今天去给一个用户交流，用户请求帮他看看某PC是中了什么病毒。本人对病毒方面了解甚少，故向各位牛哥请教，现象如下：

      操作系统是2000 Pro。接上网线，机器基本上类似于死机，鼠标都动不了，状态栏上的性能指示器立即飙升至顶端，此时，如果拔掉网线，就一切正常，到任务管理器里面看进程列表，发现有一个叫system的进程很可疑（表面上看，耗费的资源不大），于是试着杀之，但是结果是杀了马上就起来，杀不死，很象震荡波病毒的现象，用户电脑装了诺顿杀毒，病毒库更新时间是6月8日。
      然后，我用我装了天网防火墙的电脑接上同一根网线，并用ethreal进行抓包，发现3秒左右就探测到5000多个udp 137端口的广播包，广播的目的地址是本子网的缺省广播地址x.x.x.255。
      不知道这是什么病毒，有什么办法可以杀掉，用户等着我给他想办法呢。

可以尝试装其他杀毒软件看看，一般出现这种情况是蠕虫，这方面SYMANTEC不是特长。推荐MCAFEE看看。

然后机器系统补丁也看看。

发现3秒左右就探测到5000多个udp 137端口的广播包，广播的目的地址是本子网的缺省广播地址x.x.x.255

是哪个机器发出的看到了吗？

引用:

Originally posted by whyljf at 2005-6-16 08:28 PM:
今天去给一个用户交流，用户请求帮他看看某PC是中了什么病毒。本人对病毒方面了解甚少，故向各位牛哥请教，现象如下：

      操作系统是2000 Pro。接上网线，机器基本上类似于死机，鼠标都动不了，状态栏上的 ...

只说了操作系统类型,patch是否最新很关键,如果不是最新最好先用移动储存设备下载相关patch,具体需要哪些,可以用mbsa扫描,其中mbsa目录中的更新程序mssecure在无法上网的情况下,可以直接从以下地址下载http://download.microsoft.com/do ... /en-us/mssecure.cab
然后替换原来的mssecure.cab,目的是检测最新信息!

如果放开系统安全性直接谈病毒,实属治标不治本!

然后查毒,确保病毒库最新,推荐安全模式下!
问题还不能解决,需要分析系统运行进程及服务,工具很多,http://www.netexpert.cn/blog.php?tid=1505&uid=1229
可以找到你想要的!

问题还是不能解决的话， 把你的结果和思路说出来大家共同讨论!

[ Last edited by haiwanxue on 2005-6-17 at 02:39 ]

个人认为首先下载最新的杀毒软件库杀毒，你可以看看注册表里面是否有什么异常，比如
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run有没有异常的自动运行的程序。然后你可以把137端口关闭，然后下载windows的最新补丁！！

