[翻譯]拒絕服務***詳解之基礎篇
本帖被 EvilOctal 從 論壇原創{ Original Paper } 移動到本區(2007-03-19)
文章作者:Aelphaeis Mangarae
文章翻譯:冰血封情 [E.S.T](桂林電子科技大學)
信息來源:邪惡八進制信息安全團隊([url]www.eviloctal.com[/url])
目錄
緒論
拒絕服務三大類
五花八門的拒絕服務***手法
包欺騙和原始套接
防止拒絕服務***
尾聲
相關連接
免責條款
緒論:
這份資料是爲那些對拒絕服務(Denial of Service,DoS)有一些瞭解的網絡管理員準備的,資料中涉及到了大量關於拒絕服務***(Denial of Service attacks)的基礎以及相關知識。
互聯網上的拒絕服務***正變得越來越常見。發起一場拒絕服務***對於一個老練的***來說已經不是什麼難事兒,甚至是一個非常普通的腳本小子都可以通過使用從互聯網上下載的工具做到。由於可以被輕易上演,拒絕服務***已經逐漸成爲當今因特網上的嚴峻問題。很多網上銀行和娛樂站點由於拒絕支付黑金而被不法份子採用拒絕服務的手段***,調查顯示***速度幾乎可以達到1G/s,而且問題仍然在惡化。目前,大概一些***者已經可以達到1T/s,而僅僅1G/s的***強度就足夠讓雅虎(yahoo.com)和亞馬遜(amazon.com)這樣的大站倒塌了。
您無法防止惡徒對您進行拒絕服務***,但是多瞭解一點兒這種手法,以便當您的服務器遭到拒絕服務***的時候能儘可能的阻止他或者把損失降到最低卻是很有必要的。
這篇文章的作者是Aelphaeis Mangarae,中文翻譯由冰血封情[E.S.T]完成。
拒絕服務三大類:
DoS:
DoS***是一種***者自他或她自己的機器發起的***。通過對遠程計算機發送***數據包,每發送一個遠程的計算機收到一個。這種***已經比較罕見了,因爲大多數情況下這種***不能得手,並且在***的時間段上很容易被追蹤。
一般的說,使用DoS***手段的大多數都是那些喜歡用“***工具”而沒有大腦的業餘腳本小子,他們異想天開的以爲有機會用自己的破電腦搞塌一臺web服務器。多數情況下這些腳本小子最終會發覺自己信賴的***工具沒有效果,從而轉而使用一種新的所謂的“***工具”或者很可能使用工具發動一場分佈式拒絕服務(Distributed Denial Of Service)***。
DDoS:
分佈式拒絕服務(Distributed Denial of Service,DoS)***是拒絕服務***者羣體中最常用的手法了。
如果一個***者想發動一場拒絕服務***,他可以召喚數千甚至是數萬數十萬被安裝了傀儡軟件(一種類似IRC客戶端的程序,但是功能可就牛了,有些時候被稱做DDoS蠕蟲)的機器(後面叫肉機)。通常情況下這些客戶端會從肉機上登錄到一個IRC聊天室,等待***者發號施令。***者只要鍵入類似如下的命令”$flood ICMP [url]www.yahoo.com[/url]”後,這些IRC聊天室裏的客戶端接收命令並且開始向目標發送ICMP包。由於***者有足夠的客戶端安裝在很快的服務器肉機上,那麼很輕易就造成了遠程目標掉線或者是拒絕合法用戶的訪問
通常,***者選擇手工添加可以用來***的肉機,他們通常把IRC***程序客戶端作成網頁***的方式,通過利用社會工程學誘使他人訪問那張網頁。通過利用IE的某一個漏洞(通常IE的安全性都很差勁兒),在對方計算機上下載並執行客戶端。
目前,組建一直龐大的虧累軍團用於***已經不是什麼難事兒,因特網上有很多傀儡軟件可供下載,比如Forbot、RxBot以及Agobot。這些傀儡軟件通過掃描特定的服務或端口並且嘗試***並感染遠程計算機(有點象蠕蟲),如果這些傀儡終端使用了0day exploit來運做那將是非常實用的。
DoS客戶端一般都支持標準的洪水***,比如ICMP,UDP,TCP以及SYN洪水。
DRDoS:
分佈式反映射拒絕服務(Distributed Reflected Denial of Service,DRDoS)是相當罕見的一種拒絕服務***種類,因爲***一臺大型服務器都沒必要使用DRDoS,儘管這種手法仍然曾經一度被聲名狼藉的Mafia Boy用來***cnn.com、yahoo.com、amazon.com和ebay.com。
DRDoS的原理是***者命令他的肉機使用僞造的包去洪水***一個特殊的媒介主機而引發的。打個比方,***者命令他手下一半數量的肉機去使用僞造的ICMP包洪水***yahoo.com,同時再命令他手下另外一半數量的肉機去使用僞造的ICMP包洪水***ebay.com,由於這些僞造的***數據包都看起來象是來自microsoft.com。那麼yahoo.com和ebay.com就會在不知覺中洪水***microsoft.com,因爲僞造的ICMP數據包都標識爲源地址是microsoft.com,那麼yahoo.com和ebay.com將向這個僞造的地址(也就是微軟)進行回覆。可是大家知道,任何一個精心僞造的ICMP數據包發送到yahoo.com和ebay.com的時候,yahoo.com和ebay.com可能有數千臺機器在這同一個IP地址上,而每臺機器都將對這個僞造的地址進行回覆,因此這個***效果將被放大很多倍。下面我專門附帶了一張圖示用來說明DRDoS是怎樣運做的。
![]()
紅線:是連接***者和肉機的,***者通過這條線路去命令肉機發動***。
藍線:肉機發送僞造的ICMP包,這些ICMP包都看起來象是來自受害者的因特網中樞路由。
綠線:連接到ebay.com,yahoo.com,cnn.com和Amazon.com的任何一個計算機都回復這個僞造地址,於是,受害者遭到了***。
注意:我懷疑某些人將利用cnn.com或者是其他的類似站點做媒介主機,其實所有的大網絡都可以被利用來做反映射包的轉換媒介。
五花八門的拒絕服務***手法:
ICMP:
ICMP洪水***幾乎是拒絕服務***中最常用的手段,由於幾乎所有的站點都響應ICMP包,所以很輕易就可以放倒他們。
ICMP洪水是通過對目標機發送大量的ICMP包,由於遠程計算機每一個包都回復,這意味着將耗光目標機器的帶寬導致合法用戶無法訪問服務器。
