http://forums.zdnet.com.cn/cgi-bin/topic.cgi?forum=13&topic=365&show=25 進入2000年以來，網路遭受攻擊事件不斷發生，全球許多著名網站如yahoo、cnn、buy、ebay、fbi，包括中國的新浪網相繼遭到不名身份的黑客攻擊，值得注意的是，在這些攻擊行?中，黑客擯棄了以往常常採用的更改主頁這一對網站實際破壞性有限的做法，取而代之的是，在一定時間內，徹底使被攻擊的網路喪失正常服務功能，這種攻擊手法?DDoS，即分散式拒絕服務攻擊(Distributeddenialofservice)。 簡單的講，拒絕服務就是用超出被攻擊目標處理能力的海量資料包消耗可用系統，帶寬資源，致使網路服務癱瘓的一種攻擊手段。在早期，拒絕服務攻擊主要是針對處理能力比較弱的單機，如個人pc，或是窄帶寬連接的網站，對擁有高帶寬連接，高性能設備的網站影響不大，但在99年底，伴隨著DDoS的出現，這種高端網站高枕無憂的局面不復存在，與早期的DoS攻擊由單台攻擊主機發起，單兵作戰相較，DDoS實現是借助數百，甚至數千台被植入攻擊守護進程的攻擊主機同時發起的集團作戰行?，在這種幾百，幾千對一的較量中，網路服務提供商所面對的破壞力是空前巨大的。拒絕服務攻擊自問世以來，衍生了多種形式，現將兩種使用較頻繁的TCP-SYNflood，UDPflood做一個介紹。 TCP-SYNflood又稱半開式連接攻擊，每當我們進行一次標準的TCP連接(如WWW瀏覽，下載文件等)會有一個一個三次握手的過程，首先是請求方向服務方發送一個SYN消息，服務方收到SYN後，會向請求方回送一個SYN-ACK表示確認，當請求方收到SYN-ACK後則再次向服務方發送一個ACK消息，一次成功的TCP連接由此就建立，可以進行後續工作了。 而TCP-SYNflood在它的實現過程中只有前兩個步驟，當服務方收到請求方的SYN並回送SYN-ACK確認消息後，請求方由於採用源位址欺騙等手段，致使服務方得不到ACK回應，這樣，服務方會在一定時間處於等待接收請求方ACK消息的狀態，一台伺服器可用的TCP連接是有限的，如果惡意攻擊方快速連續的發送此類連接請求，則伺服器可用TCP連接佇列很快將會阻塞，系統可用資源，網路可用帶寬急劇下降，無法向用戶提供正常的網路服務。 Udp在網路中的應用也是比較廣泛的，比如DNS解析、realaudio即時音樂、網路管理、聯網遊戲等，基於udp的攻擊種類也是比較多的，如目前在互連網上提供www、mail等服務的設備一般?使用unix作業系統的伺服器，他們默認是開放一些有被惡意利用可能的udp服務的，如:echo,chargen.echo服務回顯接收到的每一個資料包，而原本作?測試功能的chargen服務會在收到每一個資料包時隨機反饋一些字元，如果惡意攻擊者將這兩個udp服務互指，則網路可用帶寬會很快耗盡。 自99年後半年開始，DDoS攻擊不斷在Internet出現，並在應用的過程中不斷的得到完善，在Unix或nt環境上截至目前已有一系列比較成熟的軟體?品，如Trinoo，TFN，TFN2K，STACHELDRATH等，他們基本核心及攻擊思路是很相象的，下面就通過Trinoo對這類軟體做一介紹。 Trinoo是基於UDPflood的攻擊軟體，它向被攻擊目標主機隨機埠發送全零的4位元組UDP包，被攻擊主機的網路性能在處理這些超出其處理能力垃圾資料包的過程中不斷下降，直至不能提供正常服務甚至崩潰。 Trinoo攻擊功能的實現，是通過三個模組付諸實施的： 1:攻擊守護進程(NS) 2:攻擊控制進程(MASTER) 3:用戶端(NETCAT，標準TELNET程式等)， 攻擊守護進程NS是真正實施攻擊的程式，它一般和攻擊控制進程(MASTER)所在主機分離，在原始C文件ns.c編譯的時候，需要加入可控制其執行的攻擊控制進程MASTER所在主機IP，（只有在ns.c中的IP方可發起ns的攻擊行?）編譯成功後，黑客通過目前比較成熟的主機系統漏洞破解 （如rpc.cmsd，rpc.ttdbserver，rpc.statd）可以方便的將大量NS植入因特網中有上述漏洞主機內。ns運行時，會首先向攻擊控制進程(MASTER)所在主機的31335埠發送內容?HELLO的UDP包，標示它自身的存在，隨後攻擊守護進程即處於對埠27444的偵聽狀態，等待master攻擊指令的到來。 攻擊控制進程(MASTER)在收到攻擊守護進程的HELLO包後，會在自己所在目錄生成一個加密的名?...的可利用主機表文件，MASTER的?動是需要密碼的，在正確輸入默認密碼gOrave後，MASTER即成功?動，它一方面偵聽埠31335，等待攻擊守護進程的HELLO包，另一方面偵聽埠27665，等待用戶端對其的連接。當用戶端連接成功並發出指令時，MASTER所在主機將向攻擊守護進程ns所在主機的27444埠傳遞指令。 