拔掉网线
杀毒
打补丁
给系统加一个强密码

http://www.netexpert.cn/viewthread.php?tid=631&fpage=5
看看这个，会对你的问题有帮助的

DDoS攻击又开始猖獗，全球13台互联网域名解析服务器被攻破，险些造成世界互联网的灾难！
　　
　　
　　拒绝服务（DoS/DDoS）攻击最早可追述到1996
　　年，在2000年发展到极致。全球包括Yahoo、CNN、eBay在内的十多个著名网站都遭遇过这种流量堵塞技术的攻击，仅Yahoo一家就造成了50万美元的损失。
　　
　　
　　对于业界来说，DoS攻击的原理极为简单，也早已为人们所熟知。不过，至今为止仍然没有一项技术能很好解决这类简单攻击，目前全球每周所遭遇的DoS攻击依然达到4000多次。专家认识到，虽然各种攻击层出不穷，但DoS/DDoS攻击依然是互联网面临的主要威胁。
　　
　　
　　针对正在抬头的DDoS攻击，本报结合近日出现的新技术和产品，推出相关技术专题，分析未来的攻击手段变化以及可能的抵抗措施。
　　
　　
　　重新审视DoS攻击事件，从商业网站、政府网站到互联网的命根子——域名服务器，黑客的攻击一次比一次升级，而采用的攻击技术却几乎没有改变——用最简单的流量堵塞让整个网络瘫痪。这不能不说是对目前网络安全技术的一种嘲讽。
　　
　　
　　DoS攻击日渐升级
　　
　　
　　美国东部时间2002年10月21日下午5时左右，国际互联网系统的核心，位于美国、瑞典、英国、日本等国家和地区的13个根名服务器，遭受了有史以来规模最大、最复杂的一次“分布式拒绝服务攻击”(DDoS)。整个袭击横跨全世界，规模巨大，并持续了1小时左右。
　　
　　
　　域名解析服务器是维系全球互联网正确通信的命根子，如果攻击得逞，整个互联网世界将会崩溃，就如同一个城市，如果所有的地址、门牌号码全部弄乱，人们之间的通信、联络将完全无法进行，整个城市将陷入混乱之中。国际互联网软件合作协议公司主席保罗·维克谢表示，如果10月21日黑客攻击的时间再长一点，全世界范围的国际互联网用户将可能会觉察到连网速度减慢，或是根本无法连接。
　　
　　
　　如果不是那么健忘的话，许多人对两年前那次全球黑客对商业网站的“集体绞杀”应该还记忆犹新，那是人们第一次广泛知道“拒绝服务攻击”（DoS）以及它的巨大威力。当时，全球媒体对这一事件进行了广泛报道。
　　
　　
　　为了解当时的攻击状况，记者特从故纸堆中找来当时的报道。《华盛顿邮报》称：“2000年美国当地时间2月7日上午10：15至下午1：25分，世界最大和最受欢迎的网站之一——雅虎被黑客攻击，该网站自设立以来破天荒头一次中断服务长达3个小时之久。黑客来自因特网上多个网址，显然是事先约定的，这次攻击被人称为‘分布式拒绝访问’。”一星期后，美国CNN、亚马逊、eBay、BUY.COM等商业网站都遭到了类似攻击，致使eBay、BUY等网站被迫关闭，黑客们使用了同样简单的攻击手段，向网站发送大量的信息使线路阻塞从而导致系统瘫痪。
　　
　　
　　与此同时，中国互联网站们也不容乐观：2000年2月8日下午到2月9日上午，新浪声称遭到了黑客长达18小时的攻击，致使电子邮箱系统完全瘫痪；而当当网上书店状告当时的8848公司的黑客攻击事件，更是闹得满城风雨，媒体称，“这开创了互联网时代的第一例‘黑客诉讼案’”。
　　
　　
　　DDoS攻击给商业网站造成的经济损失是巨大的。雅虎网平均每日给客户发送4.65亿个网页。事发后，虽然雅虎的发言人一再表示从经济角度说，没有造成任何影响。分析家们却不这么认为，由于雅虎的主要收入来自网上广告，在关闭的两小时内本来应该有1亿个页面被访问，也就是说黑客攻击造成该网站至少损失了50多万美元。
　　
　　
　　但是，在两三天之内，互联网发生了这样多类似的攻击似乎除了给媒体增加了新的素材外并没有引起人们更多的关注。因为，事态发展到最后，许多小网站开始声称自己遭到了类似的攻击，“我被攻击我自豪”，被攻击似乎成了网站炒做的题材之一。这让许多人感觉无聊，于是，掩盖了人们对DDoS攻击的真正关注。
　　
　　
　　此后的两年多，攻击者多次故伎重演。2001年5月，中美黑客采用同样手法发动了著名的“中美黑客大战”，美国白宫、国家安全局等站点不得不关闭服务，而中国的某些政府网站也遭到了同样的攻击。
　　
　　
　　近日发展到攻击解析全球域名的域名服务器，是DDoS攻击的一次升级活动，似乎在向全球网络安全界的技术专家示威：看你能把我怎么样！黑客似乎抱着玩的心态而“手下留情”，没有让互联网真正瘫痪。不过，谁能保证将来？
　　
　　
　　这是2002年黑客对全球互联网脆弱性一次升级的挑衅和嘲讽。专家们现在已经清醒地认识到，DoS或DDoS攻击目前以至将来都是互联网面临的头号威胁。
　　虽然多数人声称DoS/DDoS攻击方式简单，其原理和攻击源代码也早已公布，但全球DoS攻击却屡屡得逞，这不能不令人为之惊叹。
　　
　　
　　利用协议弱点
　　
　　
　　通俗地讲，DoS攻
　　击通过伪造超过服务器处理能力的访问数据耗尽系统资源而造成服务器响应阻塞，使目标计算机无法提供正常的服务。系统资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。
　　
　　
　　从攻击类型来看，DoS攻击主要分为针对一切网络设备的流量型攻击（这是目前主要的DoS攻击形式）、针对主机的堆栈突破型攻击和针对系统漏洞的特定型攻击。典型流量型攻击方法有SYN Flood、ACK Flood、UDP Flood、ICMP Flood和MStream Flood等；而堆栈突破型攻击包括Winnnuke、Jolt、Teardrop等。
