一個(gè)沒有打過補(bǔ)丁的U

7、NIX系統(tǒng)。當(dāng)然，多數(shù)的DoS攻擊還是需要相當(dāng)大的帶寬的，但是高帶寬是大公司所擁有的，而以個(gè)人為主的黑客很難享用。為了克服這個(gè)缺點(diǎn)，惡意的攻擊者開發(fā)了分布式的攻擊。這樣，攻擊者就可以利用工具集合許多的網(wǎng)絡(luò)帶寬來對(duì)同一個(gè)目標(biāo)發(fā)送大量的請(qǐng)求。以下的兩種情況最容易導(dǎo)致拒絕服務(wù)攻擊： 由于程序員對(duì)程序錯(cuò)誤的編制，導(dǎo)致系統(tǒng)不停的建立進(jìn)程，最終耗盡資源，只能重新啟動(dòng)機(jī)器。不同的系統(tǒng)平臺(tái)都會(huì)采取某些方法可以防止一些特殊的用戶來占用過多的系統(tǒng)資源，我們也建議盡量采用資源管理的方式來減輕這種安全威脅。 還有一種情況是由磁盤存儲(chǔ)空間引起的。假如一個(gè)用戶有權(quán)利存儲(chǔ)大量的文件的話，他就有可能只為系統(tǒng)留下很小的空間用來

8、存儲(chǔ)日志文件等系統(tǒng)信息。這是一種不良的操作習(xí)慣，會(huì)給系統(tǒng)帶來隱患。這種情況下應(yīng)該對(duì)系統(tǒng)配額作出考慮。從安全的角度來看，本地的拒絕服務(wù)攻擊可以比較容易的追蹤并消除。而我們這篇文章主要是針對(duì)于網(wǎng)絡(luò)環(huán)境下的DoS攻擊。下面我們大體討論一下較為常見的基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊： Smurf（directedbroadcast）o廣播信息可以通過一定的手段（通過廣播地址或其他機(jī)制）發(fā)送到整個(gè)網(wǎng)絡(luò)中的機(jī)器。當(dāng)某臺(tái)機(jī)器使用廣播地址發(fā)送一個(gè)ICMPecho請(qǐng)求包時(shí)（例如PING）,一些系統(tǒng)會(huì)回應(yīng)一個(gè)ICMPecho回應(yīng)包，也就是說，發(fā)送一個(gè)包會(huì)收到許多的響應(yīng)包。Smurf攻擊就是使用這個(gè)原理來進(jìn)行的，當(dāng)然，它還需

9、要一個(gè)假冒的源地址。也就是說在網(wǎng)絡(luò)中發(fā)送源地址為要攻擊主機(jī)的地址，目的地址為廣播地址的包，會(huì)使許多的系統(tǒng)響應(yīng)發(fā)送大量的信息給被攻擊主機(jī)（因?yàn)樗牡刂繁还粽呒倜傲耍?。使用網(wǎng)絡(luò)發(fā)送一個(gè)包而引出大量回應(yīng)的方式也被叫做"放大器"，這些smurf放大器可以在網(wǎng)站上獲得，一些無能的且不負(fù)責(zé)任的網(wǎng)站仍有很多的這種漏洞。 SYNflooding一臺(tái)機(jī)器在網(wǎng)絡(luò)中通訊時(shí)首先需要建立TCP握手，標(biāo)準(zhǔn)的TCP握手需要三次包交換來建立。一臺(tái)服務(wù)器一旦接收到客戶機(jī)的SYN包后必須回應(yīng)一個(gè)SYN/ACK包，然后等待該客戶機(jī)回應(yīng)給它一個(gè)ACK包來確認(rèn)，才真正建立連接。然而，如果只發(fā)送初始