發送ICMP包最常見的就是ping命令,一般主要用來探測遠程計算機是否在線。
UDP:
UDP洪水***的實現方法是發送垃圾包從UDP端口到遠程計算機的UDP端口,有丈於UDP是一個無連接協議所以這種***手法將效果顯著。
TCP:
TCP洪水***可以通過和遠程計算機建立數以千計的連接,遠超過遠程計算機可以接受的最大限度來實現。另外一種TCP洪水***是***者連接已經存在的TCP併發送垃圾數據來堵塞遠程計算機。
TCP SYN:
當一個計算機想要同遠程計算機建立連接的時候,將會完成我們通常稱之爲3次握手的事件。首先,想要建立連接的計算機發送SYN包,遠程計算機收到後回覆一個ACK包來確認之前的SYN包,於是連接計算機開始嘗試建立連接。
可以看見,如果是採用SYN包洪水***遠程計算機,它將會發送ACK包來浪費帶寬,如果遠程計算機一直不主動建立連接,那麼目標計算機將會一直等待連接,這樣很可能耗費掉目標計算機所有的連接請求,這種***方法時常可以達到事半功倍的效果。
郵件炸彈:
這種拒絕服務***方式經常爲業餘腳本小子所使用,郵件炸彈就是***者向目標郵件地址發送數以千計的垃圾郵件,這種***經常相當無沒效果。然而這種手法通常會耗費光您的郵箱空間或者是給特定的ISP帶來煩惱。
我認爲關於這種洪水***能用來做什麼還得從長計議,畢竟都是一些我親愛的業餘腳本小子在惡作劇中使用,幹不了什麼大票兒(我知道你一定覺得很可笑)。
這種***根本不佔用帶寬,它可以做的,也僅僅是浪費硬盤的空間和人的時間,讓人不得不盡快刪除數千封email。值得一提的是,有些免費的web email服務,只讓你一封封的刪email,那要刪除這麼多郵件可真是件遭罪的事情。
這種***一般都很容易跟蹤,你需要做的只是設法獲得這些垃圾email的源IP地址,找出***者使用的ISP信息,並且email通知他們就可以了。
其他的:
其實還有很多拒絕服務***手法,所有的拒絕服務***,說白了就是***者利用帶寬去耗費別人的帶寬,或者是利用自己其他的資源去耗費目標的其他資源。其中還有一種方法,***者可以用他的肉雞不斷重複的加載web服務器的頁面,這樣也可以耗費掉他的帶寬。
不久以前Blackcode.com就被拒絕服務***過,***者使用肉機不斷的加載Blackcode.com論壇的php模塊,造成了當機。
有一個防止部分拒絕服務***的種類的好方法就是不要允許同一IP建立超過一個的連接數,這樣肉機就不會佔用你太多的帶寬,除非他用很多肉機洪水***羣K你。
包欺騙和原始套接:
原始套接和普通套接很相似,除非你想控制發送更高質量的包(這句真是感謝cnbird的提示)。在普通的套接字你可以提供目的地址和要發送的信息,但是在原始套接字中,你完全可以自己構造一個包含僞造的源地址和TTL(Time to Life)值的包。
Linux的所有版本都支持原始套接,然而卻只有Windows 2000、XP和2003(Winsock Version 2)支持原始套接。這個世界還有哪個缺心眼的還在用Windows 9x?
所以如果你有個合適版本的Windows他將會支持原始套接,我想大家都對Steve Gibson aka略有所聞吧?那個喜歡胡說八道的人——我就這麼稱呼他的。我並不是想說更多關於Steve Gibson的事和他的胡說八道,但是那混蛋說:
腳本小子總喜歡利用Windows XP來發動DoS***,因爲XP支持原始套接,這樣腳本小子就可以用一些***工具來構造ip欺騙。
如果你讀了這文章你就會大概瞭解,腳本小子的***並沒有Steve這丫胡扯的那種效果,而且正象Steve胡謅的那樣原始套接在Service Pack 2以後已經被禁止了。
你根本不用擔心這些***者利用XP肉機給你發送欺騙包,因爲SP2不支持原始套接,因此他們湖可能僞造IP(此時我覺得他們還沒有找到解決SP2的這個糟糕問題的方法)。
然而,腳本小子知道了SP2禁止原始套接,所以明顯他們是不會去下載它的。
原始套接也一直被在DDoS中使用,我相信拒絕服務傀儡軟件的編寫者會很快找到解決SP2禁止原始套接的辦法。如果他們一直無法決絕這個問題,那麼使用欺騙手段的***者很容易被逆向追蹤(只要根據他發來的包就可以了)。
依靠原始套接你可以完全構造一個包,如下就是一個IP包頭的圖例:
![]()
這表我是從Black Sun Research Facility找來的,就先頂頂用用吧。
防止拒絕服務***:
保護您的電腦不成爲肉機:
很多拒絕服務***者都是依仗大量的肉機來對web服務器發送***,我們可以大家都來幫忙,首先能做的就是保證自己的計算機不被做成肉機(不被安裝傀儡軟件或者是蠕蟲感染)。
如果出現以下幾種現象,那麼很可能您的計算機已經成爲了惡徒的幫兇:
1.檢查您的電腦是否有很多6667端口的連接(這個端口是IRC使用的),並且您根本沒有使用IRC客戶端也沒有在任何已知情況下訪問IRC。您可以通過netstat –n來查看端口(命令將會反饋IP地址和端口號)。
2.您的反病毒程序(例如:殺毒軟件)提示您已經被病毒感染,或者是提示你因爲不明原因關閉了。這些都是被***或者是DoS蠕蟲感染的現象,也就是爲什麼你的反病毒程序會關閉了。
3.某時您的網絡帶寬突然佔用很高,並且系統莫名其妙的變的慢了。
4.您的防火牆詢問您是否允許一些不明程序訪問網絡,企圖連接某個特定的域名,並且企圖向它發送ICMP包。
5.您的防火牆提示您的windows資源管理器或者是其他的系統重要文件被劫持或者是被修改了,並且它們試圖訪問某個域名或者向這個域名發送ICMP包。
6.您的操作系統並沒有持續更新到最近的安全補丁並且軟件也版本陳舊,如果是這樣您的計算機將會有更大的機率被蠕蟲感染。這些傀儡終端(或者是DoS蠕蟲)經常使用0day exploits,所以很有必要把您的操作系統和軟件經常更新,最好給您的機器再添加一個防火牆。
7.您的計算機顯示發起了數千個連接到其他的計算機,這種情況很可能是傀儡終端(或者是蠕蟲)在連接某個遠程受害者,想耗費掉他所有的連接請求以便讓他拒絕服務。
防止您的機器成爲反映射媒介:
分佈式反映射拒絕服務(Distributed Reflected Denial of Service,DRDoS)是威力很大的,一些***者經常是使用100MB的帶寬,通過借用中間主機反映射可以把***效果放大到數十吉(gigabytes,G),所以加入您是一個網絡管理員,你應該盡最大的可能確保您的網絡不會被利用來做反映射***。
有一個確保你的網絡不會反映射包到其他的網絡的好方法,就是設置您的網絡只轉發包到你自己網絡上的計算機。你可以通過設置您的路由只轉發包到特定的IP地址,比如您自己的網絡內的站點IP上,當然您也可以設置轉發到如下的IP地址:
0.0.0.0/8 - Historical Broadcast
10.0.0.0/8 - RFC 1918 Private Network
127.0.0.0/8 - Loop back
169.254.0.0/16 - Link Local Networks
172.16.0.0/12 - RFC 1918 Private Network
192.0.2.0/24 - TEST-NET
192.168.0.0/16 - RFC 1918 Private Network
224.0.0.0/4 - Class D Multicast
240.0.0.0/5 - Class E Reserved
248.0.0.0/5 - Unallocated
255.255.255.255/32 – Broadcast
如果您使用了網絡地址轉換(Network Address Translation,NAT),那麼您應該在NAT設備和ISP之間找到一個合適的過濾平衡點。
如果您當初組網的時候很不幸的選擇了開啓了定向廣播,那麼開啓定向廣播就意味着招讓擊者使用您的網絡來進行反映射***。禁止定向廣播將會阻止所有連接到您的網絡的計算機對同樣的包進行回覆,因此就達到了防止擴大DDoS***的效果。
好了,在加固您的網絡以避免成爲反映射***的幫兇之後,做個檢測來確認您的加固成果是個絕對的好主意,這裏我們提供幾個檢測地址如下:
[url]http://www.netscan.org[/url]
[url]http://www.powertech.no/smurf/[/url]
(冰血封情注:這兩個地址可以用來檢測自己 同樣可以用來檢測其他的網絡 所以它可以做安全輔助也可以讓腳本小子用來探測遠程站點是否可以用來做反映射***的媒介 安全真是雙刃劍)
注意,如果您的站點回復了反映射數據包,那麼將成爲***者利用來做放大***的站點黑名單中的一員,所以如果您存在這種成爲幫兇的隱患,請立刻加固你的網絡。
爲您的網絡中每臺機器增加一個防火牆或者是***檢測系統(IDS)也是一個好主意,這樣不但可以更加降低您成爲反映射***幫兇的機率,而且還能夠讓您的系統在一定程度上防範***的***。
以下的系統默認設置就是禁止了定向廣播的,這意味着他們不會被用來反映射包:
Cabletron ***
FreeBSD
Microsoft Windows Workstation & Server 3.5 & 3.5.1
然而下面這些系統在默認情況下是開啓了定向廣播的。
Windows NT 4
Cisco
Bay
作爲一個大網絡的超級管理員(甚至是個小網絡的超級管理員),禁止您的網絡的定向廣播,以便***包不會從您的網絡反映射出去是很重要的一件事情。假如確實是需要開啓定向廣播,那麼您任何時候都應該小心謹慎的管理。
您的服務器正在被***,咋整?
拒絕服務***是非常難防止的,尤其是你拿不準***者是否在***,但是如果您的站點正在被***。那麼請立刻!
爲了臨時阻止***者拖慢或者是搞宕您服務器,有幾件事情您的做。
如果***者採用ICMP洪水***您的服務器,那麼最有效的辦法就是您的服務不要對ICMP包作出響應,防火牆也是個不錯的選擇,當然您最好在第一現場。
微軟最近就這麼做了,所以他們的網站(microsoft.com)不會再響應ICMP數據包了。
如果***者採用耗費掉你所有的連接請求的方法,你可以通過設置每個IP地址只能建立一個連接來輕鬆解決,或者您可以中斷與傀儡機器(肉機)所使用的IP的連接。
當然,***者可能會通過讓他或者她的肉機採用多線程長時間的下載您站上的某個文件來耗費您的連接,對付這種方法的絕招就是黑手封IP。
你也可以把他們在下的那個東西刪除或者是移動到其他的地方,這樣也可以臨時阻止***者,不過很有可能***者將找到那個東西的地址又繼續命令他的肉機去下載,但是你把這些東西到處移動也可以阻止他。
惡意***者的另一種耗費連接的***手法就是頻繁的訪問你服務器上的某個服務,這個服務也許是不常用的,如果你發現***者正試圖訪問你很少使用的服務,那麼停止那個服務(至少如果***持續你就得這麼做)。儘可能少的的運行服務也是很重要的,並且在拒絕服務***的時候轉換服務(比如轉換FTP)。
最後一種方法,就是利用對您服務器上正在運行的某個存在安全問題的軟件進行***。
保持您的計算機系統經常更新是很重要的(我已經嘮叨好多次了),因爲拒絕軟件的服務漏洞是源源不斷的,就算是象Apache的web服務器軟件也一樣經常爆洞。最好您能訂閱一份象Bugtraq這樣的安全郵件,這樣你就可以時刻了解最新的安全漏洞信息了。
***者親密接觸:
很多人放任DDoS***發生並且在過後也不對***進行分析,如果你被***了,那麼追蹤***者以及分析他們的***目的是很有必要的,因爲這些***者通常都是一些腳本小子,如果你對他們使用的工具有所瞭解的話,很容易沿着足跡追蹤到他們,下面就是追蹤***者的一些常用步驟。
1.看看DoS***是來自什麼地方,你很可能注意到***是來自上千個IP地址,而且很多地址都是靜態的,因爲這些肉機都保持着ADSL連接。而這些肉雞是不會僞造包頭的IP地址的,所以你找到的IP地址是正確的,使用Whois查詢幾個你找到的IP,並且和他們的ISP取得聯繫,然後通過他們找到肉機的主人,或者是讓ISP通知肉機的主人來聯繫你。
聯繫到肉機的主人後,你可以幫助他來找到安裝在他機器上的DoS***傀儡終端,這個可以簡單的通過告訴他安裝一個反病毒軟件來找出來,然後讓肉機的主人把那個傀儡終端發給你。
2.你現在擁有這個終端了,一個曾經被利用來***你的服務器的終端,不過現在還不是找兇手的時候,你現在需要如下的工具來輔助你追兇。
