当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 面对“Trinoo攻击”,应该如何抵御

杀毒防毒
杀毒的几条基本技巧
遭遇了“word文档杀手”病毒怎么办?
瑞星卡卡6.0阻挡木马病毒试用
奇虎360杀毒软件升级错误解决办法
扫描硬盘有效清除硬盘内隐藏的木马
识别病毒文件的四个非常不错的方法
免费的杀毒软件真的就能成功吗?
瑞星卡卡上网安全助手6.0贴心小功能
ESET NOD32杀毒软件安全套装设置技巧
MSN传播的NEW PHOTO病毒清除实战
卡巴斯基2009最新版设置自己的隐私文件
杀毒软件ESET NOD32适宜笔记本电脑选用
卡巴斯基激活码论坛卡币兑换活动
微软最大安全漏洞:木马藏于图片中
为卡巴斯基优化,提高杀毒效率
未知病毒与日俱增,杀毒软件该如何应对?
恢复瑞星全功能安全软件的监控和查杀设置
瑞星发布挂马攻击网站排行
PDF文件0Day漏洞解决方案
杀毒软件的主流技术介绍

杀毒防毒 中的 面对“Trinoo攻击”,应该如何抵御


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 43 ::
收藏到网摘: n/a

Trinoo使用“Master”程序对实际实施攻击的“代理”程序实现自动控制,让代理程序用UDP信息包冲击网络,从而对目标进行攻击。抵御策略如下:

1.在Master程序与代理程序的所有通信中,Trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流。

2.Trinoo Master程序的监听端口是27655,攻击者一般借助Telnet通过TCP连接到Master程序所在计算机。入侵检测软件能够搜索到使用TCP并连接到端口27655的数据流。

3.所有从Master程序到代理程序的通信都包含字符串“l44”,并且被引导到代理的UDP端口27444。入侵检测软件检查到UDP端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。

4.Master和代理之间通信受到口令的保护,但是口令不是以加密格式发送的,因此它可以被“嗅探”到并被检测出来。而一旦一个代理被准确地识别出来,Trinoo网络就可以按照如下步骤被拆除:
在代理Daemon上使用“strings”命令,将Master的IP地址暴露出来。与所有作为Trinoo Master的机器管理者联系,通知他们这一事件。在Master计算机上,识别含有代理IP地址列表的文件(默认名“...”),得到这些计算机的IP地址列表。向代理发送一个伪造“Trinoo”命令来禁止代理。

通过crontab 文件(在UNIX系统中)的一个条目,代理可以有规律地重新启动。因此,代理计算机需要被反复地关闭,直到代理系统的管理者修复了crontab文件为止。

最后检查Master程序的活动TCP连接,这能显示攻击者与Trinoo Master程序之间存在的实时连接。