10、化的SYN包，而不發(fā)送確認(rèn)服務(wù)器的ACK包會(huì)導(dǎo)致服務(wù)器一直等待ACK包。由于服務(wù)器在有限的時(shí)間內(nèi)只能響應(yīng)有限數(shù)量的連接，這就會(huì)導(dǎo)致服務(wù)器一直等待回應(yīng)而無法響應(yīng)其他機(jī)器進(jìn)行的連接請(qǐng)求。 Slashdoteffect這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載，一般這些網(wǎng)絡(luò)流量是針對(duì)某一個(gè)頁面或一個(gè)鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會(huì)在訪問量較大的網(wǎng)站上正常發(fā)生，但我們一定要把這些正常現(xiàn)象和拒絕服務(wù)攻擊區(qū)分開來。如果您的服務(wù)器突然變得擁擠不堪，甚至無法響應(yīng)再多的請(qǐng)求時(shí)，您應(yīng)當(dāng)仔細(xì)檢查一下這個(gè)資源匱乏的現(xiàn)象，確認(rèn)在10000次點(diǎn)擊里全都是合法用戶進(jìn)行的，還是由5000個(gè)合法用戶和一

11、個(gè)點(diǎn)擊了5000次的攻擊者進(jìn)行的。拒絕服務(wù)一般都是由過載導(dǎo)致的，而過載一般是因?yàn)檎?qǐng)求到達(dá)了極限。拒絕服務(wù)攻擊的發(fā)展由于我們防范手段的加強(qiáng)，拒絕服務(wù)攻擊手法也在不斷的發(fā)展。TribeFloodNetwork(tfn)和tfn2k引入了一個(gè)新概念：分布式。這些程序可以使得分散在互連網(wǎng)各處的機(jī)器共同完成對(duì)一臺(tái)主機(jī)攻擊的操作，從而使主機(jī)看起來好象是遭到了不同位置的許多主機(jī)的攻擊。這些分散的機(jī)器由幾臺(tái)主控制機(jī)操作進(jìn)行多種類型的攻擊，如UDPflood,SYNflood等。操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的缺陷在不斷地被發(fā)現(xiàn)并被黑客所利用來進(jìn)行惡意的攻擊。如果我們清楚的認(rèn)識(shí)到了這一點(diǎn)，我們應(yīng)當(dāng)使用下面的兩步來盡量阻止網(wǎng)

12、絡(luò)攻擊保護(hù)我們的網(wǎng)絡(luò)：A)盡可能的修正已經(jīng)發(fā)現(xiàn)的問題和系統(tǒng)漏洞。B)識(shí)別，跟蹤或禁止這些令人討厭的機(jī)器或網(wǎng)絡(luò)對(duì)我們的訪問。我們先來討論一下B),在B)中我們面臨的主要問題是如何識(shí)別那些惡意攻擊的主機(jī)，特別是使用拒絕服務(wù)攻擊的機(jī)器。因?yàn)檫@些機(jī)器隱藏了他們自己的地址，而冒用被攻擊者的地址。攻擊者使用了數(shù)以千記的惡意偽造包來使我們的主機(jī)受到攻擊。"tfn2k"的原理就象上面講的這么簡(jiǎn)單，而他只不過又提供了一個(gè)形象的界面。假如您遭到了分布式的拒絕服務(wù)攻擊，實(shí)在是很難處理。解決此類問題的一些專業(yè)手段-包過濾及其他的路由設(shè)置有一些簡(jiǎn)單的手法來防止拒絕服務(wù)式的攻擊。最為常用的一種當(dāng)然是時(shí)

13、刻關(guān)注安全信息以期待最好的方法出現(xiàn)。管理員應(yīng)當(dāng)訂閱安全信息報(bào)告，實(shí)時(shí)的關(guān)注所有安全問題的發(fā)展。：)第二步是應(yīng)用包過濾的技術(shù)，主要是過濾對(duì)外開放的端口。這些手段主要是防止假冒地址的攻擊，使得外部機(jī)器無法假冒內(nèi)部機(jī)器的地址來對(duì)內(nèi)部機(jī)器發(fā)動(dòng)攻擊。我們可以使用CiscoIOS來檢查路由器的詳細(xì)設(shè)置，當(dāng)然，它也不僅限于Cisco的設(shè)備，但由于現(xiàn)在Cisco設(shè)備在網(wǎng)絡(luò)中占有了越來越多的市場(chǎng)份額(83%),所以我們還是以它為例子，假如還有人有其他的例子，我們也非常高興你能提出您的寶貴信息。登陸到將要配置的路由器上，在配置訪問控制列表之前先初始化一遍：c3600(config)#access-list100p