一個包嗅探工具 (我推薦ethereal.com)
你得到的***傀儡終端
一臺感染了這個終端的機器
Netstat或者類似的工具(可選)
IRC客戶端
好的,現在你用你得到的傀儡終端感染你的機器,最好先斷開網絡。現在啓動Ethereal,開始嗅探你計算機發出的包,如果你不知道如何使用Ethereal,這裏有很多教程:
[url]http://www.ethereal.com/[/url]
現在把你的計算機連接到因特網,不的包嗅探器將會顯示程序訪問網絡的情況和他們發送的數據包,我建議你不要運行其他的網絡程序,儘量保持系統的潔淨。
現在你會看見這個終端去連接IRC服務器並且發送密碼,而且可以看見這個終端連接到什麼地方並且發送了什麼東西,現在你仔細查找一些類似URL或者是靜態DNS的信息,現在你將擁有IRC服務器的地址和登錄密碼,這些都是非常有用的信息。當然,嗅探工具也有可能得到一堆垃圾數據,因爲一些終端可能會利些沒用的信息去迷惑那些想追查***者的人,而且連接的地點也可能是亂七八糟。我的一個朋友曾經想試圖通過傀儡終端追蹤***者,但是嗅探器提示他這個終端竟然跑去下載一個.swf文件,很有可能就是這個終端在試圖迷惑我的那個朋友。
我也曾經發現有的時候DoS終端會去下載一個包含需要連接的IRC地址信息的.txt文件,如果是這樣你真是太幸運了。因爲我們這一步要做的就是找出txt文件並且下載他,然後在裏面找到IRC服務器的信息。有的時候,終端可能會去下載一些.jpg文件,然而這些文件可能象txt一樣包含了IRC服務器的信息在裏面,只要你用記事本(Notepad)打開這些文件就會發現一些有趣的信息在裏面。
經常也許你都不需要嗅探軟件就可以找到信息,你可以等待終端和IRC服務器建立聯繫後,使用一些類似Netstat(Windows自帶)的程序去查看你的TCP/UDP連接,然後查看連接到IRC服務器的那一條就可以了,默認的IRC連接是建立在6667端口的。
3.現在你擁有傀儡服務端的信息了,恭喜,現在可以切斷傀儡終端的連接,在你登錄到IRC之前我建議你先在終端上找找還有什麼有用的信息,如果沒有,那麼現在你就可以把它刪除了。你可以使用反病毒程序清除它,如果你搞不定可以直接和一些反病毒公司取得聯繫:
Kaspersky(卡巴斯基):
[url]http://www.kaspersky.com/contacts[/url]
Trend Micro(趨勢科技):
[url]http://subwiz.trendmicro.com/SubWiz/UndetectedMalware-form.asp?TMsessionid=F1862F527EDA4DDEAF07CC9154AFB956&proc=7[/url]
H+BEDV (AntiVir):
[url]http://www.free-av.com/images/buttons/contact.htm[/url]
Panda Software(熊貓殺毒):
[url]http://www.pandasoftware.com/about/contact/[/url]
當你把傀儡終端的樣本送到反病毒公司後,那麼你已經完成了大部分了,當你把病毒樣本交給反病毒公司的同時,你應該非常禮貌的詢問他們是否可以向你提供該病毒的詳細信息,這樣他們就很有可能回覆你並且告訴你這個終端的一些信息,也許是關於IRC服務器或者更多。如果你之前自己什麼信息也沒找到,這個時候反病毒公司正好幫了大忙。
現在反病毒公司已經可以檢測這個傀儡程序了,這樣就會促使***者的肉機很快消失。因爲很多肉機是裝了殺毒軟件,但是由於病毒數據庫裏沒有這個資料,所以檢測才失敗的。所以,把傀儡終端的樣本發送到反病毒公司是使腳本小子計劃失效的最好方法。
Example: Agobot bot commands
現在如果你得到了反病毒公司的回覆,他們很有可能告訴你這是某個病毒或者DoS傀儡終端的變種(經常這樣),那麼這個終端的使用方法將會和原版是通用的,所以現在你需要做的就是在google上搜索他的命令
例如:Agobot bot commands
你將會得到很多信息,找到有關這個終端的信息,現在就是你登錄到IRC服務器的時候了,啓動IRC客戶端並且連接到DoS終端所用的網絡,並且鍵入
/join #channel password
進入後你將看見在IRC裏有很多同樣的肉機終端連接着,顯示的情況會比較類似如下的模式
Bot1
Bot2
……
現在,把你的名字修改成類似Bot1061的樣子
進入後,你就一直在那掛着,若干時間之後這些傀儡的主人,也就是***你的人進來了,這臭小子絕對不會發覺你在角落窺視他。如果你想齷齪一把,那麼你可以通過更新傀儡終端使用的IRC隧道來搶走他的肉機,當然你也可以發送一個卸載命令(極少數的***程序有這種命令)讓他的肉們徹底解放。
他要是還老***你的服務器,只要你願意,你可以將這丫的一舉一動都記錄下來並且用於日後恐嚇他。
尾聲:
在看完這篇文章後,您應該對什麼是拒絕服務***、怎樣對抗拒絕服務***以及怎樣追蹤兇手有了大概的瞭解了。
拒絕服務***一旦發生是很難阻止的,最好的方法其先決條件就是不要讓惡意的***着掌握肉機,所以作爲一個網絡管理員,您應該確保您的網絡裏沒有計算機被DoS蠕蟲感染或者是沒有機器被裝傀儡終端成爲***者的傀儡。
相關連接:
[url]http://www.securitydocs.com/library/2652[/url]
[url]http://www.astalavista.com/?section=dir&cmd=file&id=2164[/url]
[url]http://www.securitydocs.com/library/2616[/url]
[url]http://www.astalavista.com/?section=dir&cmd=file&id=1705[/url]
[url]http://www.eviloctal.com/forum/read.php?tid=9996[/url]
免責條款:
閱讀本文章代表您已經同意不使用文章中所述的信息做任何不法嘗試,本文章僅提供教學使用,文章產生的任何後果作者和翻譯者將不承擔任何責任。
