第8章-拒绝服务攻击.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019/7/7,网络攻防技术,#,第八章 拒绝服务攻击,2025/5/22 周四,网络攻防技术,2,本章主要内容,8.1,概述,8.2,典型拒绝服务攻击,8.3,分布式拒绝服务攻击,8.4,拒绝服务攻击防御,一、拒绝攻击服务案例,1988,年，,Morris,蠕虫爆发，其传播机制是此后僵尸网络构建方法的雏形,2025/5/22 周四,网络攻防技术,3,一、拒绝攻击服务案例,2000,年，,MafiaBoy,使用,TFN2K,对,Yahoo,、,Ebay,、,Amazon,实施了,DDOS,攻击,2025/5/22 周四,网络攻防技术,4,一、拒绝攻击服务案例,2010,年，,Anonymous,为支持,Wikileak,，对瑞士银行、,Paypal,等发动,DDOS,攻击,2025/5/22 周四,网络攻防技术,5,一、拒绝攻击服务案例,2016,年，网络服务提供商,Dyn,的域名服务受到,Mirai,僵尸网络发动的分布式拒绝服务攻击，,Netflix,、,Twitter,等,著名网站受到攻击影响而无法访问。此次攻击的峰值流量达到,1.2Tbps,2025/5/22 周四,网络攻防技术,6,二、拒绝服务攻击概念,指攻击者通过攻击网络节点、网络链路或网络应用，致使,合法用户无法得到正常服务响应,的网络攻击行为,广义而言，拒绝服务攻击可以泛指一切导致目标服务不可用的攻击手段，包括物理环境、硬件、软件等各个层面所实施的破坏。在网络安全相关研究中，论及拒绝服务攻击时多数指上述狭义的,内涵,2025/5/22 周四,网络攻防技术,7,三、拒绝服务攻击分类,1,、漏洞型拒绝服务,攻击,：,指,利用,软件实现中存在的漏洞,，致使服务崩溃或者系统异常,。,具体如,:Ping of Death;Tear of Drop,2025/5/22 周四,网络攻防技术,8,三、拒绝服务攻击分类,2,、,重定向型拒绝服务,攻击,：,指,利用,网络协议的设计缺陷,，使,目标传输的数据被重定向至错误的网络地址，从而无法进行正常的网络通信,。,具体如,:,基于,ARP,欺骗、基于,DNS,欺骗等,2025/5/22 周四,网络攻防技术,9,三、拒绝服务攻击分类,3,、资源消耗型拒绝服务,攻击：指通过,大量的请求,占用网络带宽或系统资源,，从而导致服务可用性下降甚至丧失,。,具体如,SYN FLOOD,、,UDP FLOOD,、,HTTP FLOOD,等,2025/5/22 周四,网络攻防技术,10,2025/5/22 周四,网络攻防技术,11,本章主要内容,8.1,概述,8.2,典型拒绝服务攻击,8.3,分布式拒绝服务攻击,8.4,拒绝服务攻击防御,一、传统拒绝服务攻击,传统拒绝,服务型,攻击多数,是一些较早时间出现的漏洞利用型拒绝服务攻击技术,。虽然这些漏洞,利用型攻击可以通过更新相关安全补丁即可,防范，但导致攻击,的漏洞有时会变换形式再度出现在其它系统或软件中,，使得,这些看似“古老”的攻击技术会如同“幽灵”般再次,浮现。,2025/5/22 周四,网络攻防技术,12,一、传统拒绝服务攻击,1,、,Ping of,Death,：针对存在漏洞的,Windows 95,、,WinNT,、,Linux 2.0.x,等系统，通过向其,发送超长的,IP,数据包,导致目标系统拒绝服务。,2025/5/22 周四,网络攻防技术,13,一、传统拒绝服务攻击,2,、,TearDrop,：,利用,IP,包的分片重组在多个操作系统协议栈中实现时存在的漏洞,，主要,影响,Windows 3.1x,，,Windows 95,和,Windows NT,，以及早于,2.0.32,和,2.1.63,版本的,Linux,操作系统。