　　
　　
　　流量型攻击之所以屡屡得逞并很难预防，在于它利用了TCP协议本身的弱点。以用小带宽冲击大带宽的SYN Flood为例，TCP协议规定一次正常的传输需要在通话的双方建立“三次握手”。（如图1所示）第一次握手，客户端向服务端提出连接请求；第二次握手，服务端作出回应，按照IP源地址返回数据包；第三次握手，客户端确认收到服务端返回的数据包，至此双方才算建立了完整的TCP连接。通常情况下，服务端的操作系统会使用一块限定的内存处理TCP连接请求，这个限定的内存被称为TCP缓存，如果这个缓存队列被填满，任何其他新的TCP连接请求都会被丢弃。当DoS攻击发生时，黑客用伪造的IP地址向服务端发出请求，由于它的IP地址是假的，因此在第二次握手时，数据包无法返回原来的IP地址，但服务端却会不断地尝试“握手”直到超时为止(大约75秒)，这形成了“半连接”。大量的“半连接”将目标主机的TCP缓存队列填满，而无法接受新连接，这就形成了一次成功的DoS攻击。（如图2所示）
　　　
　　图1 TCP“三次握手”建立连接
　　　
　　图2 SYN Flood攻击原理
　　由于攻击所针对的TCP协议层的缺陷短时无法改变，因此DoS也就成为了流传最广，最难防范的攻击方式。从它的攻击方式可以看出，这种攻击会导致资源的匮乏，无论服务器的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
　　
　　
　　用于域名解析服务器的ICMP/UDP Flood攻击的原理甚至更简单，它是非连接协议，黑客可采用大量经过伪造的小包攻击，降低目标主机和网络的处理能力，如果调动多台攻击机，甚至可造成直接的带宽阻塞。
　　
　　
　　多数DoS攻击形成的条件是需要大带宽，单个黑客一般不具备此条件。但他可将其他大量计算机变成“僵尸”，自动向目标网站发送大量信息，这就是分布式DoS攻击——DDoS攻击。它依靠黑客开发的各类软件实现，如Trin00、TribeFlood Network (TFN)，TFN2K和Stacheldraht等，它们多数利用操作系统的漏洞，能像病毒一样在网上传染，还能够像病毒一样潜伏，更重要的是能让“僵尸”计算机接收黑客发布的指令，在某一时刻向某个网站集体发动攻击。比如，去年流行的红色代码、Nimda等，最终可认为是对网络进行的一次DDoS攻击。
　　
　　
　　可以说，DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，而DoS攻击方式可由上述的各类方式组成。 DDoS现在被称作“黑客的终极武器”，是目前最有效也最猖獗的攻击形式，非常难以抵挡也非常难以查找攻击源，只能从网络源头、网络运营商一级通过路由回溯等技术才能缩小包围圈，但准确定位攻击源几乎难以实现。
　　
　　
　　目前全球发生的多起DoS攻击事件，基本都是在上述原理基础上的简单扩展。黑客们采用的伎俩似乎并不高明，但为什么我们很少能逃脱这类攻击呢？
　　我们不能责怪研究人员不关注DoS攻击。坦率地讲，自从1996年全球出现第一例DoS攻击时起，世界各地的研究人员就在着力开发解决这类攻击的有效方法，不过收效不大。为什么呢？
　　
　　
　　
　　解决办法有缺陷
　　
　　
　　DoS/DDoS的攻击原理和源代码早已公布，但基于同样原理的攻击依然频繁发生而目前却鲜有完全有效的解决方法。2001年，加州大学研究机构发布的一份报告中指出: 世界范围内每周至少发生四千次拒绝服务攻击。
　　
　　
　　研究人员想出了一切应对DoS攻击的方法:在人们熟知的防火墙、IDS、VPN甚至杀毒软件中，增加了预防DoS/DDoS攻击的技术，如设置诸如Random Drop、SYN Cookie、带宽限制之类的防护算法；有的专家建议让IDS与防火墙联动，在IDS通过旁路检测到DoS攻击后，立即给防火墙发布指令，抛弃无效的连接或半连接；有的在操作系统中，如微软的WIN NT4中增加了抵抗DoS的功能；对那些资金力量雄厚的服务商，专家建议采用负载均衡技术，让海量流量均衡地分配到不同的服务器中，以防止服务器的瘫痪；而许多对DoS攻击敏感的用户，往往聘请专业的安全服务公司，帮助从IDS的海量报警中，分析出真实的攻击事件，一旦发生DoS攻击事件，一般采取让技术专家将攻击源的IP地址截断的方法。因此，全球出现了许多分析DoS攻击的专业服务公司，如国际上的Riptech公司、国内的中联绿盟和玛赛公司等。
　　
　　
　　但是，迄今为止，这些办法收效甚微。
　　
　　
　　Syn Cookie（主机）/Syn gate（网关）的工作原理是由代理服务器（防火墙中）代替被保护的主机发送“第二次握手”的报文，得到合法确认后再转给被保护服务器处理连接，而没有确认的虚假连接被抛弃。它的优点是将“三次握手”的过程前移到防火墙中，因此保护了主机，缺点是防火墙成为新的性能瓶颈，这次轮到防火墙被“打瘫”而不是主机了。
　　
　　
　　Random Drop的原理是，当流量达到一定的值后，开始按照一定的算法丢弃后续报文，优点是保护了主机，缺点是丢弃了大量的正常用户的访问，实现了黑客让服务器“拒绝服务”的效果。
　　
　　
　　带宽限制是限制某种特定报文的流量或速率，并限制某些特定的来源。结果一样是限制了某些正常的流量。
　　
　　
　　这三类算法都不尽如人意！
　　
　　