用戶端不是trinoo自帶的一部分，可用標準的能提供TCP連接的程式，如TELNET，NETCAT等，連接MASTER所在主機的27665埠，輸入默認密碼betaalmostdone後，即完成了連接工作，進入攻擊控制可操作的提示狀態。 目前版本的trinoo有六個可用命令，mtimer:設定攻擊時長，如mtimer60，攻擊60秒，如果不設置的話，默認是無限。dos:對某一目標主機實施攻擊，如dos12.34.45.56mdie:停止正在實施的攻擊，使用這一功能需要輸入口令killme，mping:請求攻擊守護進程NS回應，監測ns是否工作。mdos，對多個目標主機實施攻擊，msize:設置攻擊UDP包的大小。 我們來看一次攻擊的實例: 被攻擊的目標主機victimIP?:12.23.34.45 ns被植入三台sun的主機裏，他們的IP對應關係分別?client1:11.11.11.11client2:22.22.22.22client3:33.33.33.33master所在主機?masterhost:11.22.33.44首先我們要?動各個進程，在client1，2，3上分別執行ns，?動攻擊守護進程，其次，在master所在主機?動master masterhost#./master ??gOrave(系統示輸入密碼，輸入gOrave後master成功?動) trinoov1.07d2 f3 c[Mar202000:14:38:49](連接成功) 在任意一台與網路連通的可使用telnet的設備上，執行 telnet 11.22.33.44 27665 Escape character is '^]'. betaalmostdone (輸入密碼) trinoo v1.07d2 f3 c..[rpm8d/cb4Sx/] trinoo> (進入提示符) trinoo> mping (我們首先來監測一下各個攻擊守護進程是否成功?動) mping: Sending a PING to every Bcasts. trinoo> PONG 1 Received from 11.11.11.11 PONG 2 Received from 22.22.22.22 PONG 3 Received from 33.33.33.33 (成功回應) trinoo> mtimer 60 (設定攻擊時間?60秒) mtimer: Setting timer on bcast to 60. trinoo> dos 12.23.34.45 DoS: Packeting 12.23.34.45...... 至此一次攻擊結束，此時ping12.23.34.45，會得到icmp不可到達反饋，目標主機此時與網路的正常連接已被破壞。 由於目前版本的trinoo尚未採用IP位址欺騙，因此在被攻擊的主機系統日誌裏我們可以看到如下紀錄: Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection. Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 11.11.11.11.59841: The message has a wrong header type (0x0) Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 22.22.22.22.43661: The message has a wrong header type (0x0) Mar 20 14:40:36 victim snmpdx: error while receiving a pdu from 33.33.33.33.40183: The message has a wrong header type (0x0) Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0). Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from age nt; rc = -1. Mar 20 14:40:36 victim snmpXdmid: Will attempt to re-establish connection. Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0). Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from age nt; rc = -1. 由上述日誌，我們不難看出發起攻擊的ip地址，這一問題，通過ipspoof在後期的軟體tfn，tfn2k等軟體中得到了解決，給被攻擊者找出肇事者進一步增加了難度。 Trinoo等DdoS攻擊軟體的出現，對網路的安全?生了巨大的挑戰，借助這種在網上可以得到的公開軟體，任何一個普通的上網者對網路的安全都構成了潛在的威脅，那?