,2025/5/22 周四,网络攻防技术,14,一、传统拒绝服务攻击,3,、,Land,攻击：,发送一个,伪造的,TCP SYN,报文,，源地址,和目的地址,设置均为目标,IP,地址,，源端口和目标端口设置,为,目标,某个,开放的,TCP,端口,，可以导致目标主机死锁。,Windows 95,、,Windows,NT,、,FreeBSD 2.2.5,、,SunOS 4.1.3,，甚至多款,Cisco,路由器在接收到此报文后，均会,产生拒绝服务。,2025/5/22 周四,网络攻防技术,15,二、洪泛攻击,洪泛攻击的共同特征是发送大量的数据包，迫使目标服务消耗大量资源来处理无用,请求。,根据,攻击发生的,协议层次,，洪泛攻击可以分为网络层洪泛、传输层洪泛和应用层洪泛等，具体的常见洪泛攻击包括,TCP,洪泛,、,UDP,洪泛,、,HTTP,洪泛,。,2025/5/22 周四,网络攻防技术,16,二、洪泛攻击,1,、,TCP,洪泛,（,TCP Flood,）又称为,SYN,洪泛,（,SYN Flood,），是一种通过发送大量伪造的,TCP,连接请求，致使目标服务,TCP,连接资源被耗尽的拒绝服务攻击。,2025/5/22 周四,网络攻防技术,17,二、洪泛攻击,攻击者向,服务器某个开放端口发送大量,SYN,连接,请求并忽略服务器,SYN/ACK,响应，导致服务器消耗,可观的资源用于维护,大量未完成的,TCP,半连接，,最终使合法,的服务请求者无法得到正常响应。,2025/5/22 周四,网络攻防技术,18,二、洪泛攻击,2,、,UDP,洪泛,（,UDP Flood,）是一种通过发送大量的,UDP,报文，消耗目标服务器带宽资源的一种拒绝服务攻击。,2025/5/22 周四,网络攻防技术,19,二、洪泛攻击,UDP,洪泛是,一类拒绝服务攻击的统称,，最早出现的,UDP,洪泛攻击是前文提到的,Echo/Chargen,攻击，后文将讨论的目前广泛流行的,反射型分布式拒绝服务,攻击实际上也多为,UDP,洪泛攻击。,2025/5/22 周四,网络攻防技术,20,二、洪泛攻击,3,、,HTTP,洪泛,（,HTTP Flood,）利用大量看似合法的,HTTP,GET,或,POST,请求消耗,Web,服务器资源，最终导致其无法响应真正合法的请求,。,2025/5/22 周四,网络攻防技术,21,二、洪泛攻击,HTTP,洪,泛,并不以,流量“取胜”,。攻击,者通常会对针对性地对目标,Web,服务器进行分析，选择可以更多消耗目标服务器资源的,Web,请求实施洪泛。,2025/5/22 周四,网络攻防技术,22,三,、低速率拒绝服务攻击,低速率拒绝服务（,LDoS,Low-rate Denial-of-Service,）攻击，是利用,网络协议或应用服务协议中的自适应机制存在的安全问题,，通过周期性地发送高速脉冲攻击数据包，达到降低被攻击主机服务性能的目的。,2025/5/22 周四,网络攻防技术,23,三,、低速率拒绝服务攻击,1,、,TCP,拥塞控制,-RTO,发送,端为发送的每个报文设置一个定时器,，若收到,报文的确认之前定时器超时将重新发送该报文，这里设置的定时器就是,RTO,2025/5/22 周四,网络攻防技术,24,三,、低速率拒绝服务攻击,1,、,TCP,拥塞控制,-AIMD,发送端在,收到,3,个重复的,ACK,数据包时就开启重传，启动,AIMD,算法调整拥塞窗口大小。