《DDoS攻防.ppt》由会员分享,可在线阅读,更多相关《DDoS攻防.ppt(36页珍藏版)》请在金锄头文库上搜索。
1、DDoS攻防测试,2015.11.14,什么是DDOS攻击,01,DDoS攻击工具与方法,02,DDOS防护,03,CONTENTS,目 录,1.什么是DDOS攻击,DDOS攻击,拒绝服务攻击(DoS/DDoS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的 TCP/IP 协议层拥塞、或者导致应用层异常终止而形成拒绝服务的现象。,那到底DDoS是个啥玩意?,让我们来举个栗子,假设你开了一家店,生意还不错哦!,那到底DDoS是个啥玩意?,此时隔壁家生意萧条的老王盯上了你(好吧,别介意,他也可以不姓王的),那到底DDoS是个啥玩意?,于是他雇佣来了一群闹事的小子。,那到底DDoS是个啥
2、玩意?,紧接着,你就发现突然店里来了一大波客人。你完全应接不暇,而且他们老找你问这问那,东看西看,就是不买东西,更可恶,赖着不走了!,那到底DDoS是个啥玩意?,而真正的顾客连进店的地方都没有了!这就是所谓的DDoS攻击一群“恶意访问”、“堵店门”、“占空间”、还“调戏店员”的非法流量。这就是DDOS攻击!,DDOS攻击方法,以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地,以巧取胜,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。,混合攻击,前两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又
3、具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击,是当前的主流攻击方式。,DDOS攻击方式,1.ICMP/IGMP 洪水攻击 2.UDP洪水攻击 3.ACK反射攻击,4.DNS放大攻击 5.NTP放大攻击 6.SNMP放大攻击,7.TCP连接洪水攻击 8.SYN洪水攻击 9.PSH+ACK洪水攻击,10.RST洪水攻击 11.Sockstress攻击 12.DNS QUERY洪水攻击,13.DNS NXDOMAIN 洪水攻击 14.HTTP 洪水攻击 15.Slowloris攻击,ICMP/IGMP 洪水攻击,网络控制消息协议(ICMP) 因特网组管理协议(IG
4、MP) 方法: 攻击者使用受控主机向被攻击目标发送大量的ICMP/IGMP报文,进行洪水攻击以消耗目标带宽资源。 工具: hping等就能简单的发起攻击 总结: 这种攻击类型出现的很早,现在使用这种方法发动攻击不多见,被攻击的目标可以在其网络边界直接过滤并丢弃ICMP/IGMP数据包使其攻击无效化。,ICMP/IGMP 洪水攻击,UDP洪水攻击,方法: UDP洪水攻击和ICMP/IGMP洪水攻击远离基本相同。通常攻击者会使用小包和大包两种方式进行攻击。 小包指64位字节的数据包,在相同的流量下,单包体积越小,数据包的数量越多。使用小包攻击能够有效的增大网络设备处理数据包的压力,造成处理速度缓慢
5、和传输延迟等拒绝服务。 大包指的是1500字节以上的数据包,其大小超过了以太网最大传输单元(MTU)。使用大包攻击能够有效的占用网络接口传输带宽,并迫使被攻击目标接收到UDP数据时进行分片充足,造成网络拥堵,服务器响应速度变慢。 总结: UDP洪水攻击也是很早就出现的拒绝服务攻击的方式,这种攻击发动简单,工具数量多,如hping,LOIC等。但UDP洪水攻击完全依靠受控主机本身的网络性能,因此通常对攻击目标带宽资源的小号并不是很大。,DDOS 攻击方式,ACK反射攻击,在TCP建立连接时,会进行TCP三次握手。再次过程中,当服务器端接收到客户端发来的SYN连接请求时,会对该请求进行ACK应答。
