UDP Flood分布式攻击的防范方法

下面以trinoo为例分析此类攻击的防范方法。

在master程序与代理程序的所有通讯中，trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。

Trinoo master程序的监听duan kou是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到duan kou27655的数据流。

所有从master程序到代理程序的通讯都包含字符串“l44”，并且被引导到代理的UDP duan kou27444。入侵检测软件检查到UDP duan kou27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。

Master和代理之间通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本http://staff.washington.edu/dittrich/misc/trinoo.analysis，要准确地验证出trinoo代理的存在是很可能的。

一旦一个代理被准确地识别出来，trinoo网络就可以安装如下步骤被拆除：

在代理daemon上使用“strings”ming令，将master的IP地址暴露出来。

与所有作为trinoo master的机器管理者联系，通知它们这一事件。

在master计算机上，识别含有代理IP地址列表的文件(默认名“...”)，得到这些计算机的IP地址列表。

向代理发送一个伪造“trinoo”ming令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动， 因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。

检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。

如果网络正在遭受trinoo攻击，那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意duan kou发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一来源IP地址、同一目的IP地址、同一源duan kou，但是不同的目的duan kou。