石头:2229 - 371 x
Kewal Krishan沙玛* 1杜布拉克什博士2
|
通讯作者:Kewal Krishan沙玛,电子邮件:kewals@rediffmail.com |
相关文章Pubmed,谷歌学者 |
访问更多的相关文章全球研究计算机科学杂志》上
由于带宽是便宜,网络正在迅速增加,计算机连接的数量与世界广泛的网络急剧增加。涉及Multihoming极大地在世界各地的传播信息。Multihoming也要花费巨大的带宽,因为失去的大部分信息是通过网络没有旅行使用,或重复或病毒代码。丢失了很多信息时,当机器要清洗或被格式化。净壳,这样信息消耗大量的功能网络和可用带宽。这里我们已经累的证据的基础上真实的事件,我们面临着在我们的组织。
关键字 |
分布式Multihoming攻击、带宽、分配器攻击者,DDOS,邮件洪水,Multihoming架构。 |
介绍 |
Ajay加戈工程学院是NCR第一大学(国家首都的原因),这也是排名一个学院的科技大学。它坐落在国家公路。54。大学是与外部世界通过光纤和无线链接。大学都有自己的网站www.akgec.org运行自己的邮件服务器基于Server 2003女士和Microsoft exchange服务器。在它开始表现神秘。牢记这一点和其他类似事件发生在最近,完成类似的袭击;大范围的强度可以通过帮助Multihoming架构(MA)。最近我们看到,朱利安·阿桑奇[1]如何收集信息从美国电缆和使他们的安全链接提供给其他国家。在柜台避免这样的网站,美国开始狂轰乱炸维基解密的www.wikileaks.com和其他已知的资源,美国认为它属于他们。 We have noticed that in such attacks the Multihoming [3] is playing great role. Multihoming provide the opportunities to hacker to attacked the network from various routs and node to intensify the effects and keep attacking from some other sources even some of their hosts are blocked and banned at targeted networks. The purpose of writing this paper is to distribute the knowledge about attacks to those, who are facing such problem in there networks. This is also helpful for those, whom network is not coming in the knowledge of hackers right now and may not be targeted yet, but likely to be attacked in future. |
问题 |
我们的问题是,web服务器承载我们的网站和电子邮件帐户开始运作不寻常的方式。有问题的产生很多垃圾邮件和许多著名的邮件服务器和雅虎一样,Gmail和Rediffmail服务器开始拒绝我们的邮件。任何邮件发送这些邮件塞维反弹收件人服务器给了各种原因不接受邮件。我们的图表显示继续上传和下载的带宽。我们很快就意识到我们的整个系统已经搞砸了。我们的网站成为许多时间不能。我们的服务器经常重启。交换服务器等待邮件队列拥有成千上万的无法投递的邮件。 |
分析 |
通过观察,我们的带宽图我们发现它显示继续上传和下载,即使在那些我们的时间也很确定,不应当有任何活动,例如在晚上3点钟。这证实了一些未知的活动。有时我们发现,带宽消耗服务器4 - 5 Mbps的。我们的一个问题是,我们必须分析源流量这交通来来往往,在我们的网络中,由于我们的网络大的约1000计算机网络和无线网络和有线网络。这个网络有宿舍网络和大学网络。幸运的是自从开始我创建了两个不同的物理网络,一个用于大学和旅馆。后来wi - fi和旅馆我们混在一起。这个网络遍布校园和宿舍。 |
在分析这种情况我们发现两个主要区域的问题。第一,我们的邮件服务器是在大量生产不请自来的邮件,第二我们的web服务器是由几个有针对性的攻击。其中一个是DDOS攻击[4]和几个攻击试图登录,进入攻击力量。我们开始比较服务器的运行流程和与一些新安装服务器正在运行的进程数量,他们不能被连接到应用程序,运行在服务器上。一些神秘的文件如下: |
unwise.exe |
unwise.exennezta388.exe |
tbeza127q.exe |
nnezta388.exe |
因为很多邮件要众所周知的服务器主动和垃圾,他们黑列出我们的域。这导致我们的真实的邮件反弹从这些服务器像雅虎一样,Gmail和Rediffmail等等。我们发现,有许多中国的网站有多个真实IP参与了这次袭击。在分析溃败跟踪命令路径跟踪程序的帮助下,我们发现流动观测。 |
1。许多攻击网站是控制是控制代理,它使用监控的接受和传达我们的服务器。这是通过反弹从大学的电子邮件服务器。也是由同样的邮件传送到监控本身。如果没有达到几个小时,天,这意味着我们已经封锁,IP地址。所以控制代理启动命令下属攻击那些还没有被封锁在大学服务器。下属代理两种类型。 |