,2025/5/22 周四,网络攻防技术,25,三,、低速率拒绝服务攻击,2025/5/22 周四,网络攻防技术,26,在多数,TCP,协议实现中，拥塞控制综合使用多种机制来,调整源端的发送,速率,在,链路轻度拥塞的情况下，表现为发送端重复收到,3,个相同的确认报文,，主要,是采用,AIMD,策略实现,拥塞控制,而,当网络重度拥塞的时候，表现为在超时重传时间内没有收到确认，此时使用,RTO,机制,三,、低速率拒绝服务攻击,2,、低速率拒绝服务攻击原理,LDoS,攻击利用,TCP,拥塞控制机制,，故意制造网络拥塞状况，使拥塞控制一直处于调整,状态，发送,端的发送速率会迅速变小，导致被攻击主机的服务性能显著降低,2025/5/22 周四,网络攻防技术,27,2025/5/22 周四,网络攻防技术,28,本章主要内容,8.1,概述,8.2,典型拒绝服务攻击,8.3,分布式拒绝服务攻击,8.4,拒绝服务攻击防御,分布式拒绝服务攻击,分布式拒绝服务,攻击指,采用协作的方式，利用网络中位置分布的大量主机向目标发起的拒绝服务攻击,。按照协同方式的不同分为：,僵尸,网络的分布式拒绝服务,攻击,反射,型分布式拒绝服务,攻击,2025/5/22 周四,网络攻防技术,29,一、基于僵尸网络的,DDoS,1,、,僵尸,网络基本,概念,僵尸网络,：是攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。,僵尸主机,：又称为傀儡机，指被攻击者控制，接受并执行攻击者指令的计算机，往往被控制者用来发起大规模的网络攻击，也就是安装了僵尸程序的计算机,。,2025/5/22 周四,网络攻防技术,30,一、基于僵尸网络的,DDoS,1,、,僵尸,网络基本,概念,僵尸,程序,：又称为傀儡程序，由英文单词,Robot,派生而来，通常指秘密运行在被他人控制的计算机中，可以接收预定义命令和执行预定义功能的程序。,命令控制机制,：指攻击者用来操纵僵尸网络的命令语言及控制协议。命令控制机制是僵尸网络区别于其它恶意代码形态最为本质的属性。,2025/5/22 周四,网络攻防技术,31,一、基于僵尸网络的,DDoS,2,、集中式命令控制机制,僵尸节点通过连接到一个或多个控制服务器来获取控制信息或命令,。基于,IRC,协议,的僵尸网络和基于,HTTP,协议的僵尸网络都属于集中式命令控制机制的僵尸网络。,2025/5/22 周四,网络攻防技术,32,一、基于僵尸网络的,DDoS,3,、分布式命令,控制机制,在使用分布式命令控制机制时，攻击者通常会任意地连接到某个僵尸节点，在该节点上发布命令控制信息，命令会采用,Push,或,Pull,的方式在整个僵尸网络中传递。,2025/5/22 周四,网络攻防技术,33,一、基于僵尸网络的,DDoS,4,、利用,僵尸网络发动拒绝服务,攻击,2025/5/22 周四,网络攻防技术,34,一、基于僵尸网络的,DDoS,4,、利用,僵尸网络发动拒绝服务,攻击,攻击,者借助僵尸网络发动,DDoS,攻击通常需要经过以下几个阶段,：,构建僵尸网络,收集,目标,信息,实施,DDoS,攻击,2025/5/22 周四,网络攻防技术,35,二、反射型,DDoS,反射型分布式拒绝服务,攻击是,从基于僵尸网络的分布式拒绝服务攻击衍生而来。在,RDDoS,攻击中，攻击,者利用,反射器,将大量的响应包汇集到受害者主机，导致拒绝服务,。,2025/5/22 周四,网络攻防技术,36,二、反射型,DDoS,1,、,DNS,反射,攻击,通过向,DNS,服务器发送伪造源地址的查询请求将应答流量导向攻击目标，亦称为,DNS,放大攻击,。,利用,LDAP,服务器可将攻击流量平均放大,46,倍，最高可放大,55,倍。,2025/5/22 周四,网络攻防技术,37,二、反射型,DDoS,2,、,LDAP,放大,攻击,通过,向,LDAP,（,Lightweight Directory Access Protocol,，轻量目录访问协议）服务器发送伪造源地址的查询请求来将应答流量导向攻击目标,。,利用,LDAP,服务器可将攻击流量平均放大,46,倍，最高可放大,55,倍。