最常见的代理处理程序是运行在IRC通道上的bot。主机受到攻击便会连接到特定的 IRC 通道。然后代理处理程序只需检查活动的成员来建立可用的代理程序列表。代理程序根据主控端在 IRC 上发送的命令来执行操作。这种代理处理程序可靠、灵活且易于安装设置。不过,IRC 通信常常受到防火墙的隔离,而且整个架构不够隐蔽。因此更容易被顺着来源追溯到主控端。不远的将来,使用秘密通道应视为 botnet 管理的一种趋势。
Bot执行的操作无疑是洪水。这是从逻辑上理解,因为bot的主要作用是利用巨量的第三方巫毒。从基本的 SYN 洪水到自定义和面向应用程序的洪水,几乎所有的洪水技术都已经在 botnet 上得到实施。因此,判断一个 botnet 是否良好的标准是代理程序可根据主控端发送的命令调整其行为的能力。由于各个计算机的防护机制各有不同,所以对于可以执行 SYN 洪水、异常洪水以及建立数千个合法 HTTP 会话的代理程序来说,便能够让攻击者根据对目标产生的影响来更改攻击的类型。另一个优点是可以管理能发送多个操作的单个 botnet
Flashmob
Botnet的主要缺点是它依赖的是静态源。时间一长便可能将一些危险的IP地址列入黑名单,还会通知网络管理员某些系统已经遭受攻击。要考虑到的一点就是 botnet 的寿命很有限。Flashmob 则不存在这些缺点。
这种机制的目的是令无辜的用户在无意中执行攻击操作。这种机制十分简单。攻击者建立一个web站点。在该web 站点上,某些恶意内容强迫无辜用户的浏览器发动对特定目标的攻击。这一特定目标通常是链接到目标 web 站点的数百个隐藏框架或动态代码,例如 Java 小程序或 ActiveX,这样便使其可以执行某些更高级的操作。随着家庭计算机的功能提高和一般的宽带接入,完全有可能在用户没有察觉的情况下产生重要的数据流量。对于攻击的目标服务器而言,不再能列出黑名单,因为每当一名新的用户连接到该 web 站点,这名用户的计算机便会成为新的攻击源。缺点是很难令 Web 站点有足够大的数据流量,从而不能确保对目标持续发送重要的数据流量。
结论
要消除拒绝服务的真正难点是这些攻击涉及的技术太庞杂。对SYN洪水有效的防护措施,对于防护待解决的会话攻击来说毫无助益,而对于公司网路来说,如果接入路由器因短时间内的巨量信息包而崩溃,这也不再会有任何作用。
攻击者意识到了这一点,而这也成为他们所掌握的利器。当一种攻击的功效不足时,他们立即采用其他技术。这已经成为司空见惯的现象,因此,越来越需要开发功能丰富、应变灵活的高性能安全技术。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