[ 此貼被EvilOctal在2007-03-21 10:38重新編輯 ]
文章翻譯:冰血封情 [E.S.T](桂林電子科技大學)
信息來源:邪惡八進制信息安全團隊([url]www.eviloctal.com[/url])
目錄
緒論
拒絕服務三大類
五花八門的拒絕服務***手法
包欺騙和原始套接
防止拒絕服務***
尾聲
相關連接
免責條款
緒論:
這份資料是爲那些對拒絕服務(Denial of Service,DoS)有一些瞭解的網絡管理員準備的,資料中涉及到了大量關於拒絕服務***(Denial of Service attacks)的基礎以及相關知識。
互聯網上的拒絕服務***正變得越來越常見。發起一場拒絕服務***對於一個老練的***來說已經不是什麼難事兒,甚至是一個非常普通的腳本小子都可以通過使用從互聯網上下載的工具做到。由於可以被輕易上演,拒絕服務***已經逐漸成爲當今因特網上的嚴峻問題。很多網上銀行和娛樂站點由於拒絕支付黑金而被不法份子採用拒絕服務的手段***,調查顯示***速度幾乎可以達到1G/s,而且問題仍然在惡化。目前,大概一些***者已經可以達到1T/s,而僅僅1G/s的***強度就足夠讓雅虎(yahoo.com)和亞馬遜(amazon.com)這樣的大站倒塌了。
您無法防止惡徒對您進行拒絕服務***,但是多瞭解一點兒這種手法,以便當您的服務器遭到拒絕服務***的時候能儘可能的阻止他或者把損失降到最低卻是很有必要的。
這篇文章的作者是Aelphaeis Mangarae,中文翻譯由冰血封情[E.S.T]完成。
拒絕服務三大類:
DoS:
DoS***是一種***者自他或她自己的機器發起的***。通過對遠程計算機發送***數據包,每發送一個遠程的計算機收到一個。這種***已經比較罕見了,因爲大多數情況下這種***不能得手,並且在***的時間段上很容易被追蹤。
一般的說,使用DoS***手段的大多數都是那些喜歡用“***工具”而沒有大腦的業餘腳本小子,他們異想天開的以爲有機會用自己的破電腦搞塌一臺web服務器。多數情況下這些腳本小子最終會發覺自己信賴的***工具沒有效果,從而轉而使用一種新的所謂的“***工具”或者很可能使用工具發動一場分佈式拒絕服務(Distributed Denial Of Service)***。
DDoS:
分佈式拒絕服務(Distributed Denial of Service,DoS)***是拒絕服務***者羣體中最常用的手法了。
如果一個***者想發動一場拒絕服務***,他可以召喚數千甚至是數萬數十萬被安裝了傀儡軟件(一種類似IRC客戶端的程序,但是功能可就牛了,有些時候被稱做DDoS蠕蟲)的機器(後面叫肉機)。通常情況下這些客戶端會從肉機上登錄到一個IRC聊天室,等待***者發號施令。***者只要鍵入類似如下的命令”$flood ICMP [url]www.yahoo.com[/url]”後,這些IRC聊天室裏的客戶端接收命令並且開始向目標發送ICMP包。由於***者有足夠的客戶端安裝在很快的服務器肉機上,那麼很輕易就造成了遠程目標掉線或者是拒絕合法用戶的訪問
通常,***者選擇手工添加可以用來***的肉機,他們通常把IRC***程序客戶端作成網頁***的方式,通過利用社會工程學誘使他人訪問那張網頁。通過利用IE的某一個漏洞(通常IE的安全性都很差勁兒),在對方計算機上下載並執行客戶端。
目前,組建一直龐大的虧累軍團用於***已經不是什麼難事兒,因特網上有很多傀儡軟件可供下載,比如Forbot、RxBot以及Agobot。這些傀儡軟件通過掃描特定的服務或端口並且嘗試***並感染遠程計算機(有點象蠕蟲),如果這些傀儡終端使用了0day exploit來運做那將是非常實用的。
DoS客戶端一般都支持標準的洪水***,比如ICMP,UDP,TCP以及SYN洪水。
DRDoS:
分佈式反映射拒絕服務(Distributed Reflected Denial of Service,DRDoS)是相當罕見的一種拒絕服務***種類,因爲***一臺大型服務器都沒必要使用DRDoS,儘管這種手法仍然曾經一度被聲名狼藉的Mafia Boy用來***cnn.com、yahoo.com、amazon.com和ebay.com。
DRDoS的原理是***者命令他的肉機使用僞造的包去洪水***一個特殊的媒介主機而引發的。打個比方,***者命令他手下一半數量的肉機去使用僞造的ICMP包洪水***yahoo.com,同時再命令他手下另外一半數量的肉機去使用僞造的ICMP包洪水***ebay.com,由於這些僞造的***數據包都看起來象是來自microsoft.com。那麼yahoo.com和ebay.com就會在不知覺中洪水***microsoft.com,因爲僞造的ICMP數據包都標識爲源地址是microsoft.com,那麼yahoo.com和ebay.com將向這個僞造的地址(也就是微軟)進行回覆。可是大家知道,任何一個精心僞造的ICMP數據包發送到yahoo.com和ebay.com的時候,yahoo.com和ebay.com可能有數千臺機器在這同一個IP地址上,而每臺機器都將對這個僞造的地址進行回覆,因此這個***效果將被放大很多倍。下面我專門附帶了一張圖示用來說明DRDoS是怎樣運做的。
紅線:是連接***者和肉機的,***者通過這條線路去命令肉機發動***。
藍線:肉機發送僞造的ICMP包,這些ICMP包都看起來象是來自受害者的因特網中樞路由。
綠線:連接到ebay.com,yahoo.com,cnn.com和Amazon.com的任何一個計算機都回復這個僞造地址,於是,受害者遭到了***。
注意:我懷疑某些人將利用cnn.com或者是其他的類似站點做媒介主機,其實所有的大網絡都可以被利用來做反映射包的轉換媒介。
五花八門的拒絕服務***手法:
ICMP:
ICMP洪水***幾乎是拒絕服務***中最常用的手段,由於幾乎所有的站點都響應ICMP包,所以很輕易就可以放倒他們。
ICMP洪水是通過對目標機發送大量的ICMP包,由於遠程計算機每一個包都回復,這意味着將耗光目標機器的帶寬導致合法用戶無法訪問服務器。
發送ICMP包最常見的就是ping命令,一般主要用來探測遠程計算機是否在線。
UDP:
UDP洪水***的實現方法是發送垃圾包從UDP端口到遠程計算機的UDP端口,有丈於UDP是一個無連接協議所以這種***手法將效果顯著。
TCP:
TCP洪水***可以通過和遠程計算機建立數以千計的連接,遠超過遠程計算機可以接受的最大限度來實現。另外一種TCP洪水***是***者連接已經存在的TCP併發送垃圾數據來堵塞遠程計算機。
TCP SYN:
當一個計算機想要同遠程計算機建立連接的時候,將會完成我們通常稱之爲3次握手的事件。首先,想要建立連接的計算機發送SYN包,遠程計算機收到後回覆一個ACK包來確認之前的SYN包,於是連接計算機開始嘗試建立連接。
可以看見,如果是採用SYN包洪水***遠程計算機,它將會發送ACK包來浪費帶寬,如果遠程計算機一直不主動建立連接,那麼目標計算機將會一直等待連接,這樣很可能耗費掉目標計算機所有的連接請求,這種***方法時常可以達到事半功倍的效果。
郵件炸彈:
這種拒絕服務***方式經常爲業餘腳本小子所使用,郵件炸彈就是***者向目標郵件地址發送數以千計的垃圾郵件,這種***經常相當無沒效果。然而這種手法通常會耗費光您的郵箱空間或者是給特定的ISP帶來煩惱。
我認爲關於這種洪水***能用來做什麼還得從長計議,畢竟都是一些我親愛的業餘腳本小子在惡作劇中使用,幹不了什麼大票兒(我知道你一定覺得很可笑)。
這種***根本不佔用帶寬,它可以做的,也僅僅是浪費硬盤的空間和人的時間,讓人不得不盡快刪除數千封email。值得一提的是,有些免費的web email服務,只讓你一封封的刪email,那要刪除這麼多郵件可真是件遭罪的事情。
這種***一般都很容易跟蹤,你需要做的只是設法獲得這些垃圾email的源IP地址,找出***者使用的ISP信息,並且email通知他們就可以了。
其他的:
其實還有很多拒絕服務***手法,所有的拒絕服務***,說白了就是***者利用帶寬去耗費別人的帶寬,或者是利用自己其他的資源去耗費目標的其他資源。其中還有一種方法,***者可以用他的肉雞不斷重複的加載web服務器的頁面,這樣也可以耗費掉他的帶寬。
不久以前Blackcode.com就被拒絕服務***過,***者使用肉機不斷的加載Blackcode.com論壇的php模塊,造成了當機。
有一個防止部分拒絕服務***的種類的好方法就是不要允許同一IP建立超過一個的連接數,這樣肉機就不會佔用你太多的帶寬,除非他用很多肉機洪水***羣K你。
包欺騙和原始套接:
原始套接和普通套接很相似,除非你想控制發送更高質量的包(這句真是感謝cnbird的提示)。在普通的套接字你可以提供目的地址和要發送的信息,但是在原始套接字中,你完全可以自己構造一個包含僞造的源地址和TTL(Time to Life)值的包。
Linux的所有版本都支持原始套接,然而卻只有Windows 2000、XP和2003(Winsock Version 2)支持原始套接。這個世界還有哪個缺心眼的還在用Windows 9x?
所以如果你有個合適版本的Windows他將會支持原始套接,我想大家都對Steve Gibson aka略有所聞吧?那個喜歡胡說八道的人——我就這麼稱呼他的。我並不是想說更多關於Steve Gibson的事和他的胡說八道,但是那混蛋說:
腳本小子總喜歡利用Windows XP來發動DoS***,因爲XP支持原始套接,這樣腳本小子就可以用一些***工具來構造ip欺騙。
如果你讀了這文章你就會大概瞭解,腳本小子的***並沒有Steve這丫胡扯的那種效果,而且正象Steve胡謅的那樣原始套接在Service Pack 2以後已經被禁止了。
你根本不用擔心這些***者利用XP肉機給你發送欺騙包,因爲SP2不支持原始套接,因此他們湖可能僞造IP(此時我覺得他們還沒有找到解決SP2的這個糟糕問題的方法)。
然而,腳本小子知道了SP2禁止原始套接,所以明顯他們是不會去下載它的。
原始套接也一直被在DDoS中使用,我相信拒絕服務傀儡軟件的編寫者會很快找到解決SP2禁止原始套接的辦法。如果他們一直無法決絕這個問題,那麼使用欺騙手段的***者很容易被逆向追蹤(只要根據他發來的包就可以了)。
依靠原始套接你可以完全構造一個包,如下就是一個IP包頭的圖例:
這表我是從Black Sun Research Facility找來的,就先頂頂用用吧。
防止拒絕服務***:
保護您的電腦不成爲肉機:
很多拒絕服務***者都是依仗大量的肉機來對web服務器發送***,我們可以大家都來幫忙,首先能做的就是保證自己的計算機不被做成肉機(不被安裝傀儡軟件或者是蠕蟲感染)。
如果出現以下幾種現象,那麼很可能您的計算機已經成爲了惡徒的幫兇:
1.檢查您的電腦是否有很多6667端口的連接(這個端口是IRC使用的),並且您根本沒有使用IRC客戶端也沒有在任何已知情況下訪問IRC。您可以通過netstat –n來查看端口(命令將會反饋IP地址和端口號)。
2.您的反病毒程序(例如:殺毒軟件)提示您已經被病毒感染,或者是提示你因爲不明原因關閉了。這些都是被***或者是DoS蠕蟲感染的現象,也就是爲什麼你的反病毒程序會關閉了。
3.某時您的網絡帶寬突然佔用很高,並且系統莫名其妙的變的慢了。
4.您的防火牆詢問您是否允許一些不明程序訪問網絡,企圖連接某個特定的域名,並且企圖向它發送ICMP包。
5.您的防火牆提示您的windows資源管理器或者是其他的系統重要文件被劫持或者是被修改了,並且它們試圖訪問某個域名或者向這個域名發送ICMP包。
6.您的操作系統並沒有持續更新到最近的安全補丁並且軟件也版本陳舊,如果是這樣您的計算機將會有更大的機率被蠕蟲感染。這些傀儡終端(或者是DoS蠕蟲)經常使用0day exploits,所以很有必要把您的操作系統和軟件經常更新,最好給您的機器再添加一個防火牆。
7.您的計算機顯示發起了數千個連接到其他的計算機,這種情況很可能是傀儡終端(或者是蠕蟲)在連接某個遠程受害者,想耗費掉他所有的連接請求以便讓他拒絕服務。
防止您的機器成爲反映射媒介:
分佈式反映射拒絕服務(Distributed Reflected Denial of Service,DRDoS)是威力很大的,一些***者經常是使用100MB的帶寬,通過借用中間主機反映射可以把***效果放大到數十吉(gigabytes,G),所以加入您是一個網絡管理員,你應該盡最大的可能確保您的網絡不會被利用來做反映射***。