,2025/5/22 周四,网络攻防技术,38,二、反射型,DDoS,2,、,NTP,放大攻击,通过向,NTP,（,Network Time Protocol,，网络时间协议）服务器,发送伪造源地址的查询请求将应答流量导向攻击,目标。,2025/5/22 周四,网络攻防技术,39,2025/5/22 周四,网络攻防技术,40,本章主要内容,8.1,概述,8.2,典型拒绝服务攻击,8.3,分布式拒绝服务攻击,8.4,拒绝服务攻击防御,拒绝服务攻击防御,从部署位置的角度可以分为源端防御、目标端防御、中间网络防御和混合,防御,2025/5/22 周四,网络攻防技术,41,拒绝服务攻击防御,从技术的角度，拒绝服务攻击的防御可以分为预防、检测、响应与,容忍,：,预防,着眼于在攻击发生前消除拒绝服务攻击的,可能性,检测,是,检测拒绝服务攻击的发生，区分攻击流量和正常流量,，为,后续的响应提供,依据,响应,关注于在拒绝服务攻击发生后降低乃至消除攻击的危害与,影响,容忍,致力于在拒绝服务攻击发生后保持服务的,可用性,2025/5/22 周四,网络攻防技术,42,一、预防,拒绝,服务攻击的,预防,是在攻击发生前阻止,攻击，具体措施包括：,抑制,僵尸网络,规模,过滤,伪造源地址,报文,减少,可用反射,/,放大器,2025/5/22 周四,网络攻防技术,43,二,、检测,拒绝,服务攻击,检测,是在攻击过程发现攻击，并区分攻击流量与正常,流量，具体方法包括：,特征检测,：,通过分析得到攻击行为,区别于其它正常用户访问行为的唯一特征，并据此建立已知攻击的特征库,异常检测,：攻击会导致当前的网络状态与正常网络状态模型产生显著的不同。异常检测通过对比两者检测出攻击的发生,2025/5/22 周四,网络攻防技术,44,三、响应,拒绝,服务,攻击,响应,是,指,在,拒绝服务攻击发生后降低乃至消除攻击的危害与,影响，目前的主要方法称为：,“,流量清洗,”：对,攻击流量进行过滤,，设法,将恶意的网络流量剔除掉，只将合法的网络流量交付服务器,2025/5/22 周四,网络攻防技术,45,四,、容忍,拒绝,服务,攻击,容忍,是,指通过,提高处理请求的能力来消除攻击的影响：,CDN,（内容分发网络）,AnyCast,（任播）,2025/5/22 周四,网络攻防技术,46,四、容忍,1,、,CDN,在互联网范围内广泛设置多个节点作为代理缓存，并将用户的访问请求导向最近的缓存节点，以加快访问,速度。,2025/5/22 周四,网络攻防技术,47,四、容忍,2,、,Anycast,一种网络寻址和路由方法,。一,组提供特定服务的服务器可以使用相同的,IP,地址,，提供相同的服务。,2025/5/22 周四,网络攻防技术,48,本章小结,总体来看，拒绝服务攻击是一种复杂的危害严重的攻击方法。新型的拒绝服务攻击方法不断出现，在继承传统拒绝服务攻击方法的基础上，不断融入各种新的技术，使得其攻击能力更加强大，检测、追踪困难,。,2025/5/22 周四,网络攻防技术,49,本章小结,本质,上，拒绝服务攻击是攻击方与防御方在资源、技术、策略等多个层面的对抗。在不改变目前,Internet,整体构架下，拒绝服务攻击彻底解决是比较困难的。极端情况下，攻击者可以采用与正常用户一样的攻击流量，这使拒绝服务攻击的防御变成了如何构建处理超大流量的网络分布式系统的问题,。,2025/5/22 周四,网络攻防技术,50,本章小结,基于,CDN,与,Anycast,的方式，对于可以缓存的内容能够提供很好的,保护。,基于,ISP,的网络过滤机制，在能够区分攻击流量和合法流量的情况下，可以取得较好的防御效果。除了以,CDN,、,Anycast,和,ISP,过滤的方式解决拒绝服务攻击问题之外，以较小的代价较精确的检测出,DDoS,攻击，进而采取抵御措施，也是防御方努力的重要方向。,2025/5/22 周四,网络攻防技术,51,