14、ermitip55anyc3600(config)#access-list100denyipanyany然后我們假設(shè)在路由器的S0上進(jìn)行ACL的設(shè)置，我們進(jìn)入S0口，并進(jìn)入配置狀態(tài)：c3600(config)#intser0c3600(config-if)#ipaccess-group100out通過顯示access-list來確認(rèn)訪問權(quán)限已經(jīng)生效：c3600#shoaccess-lists100ExtendedIPaccesslist100permitip55any(5matches)denyipanyany(252

15、02matches)對(duì)于應(yīng)該使用向內(nèi)的包過濾還是使用向外的包過濾一直存在著爭(zhēng)論。RFC2267建議在全球范圍的互連網(wǎng)上使用向內(nèi)過濾的機(jī)制，但是這樣會(huì)帶來很多的麻煩，在中等級(jí)別的路由器上使用訪問控制列表不會(huì)帶來太大的麻煩，但是已經(jīng)滿載的骨干路由器上會(huì)受到明顯的威脅。另一方面，ISP如果使用向外的包過濾措施會(huì)把過載的流量轉(zhuǎn)移到一些不太忙的設(shè)備上。ISP也不關(guān)心消費(fèi)者是否在他們的邊界路由器上使用這種技術(shù)。當(dāng)然，這種過濾技術(shù)也并不是萬無一失的，這依賴于管理人員采用的過濾機(jī)制。我們經(jīng)常會(huì)聽到設(shè)備銷售或集成商這樣的推脫之詞，他們總是說使用ACL會(huì)導(dǎo)致路由器和網(wǎng)絡(luò)性能的下降。ACL確實(shí)會(huì)降低路由器的性能并加

16、重CPU的負(fù)載，但這是微乎其微的。我們?cè)?jīng)在Cisco2600和3600系列路由器上作過實(shí)驗(yàn)：以下是不使用和使用ACL時(shí)的對(duì)照表：TestSpeedw/oACL(Mbps)w/ACL(Mbps)w/oACL(totaltime)w/ACL(totaltime)%changeCisco2600100Mbps-»100MbpsFiletransfers36.17Mbps35.46Mbps88.590.22.50%Cisco360010Mbps-»10MbpsFiletransfers7.95Mbps8.0Mbps3973950.30%使用的路由器配置如下： Cisco3640(

17、64MBRAM,R4700processor,IOSv12.0.5T) Cisco2600(128MBRAM,MPC860processor,IOSv12.0.5T)由表我們可以看出，在使用ACL前后對(duì)路由器性能的影響并不是很大。使用DNS來跟蹤匿名攻擊也許大家仍舊保存著僥幸心理，認(rèn)為這些互連網(wǎng)上給我們帶來無數(shù)麻煩DoS漏洞或許隨著路由器包過濾，網(wǎng)絡(luò)協(xié)議升級(jí)到IPv6或者隨時(shí)的遠(yuǎn)程響應(yīng)等手段變得越來越不重要。但從一個(gè)具有責(zé)任感的網(wǎng)管的觀點(diǎn)來看，我們的目標(biāo)并不是僅僅阻止拒絕服務(wù)攻擊，而是要追究到攻擊的發(fā)起原因及操作者。當(dāng)網(wǎng)絡(luò)中有人使用假冒了源地址的工具(如tfn2k)時(shí)，我們雖然沒有現(xiàn)成的工具來

18、確認(rèn)它的合法性，但我們可以通過使用DNS來對(duì)其進(jìn)行分析：假如攻擊者選定了目標(biāo),他必須首先發(fā)送一個(gè)DNS請(qǐng)求來解析這個(gè)域名，通常那些攻擊工具工具會(huì)自己執(zhí)行這一步，調(diào)用gethostbyname()函數(shù)或者相應(yīng)的應(yīng)用程序接口，也就是說，在攻擊事件發(fā)生前的DNS請(qǐng)求會(huì)提供給我們一個(gè)相關(guān)列表，我們可以利用它來定位攻擊者。使用現(xiàn)成工具或者手工讀取DNS請(qǐng)求日志，來讀取DNS可疑的請(qǐng)求列表都是切實(shí)可行的，然而，它有三個(gè)主要的缺點(diǎn)：l攻擊者一般會(huì)以本地的DNS為出發(fā)點(diǎn)來對(duì)地址進(jìn)行解析查詢，因此我們查到的DNS請(qǐng)求的發(fā)起者有可能不是攻擊者本身，而是他所請(qǐng)求的本地DNS服務(wù)器。盡管這樣，如果攻擊者隱藏在一個(gè)擁有