　　采用通过防火墙与IDS联动抗击DoS攻击的方法也存在很大缺陷。IDS经常误报，专业为用户分析IDS日志的公司Riptech记载：在IDS的报警中，平均每6万条入侵记录中才有1次真实的攻击！而IDS 每报一次警，都将命令防火墙采取一次行动，这让防火墙不堪重负，最终造成系统服务缓慢。当攻击数据达到一定量级时，防火墙会崩溃并造成受保护主机无法与外界通讯，正好实现了拒绝服务攻击的效果。
　　
　　
　　经过测试，大多数硬件防火墙承受DoS攻击流量的上限是30Mbps，一旦超过这个值，防火墙将面临瘫痪的危险。而目前，一台普通的PC所能发起的DoS流量就能达到50Mbps，这意味着一台百兆防火墙挡不住一台PC机的攻击。例如，如果500 台计算机同时变成一台PC机的“僵尸”攻击某一个目标服务器，如果每一台只发送128kbps的流量（很正常），就将在目标计算机上产生 500 ×128kb/s = 64000 kb/s = 62.5 Mbps 的流量，这大约相当于 42 条 T1 线路，或者大约 1.4 条 T3 线路，防火墙立刻就不能动弹了。
　　
　　
　　相当多遭受攻击的网络服务商，因为没有太好的解决途径，无奈只能采用增加系统资源、扩充主机集群数量等方式的退让策略，期望通过提高主机集群的响应能力，来被动缓解攻击。这种做法，在面临高强度DoS攻击的时候，其资源耗费和维护成本的增加往往是无止境的。不仅极大地增加了系统建设成本，而且效果也不尽如人意。
　　
　　
　　从某种程度上可以说，目前，针对DoS/DDoS攻击从技术上没有根本的解决办法。一般采取的将大量的来自攻击地址的连接请求截断的方法并不可靠，因为黑客经常假冒某些合法用户身份，如果将他们的连接请求截断，正好实现了“拒绝服务”的目的。因此，许多用户对“DoS/DDoS攻击”字眼耳熟能详，经常面对它们的用户一听到“DoS/DDoS”就颇感头疼。
　　
　　
　　记者与多名用户和技术专家交流了解到，遇到DoS/DDoS攻击，许多用户往往只能耐心等待，直到黑客玩够了自动离开为止。我们的网络安全只能依靠黑客的“善心”了！
　　技术专家最终认识到，以往那些解决办法只能缓解DoS攻击而不能真正解决DoS攻击。由于DoS攻击的简单、易实施以及难以追踪和查封的特点，解决DoS攻击必须依赖新的独立的技术和产品，而不是在已有的产
　　品中增加功能而已。
　　
　　
　　新技术确定新体系结构
　　
　　
　　在技术专家的努力下，几乎是在同时，国内和国际推出了两种新的预防DoS/DDoS的技术：中国本土的中联绿盟公司的“黑洞”技术以及国际上由TopLayer公司开发的AM IPS技术。
　　
　　
　　几乎是殊途同归，技术专家在对原有的抗DoS方法进行深入分析的基础上，有所创新地研究出了新的解决方法：同样是通过将TCP的“三次握手”过程移植到新的设备中，但通过新的算法和体系结构将正常流量与攻击流量区分开来，让正常流量通过而阻止攻击流量。为了保证服务的连接效率，抗DoS攻击的设备必须在网络上在线连接而不是像IDS一样旁路连接，这就对设备的性能提出了很高的要求。
　　
　　
　　最后，技术专家将焦点集中在两个关键点上：如何用高效的算法区分正常流量和攻击流量？如何提高抗DoS攻击的效率？
　　
　　
　　1．如何区分正常流量？
　　
　　
　　区分正常流量和攻击流量是最关键的核心，技术专家总结出了用“算法+多重体系结构”的方式。
　　
　　
　　中联绿盟的专家在对网络数据报文进行概率统计的基础上，研究出了“反向探测”和“指纹识别”算法，可以准确地区分出恶意报文和正常访问数据报文。这两类算法目前已经获得了中国国家专利，具体实现方法是该公司的核心机密，当然不能随意公开。但据悉，经过测试，它能保证在很高的攻击流量环境下95%以上的连接保持率和95%以上的新连接发起成功率。
　　
　　
　　而TopLayer公司在AM IPS中采用的高级攻击防御算法是在与全球多个抗DoS攻击专家总结出的1700多种攻击方式的基础上开发出来。Toplayer技术专家不仅将流量区分为正常流量和恶意流量，还新增了一类可疑流量。通过算法让正常流量通过而拒绝恶意流量。对可疑流量则进一步检查，最终决定它是正常访问还是其他类攻击，然后采取通过或拒绝访问的措施。
　　
　　
　　多重防御检测是为了应对那些非流行的DoS攻击以及其他的变种攻击。如“黑洞”技术架构中设计了4个专用引擎，增加了防止连接耗尽（用正常流量堵塞带宽），以增强对典型“以小吃大”的资源比拚型攻击(包括大规模的多线程下载)的防护能力（如图3所示）。而AM IPS则采用了国际专利技术的TopFire架构，也包含4个专用引擎，不同的是增加了抗蠕虫和端口80攻击等内容检查引擎及业务反常引擎，加强了对其他入侵行为的防护和检测能力（如图4所示）。
　　　
　　图3 “黑洞”技术架构
　　　
　　图4 TopFire入侵防御引擎架构
　　2．如何提高抗DoS效率？
　　
　　
　　过去防火墙抵抗DoS攻击最大的弱点除了算法不精确外，还在于防火墙性能有限。技术专家认识到，专业的抗DoS攻击设备必须具备高性能，除了能实现抵抗DoS攻击的目的，还不能丝毫影响系统的连接，也不能成为新的应用瓶颈。各类技术专家又想到了一块：用硬件技术实现高性能。
　　
　　
　　AM IPS采用了专用的ASIC架构，以ASIC的高性能芯片技术应对DoS攻击，目前已经应用在全球75家大型客户中，反映非常不错；“黑洞”采用的是专用的Intel高性能芯片，在它推出之前，已经成功应用在清华校园网等千兆和百兆的环境中，依然深受备受DoS攻击侵扰的用户的欢迎。
　　
　　