6、利用TCP握手的ACK应答,既可以进行ACK反射攻击。 方法: 受控主机想大量服务器发送伪造源IP地址的SYN请求数据,从而使服务器响应大量的ACK应答数据涌向被攻击的目标。从而导致拒绝服务。 总结: 在发动ACK 反射攻击时,首先需进行扫描,获得大量的反射器地址,并分别想这些反射器发送伪造源地址的SYN请求数据,相比直接攻击,这种方式闲的复杂一些,ACK反射攻击的有点主要在于其能够有效的隐藏攻击的来源。,ACK反射攻击,DNS放大攻击,方法: 通常DNS相应数据包会比查询数据包大,因此攻击者利用普通的DNS 查询请求就能够发动放大攻击,并将攻击流量放大2-10倍。但是更有效的方法是用RFC
7、2671中定义DNS扩展机制EDNS0。 攻击者发动的DNS查询请求数据包一般为60字节左右,返回的结果的数据包大小通常为3000字节以上,因此,使用该方式进行放大攻击能够达到50倍以上的放大效果。 总结: 与ACK反射攻击类似,发动DNS放大攻击也需要先进行扫描,以获得大量的开放DNS解析器地址,并向这些开放DNS解析器发送伪造源地址的查询命令来放大攻击流量。,DDOS 攻击方式,NTP放大攻击,网络时间协议(NTP)是用来使计算机时间同步化的一种协议,它可以使计算机与时钟源进行同步化并提高精准度的时间校正,NTP使用UDP123端口进行通信。 方法: 攻击者发送的monlist请求数据包大
8、小不超过64字节,而请求返回的结果会包含100个482字节的UDP响应数据,因此,使用该方式进行放大攻击能够达到700倍以上的放大效果。 总结: 与ACK反射攻击和DNS放大攻击类似,发动NTP放大攻击也需要先进的网络扫描,以获得大量的NTP服务器,并想这些NTP服务器发送伪造源地址请求来放大攻击流量,相比DNS放大攻击,NTP放大攻击的倍数更大,因此危害也更加严重。,NTP放大攻击,SNMP放大攻击,方法: 利用SNMP协议中的默认通信字符串GetBulk请求,攻击者能够展开有效的SNMP方法攻击。 攻击者向广泛并存在开启SNMP服务的网络设备发送GetBulk请求,使用默认通信字符串作为认
9、证凭据,并将源IP地址未造成攻击目标的IP地址。设备收到Getbulk请求后,会将相应结果发给攻击目标。当大量的响应结果涌向攻击目标时,就会造成拒绝服务攻击。,SNMP放大攻击,TCP连接洪水攻击,TCP连接洪水攻击是在连接创建阶段对TCP资源进行攻击的。 方法: 攻击者利用大量肉鸡,通过快速建立大量恶意的TCP连接沾满被攻击目标的连接表,使其无法接受新的TCP连接请求,从而达到拒绝服务的目的。 总结: TCP连接洪水攻击是攻击TCP连接最基本的方法,当有大量的受控主机发起攻击的时候,效果非常明显。,SYN FLOOD攻击,SYN洪水攻击是最经典的一种拒绝服务的攻击方式,近年来SYN洪水攻击仍
10、然占据全部分布式拒绝服务攻击的1/3以上。 方法: 由于连接表的大小是有限制的,如果在短时间内产生大量是半开连接,而这个学连接有无法很快的结束,连接表就会迅速被占满,导致新的TCP无法连接。SYN洪水攻击就是利用肉鸡发送大量的TCP SYN报文,使服务器打开大量的半开连接,占满服务器是连接表。从而导致拒绝服务。 总结:SYN洪水攻击发动简单,效果明显,有着大量的攻击工具都能发动这种攻击。目前依然是攻击者最喜爱的攻击方法之一。,SYN FLOOD,PSH+ACK洪水攻击,在TCP数据传输的过程中,可以通过设置PSH标志位来表示当前的数据传输结束,需要服务端进行处理。 方法:带有PSH标志位的TC
11、P数据包会强制要求接收端将结束缓冲区清空并将数据提交给应用服务器进行处理,因此当攻击者利用肉鸡想目标发送大量的PSH/ACK数据包时,使其消耗大量的系统资源不断的进行接受缓冲区的清空处理,导致无法正常处理数据,从而造成拒绝服务。 总结:单独使用PSH+ACK洪水攻击对服务器产生影响不是很明显,更有效的方式是SYN洪水攻击与ACK洪水攻击想结合,这样能绕过一部分防护设备,增强攻击效果。,RST洪水攻击,在TCP连接的终止阶段,通常是通过带有FIN标志报文的四次交互(TCP四次挥手)来切断客户端与服务器的TCP连接。当客户端或服务端一端出现异常,就无法正常的完成四次交互,就会使用RST报文将连接强
