Trinoo DDoS攻击实例及防范方法

　　由于目前版本的trinoo尚未采用IP地址欺骗，因此在被攻击的主机系统日志里我们可以看到如下纪录:

　　Mar 20 14:40:34 victim snmpXdmid: Will attempt to re-establish connection.

　　Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 11.11.11.11.59841: The

　　message has a wrong header type (0x0)

　　Mar 20 14:40:35 victim snmpdx: error while receiving a pdu from 22.22.22.22.43661: The

　　message has a wrong header type (0x0)

　　Mar 20 14:40:36 victim snmpdx: error while receiving a pdu from 33.33.33.33.40183: The

　　message has a wrong header type (0x0)

　　Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type

　　(0x0).

　　Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1.

　　Mar 20 14:40:36 victim snmpXdmid: Will attempt to re-establish connection.

　　Mar 20 14:40:36 victim snmpXdmid: Error receiving PDU The message has a wrong header type

　　(0x0).

　　Mar 20 14:40:36 victim snmpXdmid: Error receiving packet from agent; rc = -1.

　　由上述日志，我们不难看出发起攻击的ip地址，这一问题，通过ip spoof在后期的软件tfn，tfn2k等软件中得到了解决，给被攻击者找出肇事者进一步增加了难度。

　　Trinoo等DDoS攻击软件的出现，对网络的安全产生了巨大的挑战，借助这种在网上可以得到的公开软件，任何一个普通的上网者对网络的安全都构成了潜在的威胁，那么能不能做一些预防工作呢?

　　有一些是可以做的，

　　首先，检测自己的系统是否被植入了攻击守护程序，最简单的办法，检测上述提到的udp端口，如netstat -a | grep udp 端口号，如果得到listen等激活状态，就要注意了，或者用专门的检测软件，这里推荐美国FBI专门研制的Find Distributed Denial of Service (find_ddos) ， 最新版本的可检测到tfn2k client， tfn2k daemon， trinoo daemon， trinoo master， tfn daemon， tfn client， stacheldraht master， stacheldraht client， stachelddraht demon和 tfn-rush client等目前几乎所有流行攻击软件。 它的运行很简单，解开包，运行find_ddos即可，下面为在一台可疑设备运行结果，

　　Logging output to: LOG

　　Scanning running processes...

　　/proc/795/object/a.out: trinoo daemon

　　/usr/bin/gcore: core.795 dumped

　　/proc/800/object/a.out: trinoo master

　　/usr/bin/gcore: core.800 dumped

　　Scanning "/tmp"...

　　Scanning "/"...

　　/yiming/tfn2k/td: tfn2k daemon

　　/yiming/tfn2k/tfn: tfn2k client

　　/yiming/trinoo/daemon/ns: trinoo daemon

　　/yiming/trinoo/master/master: trinoo master

　　/yiming/trinoo/master/...: possible IP list file

　　NOTE: This message is based on the filename being suspicious, and is not

　　based on an analysis of the file contents. It is up to you to examine the

　　file and decide whether it is actually an IP list file related to a DDOS

　　tool.

　　/yiming/stacheldrahtV4/leaf/td: stacheldraht daemon

　　/yiming/stacheldrahtV4/telnetc/client: stacheldraht client

　　/yiming/stacheldrahtV4/td: stacheldraht daemon

　　/yiming/stacheldrahtV4/client: stacheldraht client

　　/yiming/stacheldrahtV4/mserv: stacheldraht master

　　ALERT: One or more DDOS tools were found on your system.

　　Please examine LOG and take appropriate action.

　　看来这台设备的攻击守护程序还不少呢，系统管理员要注意啦!

　　其次，封掉不必要的UDP服务，如echo,chargen，减少udp攻击的入口。

　　第三，在路由器连接骨干网络的端口结合采用CEF和ip verify unicast reverse-path，挡住一部分ip spoof,syn的攻击。同时使用access control lists将可能被使用的网络保留地址封掉。借助使用CAR技术来限制 ICMP 报文大小。具体使用可查阅cisco网站。

　　第四，在敏感主机如www服务器使用ip filter软件。

　　截至目前，实际很彻底的防御手段还没有出现，但采用上述做法可以较大地减小不安全性。

　　Internet的发展，永远是一场不会停止的网络安全攻与防的较量。