　　但两类不同技术专家开发出的新技术并不完全一致：AM IPS由于增加了内容检测，虽然功能增加了很多，但必须对网络的7层协议进行完全的解包检查，势必影响系统效率，好在采用高性能的ASIC芯片，可弥补不足；而“黑洞”注重于专业的DoS攻击，只对网络低层的攻击进行检查和拦截，它只对网络3层以下的协议进行解包，因此效率要高很多，这弥补了比起ASIC架构，基于Intel架构的硬件结构效率明显不足的缺陷；另外，“黑洞”只防御了主动的DoS攻击，而对因系统漏洞产生的攻击则无能为力，如果系统中要对内容进行检查，“黑洞”还需与专业的内容过滤等设备进行配合。
　　DoS攻击的根源在于网络服务的公开性、面向对象的不可确定性和服务提供方资源的有限性和可耗尽性，这些因素决定了当前环境下并没有一劳永逸的最终解决方案。上述新技术的推出，尽管扭转了一直以来抗DoS攻
　　击方面攻胜于防的不利局面，但是攻与防的较量却不会因此而结束。
　　
　　
　　问题依然不少
　　
　　
　　虽然新技术的出现让我们松了一口气，也让我们看到抵抗DoS攻击的新曙光，但是，上述两家公司的研究人员均表示，新技术并不能一劳永逸地解决DoS攻击，依然还存在一些缺陷，有待技术人员进一步研究。
　　
　　
　　以AM IPS为例，它只能处理目前的1700多种DoS攻击方式中的70%！因为，这1700多种攻击分成3类: 一类是常见的DoS攻击方式，大约占其中的70%左右；一类是偶然出现的攻击，大约有500多种；另一类是专家们设想出但并没有真正出现的攻击形式，这是为了对付未来可能出现的新攻击方式而在实验室提前研究应对措施。目前，TopLayer的算法还只能应对第一类攻击，但是，据TopLayer大中华区总经理陈劲夫介绍，未来，AM IPS将增加对付第二类攻击的算法。而新的攻击方式如果出现，技术专家早已在实验室做好了抗攻击的准备。
　　
　　
　　中联绿盟公司的产品开发总监李群表示，如果黑客对“黑洞”保护的设备发动大量的DDoS攻击，垃圾流量可能在“黑洞”之外将有限的带宽全部占满，虽然有了“黑洞”的保护，服务器可以免遭瘫痪的命运，“黑洞”产品本身也由于无IP地址的特性而可免遭“黑手”，但大量的无效连接堵塞了带宽，让正常用户无法访问到服务器内容，或者带宽只剩10%，正常流量只能拥挤在10%的带宽中，让网络连接效率极大下降，黑客依然达到了“拒绝服务”攻击的目的。“就像发动大量的车辆堵在你家惟一出口一样，访问你的朋友无法到达你家。没有技术能够解决这种状况”。
　　
　　
　　为此，中联绿盟公司正呼吁在互联网的所有千兆骨干网的入口处安装抗DoS攻击的设备，“这样，在千兆以下的百兆网络环境中，由于终端数量的限制，黑客很难发动大量的计算机变成他的“僵尸”，因此，很难形成海量的流量信息堵住千兆带宽；即使攻击成功，它也只能影响到一个千兆网络的环境，而不会影响到骨干网或其他的千兆网，从而可以保证骨干网和其中关键服务器的正常访问”。
　　
　　
　　这听起来不错，但可能实现吗？需要多少设备及投资呢？
　　入侵防御系统（IPS）是今年刚刚出现的一种抵抗各类攻击的新技术。正像前面描述的那样，它融合了抵抗目前主要攻击的各类新技术：IDS、抗DoS/DDoS攻击、内容过滤等。它出生才半年时间，就引起了世
　　界各类顶尖技术专家的关注。
　　
　　
　　IPS勾勒未来希望
　　
　　
　　我们注意到，TopLayer公司为新技术取名为AM IPS，它并不完全是一个专用的抗DoS攻击的新技术，而似乎是一个包含入侵检测、抗DoS攻击以及内容过滤等方面的复合型技术。
　　
　　
　　你猜对了！这是刚刚出现半年的一类新技术。虽然出生才半年，就受到了世界各地的技术专家的高度关注。全球一些主要的抗网络攻击的技术专家，包括著名的IDS提供商ISS公司的一些技术专家纷纷成立自己的公司研究这类新技术。著名防火墙厂商NetScreen公司今年9月收购的OneSecure公司就是一家进行IPS技术研究的专业公司，这显示出NetScreen公司进入这一新的领域的决心。
　　
　　
　　IPS的出现基于两点主要原因：IDS的不足逐渐引起人们的不满；抗DoS攻击技术的不成熟使市场急需新技术。
　　
　　
　　IDS的误报和漏报问题一直困扰着用户，1：60000的海量误报率常使用户忽略掉其中包含的真正的危险攻击；而IDS另一个缺陷是它只能报警而不能采取阻断措施，用户往往在得到报警的同时，攻击已经发生了，报警毫无用处；昂贵的部署费用是阻碍IDS发展的另一个主要原因。IDS似乎进入了危险地带。Gartner最新报告显示，2003年底，如果IDS误报不能减少90%，那么90%的IDS部署将宣告失败。
　　
　　
　　将IDS功能与抗DoS技术结合起来的新技术IPS是未来解决各类攻击的新希望。IPS必须是在线设备，能够准确检测和精确阻止攻击。不仅许多技术专家看好这一领域，就连著名的市场分析公司Gartner也非常看好这一新的技术发展方向。今年8月份，Gartner集团在一份市场报告中预计，未来2～3年，网络入侵防御系统（IPS）将逐渐融合并替代目前的抗DoS/DDoS攻击系统和网络IDS系统（如图5所示）。预计到2005年，IPS的全球市场总额将达到6.88亿美元，远远超过IDS（如图6所示）。
　　　
　　图5 迅速发展的IPS市场
　　  
　　图6 IPS将赶超入侵检测
　　新技术和新产品带来了新的市场机会，也让我们看到了未来抵抗各类攻击的新方向。“黑洞”产品可增加IDS模块，虽然绿盟公司没有这么称呼，但我们依然从“黑洞”中看到了IPS的雏形。而TopLayer AM IPS，则直接针对这一新市场而设计！
　　
　　
　　果如此，未来黑客要实施DoS/DDoS攻击，应该没有以前那样容易得逞了吧？！
　　  