能不能做一些預防工作呢? 有一些是可以做的，首先，檢測自己的系統是否被植入了攻擊守護程式，最簡單的辦法，檢測上述提到的udp埠，如netstat-a|grepudp埠號，如果得到listen等啟動狀態，就要注意了，或者用專門的檢測軟體，這裏推薦美國FBI專門研製的FindDistributedDenialofService(find_ddos)，最新版本的可檢測到tfn2kclient，tfn2kdaemon，trinoodaemon，trinoomaster，tfndaemon，tfnclient，stacheldrahtmaster，stacheldrahtclient，stachelddrahtdemon和tfn-rushclient等目前幾乎所有流行攻擊軟體。它的運行很簡單，解開包，運行find_ddos即可，下面?在一台可疑設備運行結果， Logging output to: LOG Scanning running processes... /proc/795/object/a.out: trinoo daemon /usr/bin/gcore: core.795 dumped /proc/800/object/a.out: trinoo master /usr/bin/gcore: core.800 dumped Scanning "/tmp"... Scanning "/"... /yiming/tfn2k/td: tfn2k daemon /yiming/tfn2k/tfn: tfn2k client /yiming/trinoo/daemon/ns: trinoo daemon /yiming/trinoo/master/master: trinoo master /yiming/trinoo/master/...: possible IP list file NOTE: This message is based on the filename being suspicious, and is not based on an analysis of the file contents. It is up to you to exa mine the file and decide whether it is actually an IP list file related to a DDOS tool. /yiming/stacheldrahtV4/leaf/td: stacheldraht daemon /yiming/stacheldrahtV4/telnetc/client: stacheldraht client /yiming/stacheldrahtV4/td: stacheldraht daemon /yiming/stacheldrahtV4/client: stacheldraht client /yiming/stacheldrahtV4/mserv: stacheldraht master ALERT: One or more DDOS tools were found on your system. Please examine LOG and take appropriate action. 看來這台設備的攻擊守護程式還不少呢，系統管理員要注意啦! 這個軟體可從下面的位址得到：http://www.fbi.gov/nipc/trinoo.htm。 其次，封掉不必要的UDP服務，如echo,chargen,減少udp攻擊的入口。 第三，在路由器連接骨幹網路的埠結合採用CEF和ipverifyunicastreverse-path，擋住一部分ipspoof,syn的攻擊。同時使用accesscontrollists將可能被使用的網路保留地址封掉。借助使用CAR技術來限制ICMP報文大小。具體使用可查閱cisco網站。 第四，在敏感主機如www伺服器使用ipfilter軟體。 截至目前，實際很徹底的防禦手段還沒有出現，但採用上述做法可以較大地減小不安全性。 Internet的發展，永遠是一場不會停止的網路安全攻與防的較量。 *************************************************************************** 哈哈&兵燹 最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind

可以請問一下嗎? 我執行時會發生send error(socket error)10004 我查MSDN他給我的回覆是當 以阻攔式進行的WinSock函式被WSACancelBlockingCall()中斷的時候，這個阻攔式函式會得到WSAEINTR這個錯誤訊息。 因為我是這方面的初學者，我不太懂耶，可以幫我解釋一下原因嗎? 麻煩各位了，我想多學一點有關的東西。