一个。他们被攻击者直接部署。 |
b。一个那些正常的办公室的电脑或组织的客户机节点服务器,但它们感染了蠕虫病毒或恶意软件代码安装在远程访问。攻击者等计算机间接地开始工作。他们经常保持休眠状态,但成为活跃在教学收到控制代理。 |
2。我们的服务器运行许多未知的或神秘的过程,一些国家已经在上面。 |
3所示。我们的服务器开始发送传染性未知邮件地址,这可能导致感染传输节点在全世界的影响。 |
打破我们发现的问题,我们必须解决流动问题。 |
1。,为什么塞维不断上传和下载未知数据,如何停止。 |
2。我们的带宽是不干净的。即使沟通与我们的ISP已经发现他们无法控制,问题仍然没有解决。 |
流动基于DOS的工具是非常重要的,以防寡妇基于视觉任务管理器以来未能加载在内存中运行病毒进程杀了那个瞬间。 |
1。Tasklist。exe, Killtask.exe |
2。平 |
3所示。路径跟踪程序 |
4所示。网路资讯查询 |
5。netsh |
6。各种包嗅探器工具 |
从不同的计算机来完成的系统攻击到目标计算机我们称为分配器攻击者和分布式攻击域(爸爸)设置这样的电脑。爸爸可以分布在单一网络或可能跨越大洲。爸爸可能有一个或多个单独的意图或可能是个人意愿。知道一天很多研究和广告公司也参与这一领域的传播他们的信息或秘密地收集数据。为了避免这种攻击我们建立的概念。应该有一个模块应该附上自我网络层以上监控传入的数据包。如果连接端口/应用程序相同的远程计算机数量可能是multihoming攻击。我们小例程创建并发现它和死亡这一过程,得到了解脱。 |
如果此类活动持续长时间应该是注册在网络日志文件供以后分析和这样的包装应该被删除或屏蔽。 |
深度数据包检查分析后,一些包的结构相同的许多数据包,但令人惊讶的是,他们从不同的远程机器。从反向Arp分析我们发现一些包好网站。我们不认为这些网站做故意做这些活动。当我们发现我们的邮件服务器发送许多邮件太多的网站,这是未知的。我们发现以下架构实现。我们知道这是一个DDOS(分布式拒绝服务)攻击的架构如下fig.中给出。 |
讨论和解决方案 |
我们安装各种要软件,试图控制情况。我们发现一些病毒扫描器做一些和一些病毒扫描器做其他事情。但是没有一个人没有控制的情况。我们也累,禁止一些IP地址在服务器上阻止电子邮件这些IP。这有助于暂时。自从数据包来自很多不同的远程机器上,阻止IP服务不多。我们减少了可用带宽服务器避免学院的整个带宽的消耗。很明显了可用带宽增强攻击效果的切断和其他目标机器。 |
作为一个解决方案,我们创建了一个任务列表窗口2003服务器进程的一个新的系统。比我们创建了一个脚本,用于每隔几分钟,运行比较任务列表的过程和一个新的进程列表的过程。任何新的未知过程如果激活,先杀死它,比在另一个文件日志记录,我们称之为终止过程日志文件(TPL)。有时系统管理员后仔细检查过程TPL死亡,如果新的列表需要重新配置手动更新它。这种方式,我们能够控制不必要的过程中被激活。 |
我们很快就发现,我们的系统开始更少消耗计算机资源和组织主要的带宽。在我们的邮件交换服务器停止传送邮件消息不来自受信任的用户和我们信任的IP地址。这样我们的电子邮件链为基础的分布式Multihoming攻击。 |
一段时间后,我们的Exchange服务器摘牌以来所有被邮件服务器有自动删除机制从块的名称服务器列表如果它没有产生这种不请自来的邮件超过一个月。仍然传入的流不请自来的邮件是我们的网络,但他们不是传递进一步从我们的网络。我们预计很快将会进一步减少到最低。 |
结论 |
我们发现创建单个节点持续流不是很困难的在这种情况下Multihomed万维网。Multihoming可以很容易实现,并可以生成大量的数据。有一些过程在计算机能够运行在电脑什么都不做。这些过程能够提供计算机对远程系统的控制和给一个路径建立点对点连接。他们能够允许黑客计算机加载新的主机和运行的程序有没有新项目完全下载。 |
在控制带宽与各种能力我们发现当我们增加带宽,服务器攻击的效果增加导致服务器的性能退化fig.下方显示 |
我们注意到虚拟内存会不断消耗和系统下降急剧下降。即使服务器拥有4 gb内存,内存消耗。它是注意到很多没有建立TCP / IP连接的远程计算机,这成为所有可能由于Multihoming模式。系统性能下降由于多个连接,服务器就未响应从Web网页的需求。有时信息搜索者觉得我们的网站是下来,他们不能够得到网站页面。 |
未来的发现是,范围,将会有一个伟大的需求来处理这样的分布式Multihoming攻击。远程攻击者识别是非常重要的,从有源网络阻塞和间隙需要很多新的软件和硬件实现。这个问题需要新的研究和算法。因为一个巨大的频道失去和资源性能已经发生,非常需要一个集体努力否则完成网络也将遭受大量的交通堵塞由于非生产性的原因。通过分析我们发现大多数流量包的包被抛弃和相关相关的一些骗子的IP地址,我们假定它们从攻击域。最清楚地表明。 |
自从Multihoming只是创造数字或路线从源到目标节点和能够使用网络的能力。Multihoming能够使用分布式网络的能力。一些网络表现良好,不表现优秀,原因可能是任何东西,但Multihoming架构能够使用任何可用的网络能力。这是个好方法,但是网络中产生了非常不利的影响,如果使用恶意的意图。 |
引用 |
|