  

  


　　

D.o.S(Denial of Service),拒绝服务攻击几乎是从互联网络的诞生以来伴随着互联网络的发展而一直存在也不断发展和升级。早在1988年9月的蠕虫事件可以说是D.o.S攻击的最早的表现形式之一，直到2000年2月份的Yahoo、亚马逊、CNN被D.o.S攻击陷入瘫痪，D.o.S攻击技术给流量飞速增长的互联网络安全带来重大的威胁。
　　　　从某种程度上可以说，D.o.S攻击永远不会消失而且从技术上目前没有非常根本的解决办法。
　　　　D.o.S技术严格的说只是一种破坏网络服务的技术方式，具体的实现多种多样，但都有一个共同点，就是其根本目的是使受害主机或网络失去及时接受处理外界请求，或无法及时回应外界请求。
　　　　D.o.S 攻击的具体表现方式主要有以下几种：
　　　　1、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。
　　　　2、利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。
　　　　3、利用受害主机所提供服务中处理数据上的缺陷，反复发送畸形数据引发服务程序错误大量占用系统资源，使主机处于假死状态甚至死机。
　　　　其中第一种攻击非常常见，它的攻击基础必须有几个条件：
　　　　1、高速包的产生。
　　　　2、被攻击主机的带宽无法承受高速包的攻击。
　　　　针对第一种方式，我们来看：在现在的互联网上的网站大多是高带宽的主机，从原理上来讲，单纯的通过直接发包攻击，几乎不可能引起任何阻塞。因为发起攻击的机器带宽可能远远低于这些主机，发出的攻击包只能是象小河的水流向大河一样，自然是波澜不惊了。但sumrf技术和D.o.S技术的出现使得非常容易的从低带宽主机上发起对高带宽主机的攻击了。在Yahoo受到攻击时，它最高时的数据流量大的惊人:1GB/秒。
　　　　如何来防止sumrf攻击呢？
　　　　一些高带宽网络的管理员应该关闭广播包的转发设置，以免被作为sumrf D.o.S攻击的反射板。具体做法以Cisco路由器为例：
　　　　1 、在每个端口应用no ip directed-broadcast
　　　　2 、在可能的情况下，使用访问控制列表，过滤掉所有目标地址为本网络广播地址的包；对于不提供穿透服务的网络，可以在出口路由器上过滤掉所有源地址不是本网地址的数据包。
　　　　对于重要网站主机，为了防御sumf D.o.S攻击可以合理的配置访问控制列表，过滤掉所有可能被利用的广播地址下子网的包。可定期去www.netscan.org去更新广播地址列表。
　　下面我们讲一讲另一种D.o.S攻击方式 D.o.S(Distributed Denial Of Service)分布式拒绝服务攻击。
　　　　分布式拒绝服务攻击是一种崭露头角的攻击方法，最早出现于1999年7月。当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始，这种攻击方法开始大行其道。在2月7日到11日的短短几天内，黑客连续攻击了包括Yahoo、Buy.com、eBay、Amazon、CNN等许多知名网站，致使有的站点停止服务达几个小时甚至几十个小时之久。它利用攻击者已经侵入并控制的主机（可能是数百，千台），对某一单机发起攻击。在悬殊的带宽力量对比下，被攻击的主机会很快失去反应。这种攻击方式被证实是非常有效的，而且非常难以抵挡。
　　　　从目前现有的技术角度来讲，还没有一项解决办法针对D.o.S非常有效。所以，防止D.o.S攻击的最佳手段就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险会变得很大。同时，如果网络内部或邻近的主机被用来对本机进行D.o.S攻击，攻击的效果会更明显。所以，必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络，往往是黑客的首选目标。 保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施。及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。
　　　　当攻击发生后，如何检验出来哪些是攻击数据呢？虽然攻击者在传达攻击命令时或发送攻击数据时，都加入了伪装甚至加密，但是其数据包还是有一定特征可循的。最常见的办法是在数据流中搜寻特征字符串。例如在攻击服务器向攻击器发布的攻击命令中，会有特定的命令字符串。搜寻到这些字符串，则可以确定攻击服务器和攻击者的位置。
　　　　管理员还可以通过监视端口使用情况的办法来进行入侵监测。常见的D.o.S工具一般都会有自己特定的通讯方式。例如trin00程序通讯时，经常会用到一些特定端口，例如UDP 31335、UDP 27444、TCP 27665等。本地机中这些端口处于监听状态，则系统很可能已经受到了侵袭。即使黑客已经对端口的位置进行了一定的修改，但如果外部的主机主动向网络内部的高标号端口发起连接请求，则系统很有可能已经受到侵入。这种过程可以通过对防火墙进行设置来加以监测和过滤。 另外，攻击时使用的数据包一般会有一些特征。例如，超长或畸形的ICMP或UDP包等。一般来说，这种包往往是用来进行拒绝服务攻击时才会产生。另外，如果发现数据包本身比较正常，但其中的数据比较特异，例如存在某种加密特性时，很可能是攻击控制器向攻击器所发布的攻击命令。
　　　　最后，可通过一些统计的方法来得到攻击来源。例如，在攻击之前，目标网络的域名服务器往往会接到远远超出正常数量的反向和正向的地址查询。这些查询往往意味着攻击的到来。还可以通过数据流量来判断。比如，在攻击时，攻击数据的来源地址会发出超出正常极限的数据量。这样，对通讯数据量进行统计也可以得到有关攻击系统的位置和数量的信息。

我一个朋友也遇到这个问题，我试了一下，由于她的本本没电没做完，我试了一下，netstat没有开外面的接口，发包数量明显过于多，不过那个到是有不少自启动程序，正在解决中

[ Last edited by hero on 2005-6-19 at 21:17 ]