有一個確保你的網絡不會反映射包到其他的網絡的好方法,就是設置您的網絡只轉發包到你自己網絡上的計算機。你可以通過設置您的路由只轉發包到特定的IP地址,比如您自己的網絡內的站點IP上,當然您也可以設置轉發到如下的IP地址:
0.0.0.0/8 - Historical Broadcast
10.0.0.0/8 - RFC 1918 Private Network
127.0.0.0/8 - Loop back
169.254.0.0/16 - Link Local Networks
172.16.0.0/12 - RFC 1918 Private Network
192.0.2.0/24 - TEST-NET
192.168.0.0/16 - RFC 1918 Private Network
224.0.0.0/4 - Class D Multicast
240.0.0.0/5 - Class E Reserved
248.0.0.0/5 - Unallocated
255.255.255.255/32 – Broadcast
如果您使用了網絡地址轉換(Network Address Translation,NAT),那麼您應該在NAT設備和ISP之間找到一個合適的過濾平衡點。
如果您當初組網的時候很不幸的選擇了開啓了定向廣播,那麼開啓定向廣播就意味着招讓擊者使用您的網絡來進行反映射***。禁止定向廣播將會阻止所有連接到您的網絡的計算機對同樣的包進行回覆,因此就達到了防止擴大DDoS***的效果。
好了,在加固您的網絡以避免成爲反映射***的幫兇之後,做個檢測來確認您的加固成果是個絕對的好主意,這裏我們提供幾個檢測地址如下:
[url]http://www.netscan.org[/url]
[url]http://www.powertech.no/smurf/[/url]
(冰血封情注:這兩個地址可以用來檢測自己 同樣可以用來檢測其他的網絡 所以它可以做安全輔助也可以讓腳本小子用來探測遠程站點是否可以用來做反映射***的媒介 安全真是雙刃劍)
注意,如果您的站點回復了反映射數據包,那麼將成爲***者利用來做放大***的站點黑名單中的一員,所以如果您存在這種成爲幫兇的隱患,請立刻加固你的網絡。
爲您的網絡中每臺機器增加一個防火牆或者是***檢測系統(IDS)也是一個好主意,這樣不但可以更加降低您成爲反映射***幫兇的機率,而且還能夠讓您的系統在一定程度上防範***的***。
以下的系統默認設置就是禁止了定向廣播的,這意味着他們不會被用來反映射包:
Cabletron ***
FreeBSD
Microsoft Windows Workstation & Server 3.5 & 3.5.1
然而下面這些系統在默認情況下是開啓了定向廣播的。
Windows NT 4
Cisco
Bay
作爲一個大網絡的超級管理員(甚至是個小網絡的超級管理員),禁止您的網絡的定向廣播,以便***包不會從您的網絡反映射出去是很重要的一件事情。假如確實是需要開啓定向廣播,那麼您任何時候都應該小心謹慎的管理。
您的服務器正在被***,咋整?
拒絕服務***是非常難防止的,尤其是你拿不準***者是否在***,但是如果您的站點正在被***。那麼請立刻!
爲了臨時阻止***者拖慢或者是搞宕您服務器,有幾件事情您的做。
如果***者採用ICMP洪水***您的服務器,那麼最有效的辦法就是您的服務不要對ICMP包作出響應,防火牆也是個不錯的選擇,當然您最好在第一現場。
微軟最近就這麼做了,所以他們的網站(microsoft.com)不會再響應ICMP數據包了。
如果***者採用耗費掉你所有的連接請求的方法,你可以通過設置每個IP地址只能建立一個連接來輕鬆解決,或者您可以中斷與傀儡機器(肉機)所使用的IP的連接。
當然,***者可能會通過讓他或者她的肉機採用多線程長時間的下載您站上的某個文件來耗費您的連接,對付這種方法的絕招就是黑手封IP。
你也可以把他們在下的那個東西刪除或者是移動到其他的地方,這樣也可以臨時阻止***者,不過很有可能***者將找到那個東西的地址又繼續命令他的肉機去下載,但是你把這些東西到處移動也可以阻止他。
惡意***者的另一種耗費連接的***手法就是頻繁的訪問你服務器上的某個服務,這個服務也許是不常用的,如果你發現***者正試圖訪問你很少使用的服務,那麼停止那個服務(至少如果***持續你就得這麼做)。儘可能少的的運行服務也是很重要的,並且在拒絕服務***的時候轉換服務(比如轉換FTP)。
最後一種方法,就是利用對您服務器上正在運行的某個存在安全問題的軟件進行***。
保持您的計算機系統經常更新是很重要的(我已經嘮叨好多次了),因爲拒絕軟件的服務漏洞是源源不斷的,就算是象Apache的web服務器軟件也一樣經常爆洞。最好您能訂閱一份象Bugtraq這樣的安全郵件,這樣你就可以時刻了解最新的安全漏洞信息了。
***者親密接觸:
很多人放任DDoS***發生並且在過後也不對***進行分析,如果你被***了,那麼追蹤***者以及分析他們的***目的是很有必要的,因爲這些***者通常都是一些腳本小子,如果你對他們使用的工具有所瞭解的話,很容易沿着足跡追蹤到他們,下面就是追蹤***者的一些常用步驟。
1.看看DoS***是來自什麼地方,你很可能注意到***是來自上千個IP地址,而且很多地址都是靜態的,因爲這些肉機都保持着ADSL連接。而這些肉雞是不會僞造包頭的IP地址的,所以你找到的IP地址是正確的,使用Whois查詢幾個你找到的IP,並且和他們的ISP取得聯繫,然後通過他們找到肉機的主人,或者是讓ISP通知肉機的主人來聯繫你。
聯繫到肉機的主人後,你可以幫助他來找到安裝在他機器上的DoS***傀儡終端,這個可以簡單的通過告訴他安裝一個反病毒軟件來找出來,然後讓肉機的主人把那個傀儡終端發給你。
2.你現在擁有這個終端了,一個曾經被利用來***你的服務器的終端,不過現在還不是找兇手的時候,你現在需要如下的工具來輔助你追兇。
一個包嗅探工具 (我推薦ethereal.com)
你得到的***傀儡終端
一臺感染了這個終端的機器
Netstat或者類似的工具(可選)
IRC客戶端
