资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,DDOS,分布式拒绝服务攻击,By Haisu,第1页,分布式拒绝服务攻击实施及预防办法,攻击,1),分布式拒绝服务攻击,(DDoS),概念以及它与拒绝服务攻击区分。,2)DDoS,攻击过程和攻击网络结构。,3)DDoS,攻击所利用协议漏洞,4)DDoS,几个攻击方式,5),一个新,DDoS,攻击方式,反弹攻击,防御,1)DDoS,攻击防范原理。,2)DDoS,攻击发生时网络出现异常情况。,3),防范中软硬件使用,4),拒绝服务监控系统设计,第2页,DDoS诞生,1999年8月以来,出现了一个新网络攻击方法,这就是分布式拒绝攻击(DDoS)。之后这种攻击方法开始大行其道,成为黑客攻击主流伎俩。Yahoo、eBay、CNN等众多知站点相继被身份不明黑客在短短几天内连续破坏,系统瘫痪达几个小时甚至几十个小时之久。,第3页,拒绝服务攻击,拒绝服务攻击(Denial of Service)是一个个人或多人利用Internet协议一些漏洞,拒绝其它用户对系统和信息正当访问攻击。,这类攻击使服务器充满大量要求恢复非法用户信息和请求,消耗网络带宽或系统资源,造成网络或系统不胜败荷以至瘫痪而停顿提供正常网络服务。,第4页,被DDoS攻击时现象,被攻击主机上有大量等候,TCP,连接,网络中充满着大量无用数据包,源地址为假,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯,利用受害主机提供服务或传输协议上缺点,重复高速发出特定服务请求,使受害主机无法及时处理全部正常请求,严重时会造成系统死机,第5页,正常访问,经过普通网络连线,使用者传送信息要求服务器给予确定。服务器于是回复用户。用户被确定后,就可登入服务器。,TCP,三次握手方式,第6页,“拒绝服务”(,DoS,)攻击方式,“拒绝服务”攻击方式为:用户传送众多要求确认信息到服务器,使服务器里充满着这种无用信息。全部信息都有需回复虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超出一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认信息,这个过程周而复始,最终造成服务器处于瘫痪状态,第7页,很多网络服务程序(如:,IIS,、,Apache,等,Web,服务器)能接收,TCP,连接数是有限,一旦有大量,TCP,连接,即便是正常,也会造成网站访问非常迟缓甚至无法访问,,TCP,全连接攻击就是经过许多僵尸主机不停地与受害服务器建立大量,TCP,连接,直到服务器内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击特点是可绕过普通防火墙防护而到达攻击目标,缺点是需要找很多僵尸主机,而且因为僵尸主机,IP,是暴露,所以轻易被追踪。,第8页,DDoS,攻击过程,扫描程序,非安全主机,黑客,黑客利用工具扫描,Internet,,发觉存在漏洞主机,1,Internet,第9页,黑客,Zombies,黑客在非安全主机上安装类似“后门”代理程序,2,Internet,DDoS,攻击过程,第10页,黑客,黑客选择主控主机,用来向“僵尸”发送命令,3,Zombies,主控主机,Internet,DDoS,攻击过程,第11页,Hacker,经过客户端程序,黑客发送命令给主控端,并经过主控主机开启 “僵尸”程序对目标系统发动攻击,4,Zombies,Targeted,目标,System,Master,Server,Internet,DDoS,攻击过程,第12页,目标系统,System,Hacker,主控端向“僵尸”发送攻击信号,对目标发动攻击,5,Master,Server,Internet,Zombies,DDoS,攻击过程,第13页,目标,黑客,目标主机被“淹没”,无法提供正常服务,甚至系统瓦解,6,主控主机,正当用户,服务请求被拒绝,Internet,僵尸,DDoS,攻击过程,第14页,分布式拒绝服务攻击,分布式拒绝服务攻击(Distributed Denial of Service)是对拒绝服务攻击发展。,攻击者控制大量攻击源,然后同时向攻击目标发起一个拒绝服务攻击。海量信息会使得攻击目标带宽快速消失殆尽。,相对于普通拒绝服务攻击,分布式拒绝服务攻击有以下两个特点:,第15页,分布式拒绝服务攻击特点,因为集中了成百上千台机器同时进行攻击,其攻击力是十分巨大。即使像,Yahoo,,,Sina,等应用了能够将负荷分摊到每个服务器集群服务器(,cluster server,)技术,也难以抵挡这种攻击。,多层攻击网络结构使被攻击主机极难发觉攻击者,而且大部分装有主控进程和守护进程机器正当用户并不知道自己是整个拒绝服务攻击网络中一部分,即使被攻击主机监测到也无济于事。,第16页,DDoS攻击过程,攻击过程主要有两个步骤:攻占代理主机和向目标发起攻击。详细说来可分为以下几个步骤:,1,探测扫描大量主机以寻找可入侵主机;,2,入侵有安全漏洞主机并获取控制权;,3,在每台被入侵主机中安装攻击所用客户进程或守护进程;,4,向安装有客户进程主控端主机发出命令,由它们来控制代理主机上守护进程进行协同入侵。,第17页,DDoS攻击网络结构,攻击端,:攻击者在此操纵攻击过程,主控端客户进程,:被攻击者控制主机,并运行了,DDoS,主控端程序。,代理端守护进程,:响应主控端攻击命令,向攻击目标发送拒绝服务攻击数据包。