看到大家有很多关于DOS、DDOS的帖子，就开了这个新贴，把大家的东西汇总一下，有利于查找

smurf、trinoo、tfn、tfn2k以及stacheldraht是比较常见的DoS攻击程序，本文将对它们的原理以及抵御措施进行论述，以帮助管理员有效地抵御DoS风暴攻击，维护站点安全。
　　
　　一、何为"smurf 攻击"，如何抵御？
　　
　　　　Smurf是一种简单但有效的 DDoS 攻击技术，它利用了ICMP (Internet控制信息协议)。ICMP在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echo request）信息包看看主机是否“活着”。最普通的ping程序就使用了这个功能。Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。
　　
　　　　下面是Smurf DDoS 攻击的基本特性以及建议采用的抵御策略：
　　
　　　　1、Smurf的攻击平台：smurf为了能工作，必须要找到攻击平台，这个平台就是：其路由器上启动了 IP广播功能。这个功能允许 smurf 发送一个伪造的ping信息包，然后将它传播到整个计算机网络中。
　　
　　　　2、为防止系统成为 smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。
　　
　　　　3、攻击者也有可能从LAN内部发动一个smurf攻击，在这种情况下，禁止路由器上的IP 广播功能就没有用了。为了避免这样一个攻击，许多操作系统都提供了相应设置，防止计算机对IP广播请求做出响应。更多信息请参阅http://www.cert.org/advisories/CA-98.01.smurf.html的附录A。
　　
　　　　4、如果攻击者要成功地利用你成为攻击平台，你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器，让它将不是由你的内网中生成的信息包过滤出去，这是有可能做到的。这就是所谓的网络出口过滤器功能。
　　
　　　　5、ISP则应使用网络入口过滤器，以丢掉那些不是来自一个已知范围内IP地址的信息包。
　　
　　　　6、挫败一个smurf 攻击的最简单方法对边界路由器的回音应答(echo reply)信息包进行过滤，然后丢弃它们，这样就能阻止“命中”Web服务器和内网。对于那些使用Cisco路由器的人，另一个选择是CAR (Committed Access Rate，承诺访问速率)。
　　
　　　　丢弃所有的回音应答信息包能使网络避免被淹没，但是它不能防止来自上游供应者通道的交通堵塞。如果你成为了攻击的目标，就要请求ISP对回音应答信息包进行过滤并丢弃。 如果不想完全禁止回音应答，那么可以有选择地丢弃那些指向你的公用Web 服务器的回音应答信息包。 CAR 技术由Cisco 开发，它能够规定出各种信息包类型使用的带宽的最大值。例如，使用CAR，我们就可以精确地规定回音应答信息包所使用的带宽的最大值。
　　
　　二、何为 "trinoo"，如何抵御它？
　　
　　　　trinoo 是复杂的 DDoS 攻击程序，它使用“master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。接着，代理程序用UDP 信息包冲击网络，从而攻击目标。在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。
　　
　　　　下面是trinoo DDoS 攻击的基本特性以及建议采用的抵御策略：
　　
　　　　1、在master程序与代理程序的所有通讯中，trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。
　　
　　　　2、Trinoo master程序的监听端口是27655，攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655的数据流。
　　
　　　　3、所有从master程序到代理程序的通讯都包含字符串"l44"，并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接，如果有包含字符串l44的信息包被发送过去，那么接受这个信息包的计算机可能就是DDoS代理。
　　
　　　　4、Master和代理之间通讯受到口令的保护，但是口令不是以加密格式发送的，因此它可以被“嗅探”到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本http://staff.washington.edu/dittrich/misc/trinoo.analysis，要准确地验证出trinoo代理的存在是很可能的。
　　
　　　　一旦一个代理被准确地识别出来，trinoo网络就可以安装如下步骤被拆除：
　　
　　　　·在代理daemon上使用"strings"命令，将master的IP地址暴露出来。
　　　　·与所有作为trinoo master的机器管理者联系，通知它们这一事件。
　　　　·在master计算机上，识别含有代理IP地址列表的文件(默认名"...")，得到这些计算机的IP地址列表。
　　　　·向代理发送一个伪造"trinoo"命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动， 因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。
　　　　·检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。
　　　　·如果网络正在遭受trinoo攻击，那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一来源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。
　　　　·在http://www.fbi.gov/nipc/trinoo.htm上有一个检测和根除trinoo的自动程序。
　　三、何为"Tribal Flood Network" 和 "TFN2K"，如何抵御?
　　
　　　　Tribe Flood Network与trinoo一样，使用一个master程序与位于多个网络上的攻击代理进行通讯。TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。 可以由TFN发动的攻击包括：UDP冲击、TCP SYN 冲击、ICMP回音请求冲击以及 ICMP 广播。
　　
　　　　以下是TFN DDoS 攻击的基本特性以及建议的抵御策略：
　　
　　　　1、发动TFN时，攻击者要访问master程序并向它发送一个或多个目标IP地址，然后Master程序继续与所有代理程序通讯，指示它们发动攻击。
　　
　　　　TFN Master程序与代理程序之间的通讯使用ICMP回音应答信息包，实际要执行的指示以二进制形式包含在16位ID域中。ICMP (Internet控制信息协议)使信息包协议过滤成为可能。通过配置路由器或入侵检测系统，不允许所有的ICMP回音或回音应答信息包进入网络，就可以达到挫败TFN代理的目的。但是这样会影响所有使用这些功能的Internet程序，比如ping。
　　
　　　　TFN Master程序读取一个IP地址列表，其中包含代理程序的位置。这个列表可能使用如"Blowfish"的加密程序进行了加密。如果没有加密的话，就可以从这个列表方便地识别出代理信息。
　　
　　　　2、用于发现系统上TFN 代理程序的程序是td，发现系统上master程序的程序是tfn。TFN 代理并不查看ICMP回音应答信息包来自哪里，因此使用伪装ICMP 信息包冲刷掉这些过程是可能的。