19、本地DNS的組織內(nèi)，我們就可以把該組織作為查詢的起點(diǎn)。l攻擊者有可能已經(jīng)知道攻擊目標(biāo)的IP地址，或者通過其他手段(host,ping)知道了目標(biāo)的IP地址，亦或是攻擊者在查詢到IP地址后很長(zhǎng)一段時(shí)間才開始攻擊，這樣我們就無法從DNS請(qǐng)求的時(shí)間段上來判斷攻擊者(或他們的本地服務(wù)器)。lDNS對(duì)不同的域名都有一個(gè)卻省的存活時(shí)間，因此攻擊者可以使用存儲(chǔ)在DNS緩存中的信息來解析域名。為了更好做出詳細(xì)的解析記錄，您可以把DNS卻省的TTL時(shí)間縮小，但這樣會(huì)導(dǎo)致DNS更多的去查詢所以會(huì)加重網(wǎng)絡(luò)帶寬的使用。在許多情況下，只要您擁有足夠的磁盤空間，記錄所有的DNS請(qǐng)求并不是一種有害的做法。在BIND8.2中

20、做記錄的話，可以在named.conf中假如下面的幾行：loggingchannelrequestlogfile"dns.log"categoryqueriesrequestlog;使用ngrep來處理tfn2k攻擊根據(jù)使用DNS來跟蹤tfn2k駐留程序的原理，現(xiàn)在已經(jīng)出現(xiàn)了稱為ngrep的實(shí)用工具。經(jīng)過修改的ngrep(參見附錄)可以監(jiān)聽大約五種類型的tfn2k拒絕服務(wù)攻擊(targa3,SYNflood,UDPflood,ICMPflood和smurf),它還有一個(gè)循環(huán)使用的緩存用來記錄DNS和ICMP請(qǐng)求。如果ngrep發(fā)覺有攻擊行為的話，它會(huì)將其緩存中的內(nèi)容打印出來

21、并繼續(xù)記錄ICMP回應(yīng)請(qǐng)求。假如攻擊者通過ping目標(biāo)主機(jī)的手段來挪定攻擊目標(biāo)的話，在攻擊過程中或之后記錄ICMP的回應(yīng)請(qǐng)求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使用其他的服務(wù)來核實(shí)其攻擊的效果(例如web),所以對(duì)其他的標(biāo)準(zhǔn)服務(wù)也應(yīng)當(dāng)有盡量詳細(xì)的日志記錄。還應(yīng)當(dāng)注意，ngrep采用的是監(jiān)聽網(wǎng)絡(luò)的手段，因此，ngrep無法在交換式的環(huán)境中使用。但是經(jīng)過修改的ngrep可以不必和你的DNS在同一個(gè)網(wǎng)段中，但是他必須位于一個(gè)可以監(jiān)聽到所有DNS請(qǐng)求的位置。經(jīng)過修改的ngrep也不關(guān)心目標(biāo)地址，您可以把它放置在DMZ網(wǎng)段，使它能夠檢查橫貫該網(wǎng)絡(luò)的tfn2k攻擊。從理論上講，它也可以很好的檢

22、測(cè)出對(duì)外的tfn2k攻擊。運(yùn)行ngrep,您將看到：rootlughnasadngrep#./ngrepNgrepwithTFNdetectionmodificationsbywiretrip/WatchingDNSserver:interface:eth0(/)從這里開始ngrep將監(jiān)聽tfn2k攻擊，如果檢測(cè)到攻擊，ngrep將在屏幕上打印：SunJan917:30:012000ATFN2KUDPattackhasbeendetected!Last(5000)DNSrequests:«listofIPsthatmadeDNSr