,第18页,DDOS表现形式,一个为流量攻击,主要是针对网络带宽攻击,即大量攻击包造成网络带宽被阻塞,正当网络包被虚假攻击包淹没而无法抵达主机;,另一个为资源耗尽攻击,主要是针对服务器主机攻击,即经过大量攻击包造成主机内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。,第19页,DDoS所利用协议漏洞,1,)利用,IP,源路由信息攻击,因为,TCP/IP,体系中对,IP,数据包源地址不进行验证,所以攻击者能够控制其众多代理端用捏造,IP,地址发出攻击报文,并指明抵达目标站点传送路由,产生数据包溢出。,2,)利用,RIP,协议攻击,RIP,是应用最广泛路由协议,采取,RIP,路由器会定时广播当地路由表到邻接路由器,以刷新路由信息。通常站点接收到新路由时直接采纳,这使攻击者有机可乘。,第20页,DDoS所利用协议漏洞(续).,3,)利用,ICMP,攻击,绝大多数监视工具不显示,ICMP,包数据部分,或不解析,ICMP,类型字段,所以,ICMP,数据包往往能直接经过防火墙。比如,从攻击软件,TFN(Tribe flood network),客户端到守护程序端通讯可直接经过,ICMP-ECHOREPLY(Type0),数据包完成。,可直接用于发起攻击,ICMP,报文还有:,ICMP,重定向报文,(Type5),、,ICMP,目标站点不可达报文,(Type3),、数据包超时报文,(Type11),。,第21页,DDoS攻击五种惯用方式,至今为止,攻击者最常使用分布式拒绝服务攻击程序主要包含,4,种:,Trinoo,、,TFN,、,TFN2K,和,Stacheldraht,。,1)Trinoo,(,Tribe Flood Network,)攻击,Trinoo,是一个用,UDP,包进行攻击工具软件。与针对某特定端口普通,UDP flood,攻击相比,,Trinoo,攻击随机指向目标端各个,UDP,端口,产生大量,ICMP,不可抵达报文,严重增加目标主机负担并占用带宽,使对目标主机正常访问无法进行。,第22页,DDoS攻击五种惯用方式,2)TFN,攻击,TFN,是利用,ICMP,给主控端或分布端下命令,其起源能够做假。它能够发动,SYN flood,、,UDP flood,、,ICMP flood,及,Smurf(,利用多台服务器发出海量数据包,实施,DoS,攻击,),等攻击。,3)TFN2K,攻击,TFN2K,是,TFN,增强版,它增加了许多新功效:,第23页,DDoS攻击五种惯用方式,a.,单向对,Master,控制通道,,Master,无法发觉,Attacker,地址。,b.,针对脆弱路由器攻击伎俩。,c.,更强加密功效,基于,Base64,编码,,AES,加密。,d.,随机选择目标端口。,4)Stacheldraht,攻击,Stacheldraht,结合了,Trinoo,和,TFN,特点,,第24页,DDoS攻击五种惯用方式,而且它将,attacker,和,master,间通信加密,增加了,master,端自动更新功效,即能够自动更新,daemon,主机列表。,5)SHAFT,是一个独立发展起来,DDoS,攻击方法,独特之处于于:,首先,在攻击过程中,受控主机之间能够交换对分布端控制和端口,这使得入侵检测工具难以奏效。,其次,,SHAFT,采取了“,ticket”,机制进行攻击,使其攻击命令有一定秘密性。,第三,,SHAFT,采取了独特包统计方法使其攻击得以顺利完成。,第25页,DDoS攻击新技术反弹技术,反弹技术就是利用反弹服务器实现攻击技术。,所谓反弹服务器(Reflector)是指当收到一个请求数据报后就会产生一个回应数据报主机。比如,全部Web服务器、DNS服务器和路由服务器都是反弹服务器。攻击者能够利用这些回应数据报对目标机器发动DDoS攻击。,第26页,反弹技术原理,反弹服务器攻击过程和传统DDoS攻击过程相同,如前面所述4个步骤中,只是第4步改为:攻击者锁定大量能够作为反弹服务器服务器群,攻击命令发出后,代理守护进程向已锁定反弹服务器群发送大量坑骗请求数据包,其原地址为受害服务器或目标服务器。,第27页,反弹技术实现DDoS攻击与传统DDoS攻击区分:,1,反弹技术实现,DDoS,攻击比传统,DDoS,攻击愈加难以抵抗。实际上它攻击网络结构和传统相比多了第四层,被锁定反弹服务器层。反弹服务器数量能够远比驻有守护进程代理服务器多,故反弹技术能够使攻击时洪水流量变弱,最终才在目标机汇合为大量洪水,其攻击规模也比传统,DDoS,攻击大得多。,2,目标机更难追查到攻击起源。目标机接收到攻击数据报源,IP,是真实,反弹服务器追查到数据报源,IP,是假。又因为反弹服务器上收发数据报流量较小(远小于代理服务器发送数量),所以,服务器依据网络流量来自动检测是否为,DDoS,攻击源这种机制将不起作用。,第28页,DDoS攻击下防御,对DDoS攻击体系检测与防范是一个整体行为,必须从主控端、代理端、目标端分别进行。总体上包含两个方面:,一是主控端与代理端主机应预防被攻击者侵入并加以利用。,二是在目标端建立监控机制及时检测网络流量改变判断是否发生DDoS攻击方便采取适当办法。,第29页,DDoS防御(主机上设置),几乎全部主机平台都有抵抗,DoS,设置,总结一下,基本有几个:,a.,关闭无须要服务,b.,限制同时打开,Syn,半连接数目,c.,缩短,Syn,半连接,time out,时间,d.,及时更新系统补丁,第30页,DDoS防御(网络设备上设置),a.,禁止对主机非开放服务访问,b.,限制同时打开,SYN,最大连接数,c.,限制特定,IP,地址访问,d.,启用防火墙防,DDoS,属性,e.,严格限制对外开放服务器向外访问,第31页,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
