当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 面对“Trinoo攻击”,应该如何抵御

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 面对“Trinoo攻击”,应该如何抵御


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 35 ::
收藏到网摘: n/a

Trinoo使用“Master”程序对实际实施攻击的“代理”程序实现自动控制,让代理程序用UDP信息包冲击网络,从而对目标进行攻击。抵御策略如下:

1.在Master程序与代理程序的所有通信中,Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流。

2.Trinoo Master程序的监听端口是27655,攻击者一般借助Telnet通过TCP连接到Master程序所在计算机。入侵检测软件能够搜索到使用TCP并连接到端口27655的数据流。

3.所有从Master程序到代理程序的通信都包含字符串“l44”,并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。

4.Master和代理之间通信受到口令的保护,但是口令不是以加密格式发送的,因此它可以被“嗅探”到并被检测出来。而一旦一个代理被准确地识别出来,Trinoo网络就可以按照如下步骤被拆除:
在代理Daemon上使用“strings”命令,将Master的IP地址暴露出来。与所有作为Trinoo Master的机器管理者联系,通知他们这一事件。在Master计算机上,识别含有代理IP地址列表的文件(默认名“...”),得到这些计算机的IP地址列表。向代理发送一个伪造“Trinoo”命令来禁止代理。

通过crontab 文件(在UNIX系统中)的一个条目,代理可以有规律地重新启动。因此,代理计算机需要被反复地关闭,直到代理系统的管理者修复了crontab文件为止。

最后检查Master程序的活动TCP连接,这能显示攻击者与Trinoo Master程序之间存在的实时连接。