23、equests,uptoDNS_REQUEST_MAXlength»Last(1000)ICMPechorequests(pings):«listofIPsthatmadeICMPechorequests,uptoICMP_REQUEST_MAXlength»IncomingrealtimeICMPechorequests(pings):«allICMPechorequestssincetheattackwasdetected»以上的列表并不是唯一的，可以對(duì)它進(jìn)行調(diào)整讓他不僅顯示是誰請(qǐng)求，而且請(qǐng)求多少次，頻率為多少等等。在ICMPflood事件

24、中，ICMP回應(yīng)請(qǐng)求的報(bào)告中將不包括做為tfn2kflood一部分的ICMP包。Ngrep還可以報(bào)告檢測(cè)出來的除smurf之外的攻擊類型(TARGA,UDP,SYN,ICMP等)?；旌鲜降墓粼谌笔∏闆r下表現(xiàn)為ICMP攻擊，除非你屏蔽了向內(nèi)的ICMP回應(yīng)請(qǐng)求，這樣它就表現(xiàn)為UDP或SYN攻擊。這些攻擊的結(jié)果都是基本類似的。附錄-Ngrep.cwithtfn2kdetection以下的代碼在使用前應(yīng)當(dāng)更改一些參數(shù)。#defineDNS_REQUEST_MAX5000#defineICMP_REQUEST_MAX1000通知ngrep最大的請(qǐng)求跟蹤數(shù)(在檢測(cè)攻擊之前)。傳輸較為繁忙的網(wǎng)站應(yīng)當(dāng)增加這

25、一數(shù)值(網(wǎng)絡(luò)流量較為繁忙的網(wǎng)站DNS的請(qǐng)求數(shù)最好在10,000,而ICMP請(qǐng)求為2000-3000)#defineFLOOD_THRESHOLD20用在10秒中內(nèi)有多少同一類型的攻擊包來確認(rèn)為真正的攻擊。數(shù)目設(shè)計(jì)的越大，程序報(bào)受攻擊的可能性就越小。假如您老是收到錯(cuò)誤的警報(bào)，那么您應(yīng)當(dāng)增加一下這個(gè)數(shù)值。#defineDNS_SERVER_IP""Ngrep通過監(jiān)視DNS服務(wù)器的53端口的UDP包來跟蹤向內(nèi)的DNS請(qǐng)求(只有UDP)。因此，ngrep需要知道您的DNS服務(wù)器的IP地址。我們的設(shè)備可能會(huì)有多個(gè)DNS服務(wù)器，但我們認(rèn)為對(duì)一臺(tái)DNS服務(wù)器的支持足以證明

26、這項(xiàng)技術(shù)的能力。#defineTTL_THRESHOLD150tfn2kSYNflood攻擊使用的TTL值通常在200-255的范圍內(nèi)。估計(jì)到攻擊者與目標(biāo)主機(jī)之間不止50跳，因此我們可以只查找TTL時(shí)間高于150的包。假如您相信攻擊者在50跳左右，那么您可以對(duì)TTL的限制進(jìn)行一下更改。編譯更改過的ngrep編譯和安裝都非常簡(jiǎn)單。您僅需要使用以下之一來取代ngrep.c文件。處于方便起見，我們可以詳細(xì)說明。這段代碼只是在RedHat6.1和Mandrake6.5Linux上測(cè)試過。首先您需要在然后在ftp:/ftp.ee.lbl.goV/libpcap.tar.Z下載libpcap我們使用的是0

27、.40版。把文件放在臨時(shí)文件夾里并解包，tarxvzflibpcap.tar.Z然后進(jìn)行編譯cdlibpcap-0.4;./configure;make;makeinstall;makeinstall-incl假如您遇到了困難，可以參見在libpcap-0.4目錄里的README或INSTALL文件。根據(jù)我們實(shí)驗(yàn)的經(jīng)驗(yàn)，如果/usr/local/include和/usr/local/include/net目錄在linux系統(tǒng)中不存在的話，安裝會(huì)失敗。加入您在安裝時(shí)遇到了pcap.h或bpf.h的錯(cuò)誤時(shí)你可以運(yùn)行mkdir/usr/local/include;mkdir/usr/local/include/net然后重新運(yùn)行'makeinstall-i