　　
　　　　TFN2K是TFN的一个更高级的版本，它“修复”了TFN的某些缺点：
　　
　　　　1、在TFN2K下，Master与代理之间的通讯可以使用许多协议，例如TCP、UDP或ICMP，这使得协议过滤不可能实现。
　　
　　　　2、TFN2K能够发送破坏信息包，从而导致系统瘫痪或不稳定。
　　
　　　　3、TFN2K伪造IP源地址，让信息包看起来好像是从LAN上的一个临近机器来的，这样就可以挫败出口过滤和入口过滤。
　　
　　　　4、由于TFN2K是最近刚刚被识破的，因此还没有一项研究能够发现它的明显弱点。
　　
　　　　在人们能够对TFN2K进行更完全的分析之前，最好的抵御方法是：
　　
　　　　·加固系统和网络，以防系统被当做DDoS主机。
　　　　·在边界路由器上设置出口过滤，这样做的原因是或许不是所有的TFN2K源地址都用内部网络地址进行伪装。
　　　　·请求上游供应商配置入口过滤。
　　
　　四、何为 "stacheldraht"，如何防范?
　　
　　　　Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时，侵入者与master程序进行连接。Stacheldraht增加了以下新功能：攻击者与master程序之间的通讯是加密的，以及使用rcp (remote copy，远程复制)技术对代理程序进行更新。
　　
　　　　Stacheldraht 同TFN一样，可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击以及ICMP播放。
　　
　　　　以下是Stacheldraht DDoS攻击的基本特征以及建议采取的防御措施：
　　
　　　　1、在发动Stacheldraht攻击时，攻击者访问master程序，向它发送一个或多个攻击目标的 IP地址。Master程序再继续与所有代理程序进行通讯，指示它们发动攻击。
　　
　　　　Stacheldraht master程序与代理程序之间的通讯主要是由ICMP 回音和回音应答信息包来完成的。配置路由器或入侵检测系统，不允许一切ICMP回音和回音应答信息包进入网络，这样可以挫败Stacheldraht代理。但是这样会影响所有要使用这些功能的Internet程序，例如ping。
　　
　　　　2、代理程序要读取一个包含有效master程序的IP地址列表。这个地址列表使用了Blowfish加密程序进行加密。代理会试图与列表上所有的master程序进行联系。如果联系成功，代理程序就会进行一个测试，以确定它被安装到的系统是否会允许它改变"伪造"信息包的源地址。通过配置入侵检测系统或使用嗅探器来搜寻它们的签名信息，可以探测出这两个行为。
　　
　　　　代理会向每个master发送一个ICMP 回音应答信息包，其中有一个ID 域包含值666，一个数据域包含字符串"skillz"。如果master收到了这个信息包，它会以一个包含值667的ID 域和一个包含字符串"ficken"的数据域来应答。代理和master通过交换这些信息包来实现周期性的基本接触。通过对这些信息包的监控，可以探测出Stacheldraht。
　　
　　　　一旦代理找到了一个有效master程序，它会向master发送一个ICMP信息包，其中有一个伪造的源地址，这是在执行一个伪造测试。这个假地址是"3.3.3.3"。如果master收到了这个伪造地址，在它的应答中，用ICMP信息包数据域中的"spoofworks"字符串来确认伪造的源地址是奏效的。通过监控这些值，也可以将Stacheldraht检测出来。
　　
　　　　3、Stacheldraht代理并不检查 ICMP 回音应答信息包来自哪里，因此就有可能伪造 ICMP 信息包将其排除。
　　
　　　　4、Stacheldraht代理程序与TFN 和 trinoo一样，都可以用一个C程序来探测，它的地址是：http://staff.washington.edu/dittrich/misc/ddos_scan.tar。
　　
　　五、如何配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击？
　　
　　　　1、抵御 Smurf
　　
　　　　·确定你是否成为了攻击平台：对不是来自于你的内部网络的信息包进行监控；监控大容量的回音请求和回音应答信息包。
　　　　·避免被当做一个攻击平台：在所有路由器上禁止IP广播功能；将不是来自于内部网络的信息包过滤掉。
　　　　·减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃；对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽最大值。
　　
　　　　2、抵御trinoo
　　
　　　　·确定你是否成为攻击平台：在master程序和代理程序之间的通讯都是使用UDP协议，因此对使用UDP协议(类别 17)进行过滤；攻击者用TCP端口27655与master程序连接，因此对使用TCP (类别6)端口 27655连接的流进行过滤；master与代理之间的通讯必须要包含字符串"l44" ，并被引导到代理的UDP 端口27444,因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。
　　　　·避免被用作攻击平台：将不是来自于你的内部网络的信息包过滤掉。
　　　　·减轻攻击的危害： 从理论上说，可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤，并丢弃它们。
　　
　　　　3、抵御TFN和TFN2K
　　
　　　　·确定你是否成为攻击平台：对不是来自于内部网络的信息包进行监控。
　　　　·避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包，当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉。
　　
　　　　4、抵御Stacheldraht
　　
　　　　·确定你是否成为攻击平台：对 ID域中包含值666、数据域中包含字符串"skillz"或ID域中包含值667、数据域中包含字符串"ficken" 的ICMP回音应答信息包进行过滤；对源地址为"3.3.3.3"的ICMP 信息包和ICMP信息包数据域中包含字符串"spoofworks"的数据流进行过滤。
　　　　·避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包, 当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉；将不是来源于内部网络的信息包过滤掉。

分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。
　　对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。
　　1.及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
　　2.在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。
　　3.利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。
　　4.与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
　　5.当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。
　　6.如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

帮你合并在DDOS讨论专区里