好的,現在你用你得到的傀儡終端感染你的機器,最好先斷開網絡。現在啓動Ethereal,開始嗅探你計算機發出的包,如果你不知道如何使用Ethereal,這裏有很多教程:
[url]http://www.ethereal.com/[/url]
現在把你的計算機連接到因特網,不的包嗅探器將會顯示程序訪問網絡的情況和他們發送的數據包,我建議你不要運行其他的網絡程序,儘量保持系統的潔淨。
現在你會看見這個終端去連接IRC服務器並且發送密碼,而且可以看見這個終端連接到什麼地方並且發送了什麼東西,現在你仔細查找一些類似URL或者是靜態DNS的信息,現在你將擁有IRC服務器的地址和登錄密碼,這些都是非常有用的信息。當然,嗅探工具也有可能得到一堆垃圾數據,因爲一些終端可能會利些沒用的信息去迷惑那些想追查***者的人,而且連接的地點也可能是亂七八糟。我的一個朋友曾經想試圖通過傀儡終端追蹤***者,但是嗅探器提示他這個終端竟然跑去下載一個.swf文件,很有可能就是這個終端在試圖迷惑我的那個朋友。
我也曾經發現有的時候DoS終端會去下載一個包含需要連接的IRC地址信息的.txt文件,如果是這樣你真是太幸運了。因爲我們這一步要做的就是找出txt文件並且下載他,然後在裏面找到IRC服務器的信息。有的時候,終端可能會去下載一些.jpg文件,然而這些文件可能象txt一樣包含了IRC服務器的信息在裏面,只要你用記事本(Notepad)打開這些文件就會發現一些有趣的信息在裏面。
經常也許你都不需要嗅探軟件就可以找到信息,你可以等待終端和IRC服務器建立聯繫後,使用一些類似Netstat(Windows自帶)的程序去查看你的TCP/UDP連接,然後查看連接到IRC服務器的那一條就可以了,默認的IRC連接是建立在6667端口的。
3.現在你擁有傀儡服務端的信息了,恭喜,現在可以切斷傀儡終端的連接,在你登錄到IRC之前我建議你先在終端上找找還有什麼有用的信息,如果沒有,那麼現在你就可以把它刪除了。你可以使用反病毒程序清除它,如果你搞不定可以直接和一些反病毒公司取得聯繫:
Kaspersky(卡巴斯基):
[url]http://www.kaspersky.com/contacts[/url]
Trend Micro(趨勢科技):
[url]http://subwiz.trendmicro.com/SubWiz/UndetectedMalware-form.asp?TMsessionid=F1862F527EDA4DDEAF07CC9154AFB956&proc=7[/url]
H+BEDV (AntiVir):
[url]http://www.free-av.com/images/buttons/contact.htm[/url]
Panda Software(熊貓殺毒):
[url]http://www.pandasoftware.com/about/contact/[/url]
當你把傀儡終端的樣本送到反病毒公司後,那麼你已經完成了大部分了,當你把病毒樣本交給反病毒公司的同時,你應該非常禮貌的詢問他們是否可以向你提供該病毒的詳細信息,這樣他們就很有可能回覆你並且告訴你這個終端的一些信息,也許是關於IRC服務器或者更多。如果你之前自己什麼信息也沒找到,這個時候反病毒公司正好幫了大忙。
現在反病毒公司已經可以檢測這個傀儡程序了,這樣就會促使***者的肉機很快消失。因爲很多肉機是裝了殺毒軟件,但是由於病毒數據庫裏沒有這個資料,所以檢測才失敗的。所以,把傀儡終端的樣本發送到反病毒公司是使腳本小子計劃失效的最好方法。
Example: Agobot bot commands
現在如果你得到了反病毒公司的回覆,他們很有可能告訴你這是某個病毒或者DoS傀儡終端的變種(經常這樣),那麼這個終端的使用方法將會和原版是通用的,所以現在你需要做的就是在google上搜索他的命令
例如:Agobot bot commands
你將會得到很多信息,找到有關這個終端的信息,現在就是你登錄到IRC服務器的時候了,啓動IRC客戶端並且連接到DoS終端所用的網絡,並且鍵入
/join #channel password
進入後你將看見在IRC裏有很多同樣的肉機終端連接着,顯示的情況會比較類似如下的模式
Bot1
Bot2
……
現在,把你的名字修改成類似Bot1061的樣子
進入後,你就一直在那掛着,若干時間之後這些傀儡的主人,也就是***你的人進來了,這臭小子絕對不會發覺你在角落窺視他。如果你想齷齪一把,那麼你可以通過更新傀儡終端使用的IRC隧道來搶走他的肉機,當然你也可以發送一個卸載命令(極少數的***程序有這種命令)讓他的肉們徹底解放。
他要是還老***你的服務器,只要你願意,你可以將這丫的一舉一動都記錄下來並且用於日後恐嚇他。
尾聲:
在看完這篇文章後,您應該對什麼是拒絕服務***、怎樣對抗拒絕服務***以及怎樣追蹤兇手有了大概的瞭解了。
拒絕服務***一旦發生是很難阻止的,最好的方法其先決條件就是不要讓惡意的***着掌握肉機,所以作爲一個網絡管理員,您應該確保您的網絡裏沒有計算機被DoS蠕蟲感染或者是沒有機器被裝傀儡終端成爲***者的傀儡。
相關連接:
[url]http://www.securitydocs.com/library/2652[/url]
[url]http://www.astalavista.com/?section=dir&cmd=file&id=2164[/url]
[url]http://www.securitydocs.com/library/2616[/url]
[url]http://www.astalavista.com/?section=dir&cmd=file&id=1705[/url]
[url]http://www.eviloctal.com/forum/read.php?tid=9996[/url]
免責條款:
閱讀本文章代表您已經同意不使用文章中所述的信息做任何不法嘗試,本文章僅提供教學使用,文章產生的任何後果作者和翻譯者將不承擔任何責任。
[ 此貼被EvilOctal在2007-03-21 10:38重新編輯 ]
文章轉自[url]http://forum.eviloctal.com/read-htm-tid-6499.html[/url]