12、制中断。 TCP RST攻击是针对用户的拒绝攻击方式。通常被用于在线有戏或比赛用户。,RST洪水攻击,DNS QUERY洪水攻击,DNS QUERY洪水攻击是指向DNS服务器发送大量查询请求已达到拒绝服务效果的一种攻击方法。 进行DNS QUERY洪水攻击的要点是在于每一个DNS解析请求所查询的域名应用是不同的,这样可以比较有效的避开DNS服务器缓存中的解析记录,达到更好的资源消耗效果。,DDOS 攻击方式,Sockstress攻击,Sockstress攻击是一种慢速攻击。不需要在短时间内发送大量的攻击流量。Sockstress是长时间的维持TCP连接,来来达到拒绝服务攻击的目的。 方法: 一
13、般先完成TCP连接,但是在三次握手的最后一次ACK应答中,攻击者将其TCP窗口大小设置为0,随后进行一次数据请求。目标在传输数据时,发现接收端TCP窗口大小为0,就会停止传输数据,并发出TCP窗口探测包,询问攻击者其TCP端口是否有更新。由于攻击者没有更改TCP窗口的大小,被攻击目标就会一直维持TCP连接等待数据发送,并进行探测。用大量肉鸡发动此攻击就会引起拒绝服务。,Sockstress攻击,DNS NXDOMAIN 洪水攻击,是DNS QUERY的一种变种攻击方式,区别在于后者是向DNS服务器查询一个真实存在的域名系统,而NXDOMAIN 是查询一个不存在的域名。,DDOS 攻击方式,HT
14、TP 洪水攻击,常见的HTTP请求有GET和POST请求两种,通常,GET请求用于从WEB服务器获取数据和资源,POST请求用于向WEB服务器提交数据和资源。在处理这些请求过程中,WEB服务器通常需要解析请求、处理和执行服务端脚本、验证用户权限并多次访问数据库,这会消耗大量的计算资源和IO访问资源。 方法: 攻击者利用大量受控主机不断地向WEB服务器恶意发送大量的HTTP请求,要求WEB服务器处理,就会完全占用服务器的资源,造成其它正常用户的WEB访问请求处理缓慢甚至得不到处理,导致拒绝服务。 总结: HTTP洪水攻击的目前对WEB服务威胁最大的攻击之一,有大量的攻击工具支持http洪水攻击,
15、发动简单其效果明显,已经成为攻击者使用的主要攻击方式之一。,HTTP 洪水攻击,HTTP洪水攻击,Slowloris攻击,Slowloris攻击的一种针对WEB服务器的慢速HTTP攻击。 方法: 在HTTP协议中规定。HTTP头部以连续的“rnrn”作为结束标志。许多WEB服务器在处理HTTP请求的头部信息时,会等待头部传输结束后在进行处理。因此,如果web服务器没有接收到连续的“rnrn”,就会一直接收数据并保持与客户端的连接。利用这个特性,攻击者能够长时间与WEB服务器保持连接,并逐渐耗尽WEB服务器的连接资源。 攻击者使用Slowloris slowhttptest 等工具就可以简单的发
16、动Sloworis攻击。在Slowloris攻击方法出现以后,IIS/NGINX等一部分WEB服务器软件针对该攻击方法进行了修改,但是APACHER、dhttpd等WEB服务器软件依然会收到Slowloris攻击的影响。,Slowloris攻击,Slowloris攻击,DDOS防护措施,DDOS protective measures,安恒DDOS防护设备,DDOS攻击防护,1、连接跟踪:他会对针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对 TCP 协议的各种攻击。,DDOS攻击防护,2、报文规则过滤:明御抗 DDOS 网关提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位, 关键字等, 极大的提高了通用性及防护力度。 同时, 内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能。,DDOS攻击防护,3、攻击过滤:非法流量总是有一些特定特征的,
