《DDoS攻击介绍PPT》由会员分享,可在线阅读,更多相关《DDoS攻击介绍PPT(38页珍藏版)》请在金锄头文库上搜索。
1、DDoS攻击基础知识什么是DOS / DDOS攻击?DoS即DenialOfService,拒绝服务的缩写。DDOS全名是Distributed Denial of service (分布 式拒绝服务)。一个D DoS攻击过程Innocent pc & serverTurn into ZombieISP BackboneInfrastructure-level _ DDoS attacksBandwidth-level DDoS attacksDNS Email3Server-level DDoS attacksAttack Zombies:Massively distributed 大规模分
2、布式Spoof SourceIPOT欺骗Use valid protocols 使用有效的协议泛滥攻击实施代价极低&收听语音秀曾收听彩铃秀罔查看QQ相册泛滥攻击实施代价极低F面是3位攻击者的忠告茂玫瑰骑魂 0742092) 12:41:14入侵各类指定站丿只要你绐得起铳我们就能拿下你想要的站.(注:合法站 不举)联系QQ: 742092另售肉鸡Imb “ I攻击者一 22*4336宙于你未找本小细代理广告,本小组己将你列”本小组正在对你的游戏逬行第一轮攻击您己被锁定,本小组将对你逬行24小时攻击攻击不是目的,合作才能双赢!04 口 丄!肥舆痩./(7814153) 06:38:0&=1块UDO
3、S.够大众化二=收费如下:DDOS=10M下的1块”分钟DDQS二服务器毎小时10Q元udos二私服每小时zoo元专业帝接DDOS攻击业务先测试满意后付款信誉第一髡实力说话招聘DDOS经纪人数名(有信誉的啊)出售各国3383服务器肉鸡权限 有偿招攻击者二11:44:16恭喜发财由于你们有在我们这里走广告将旻 间。低价格代理传世所有发布站广告业务,7 黑矚这个垃圾的客户坚决搞掉生肖:星座:水瓶座 毕业院校: 电孑曲P件: 联系地址; 邮政编码: 手机号码: 个人主页:59.53.48.1807420920qq. com60.169.2.1&337271139*:职业:工作QQ谢绝血型:电话号码:
4、攻击者三11:52:42口点开区的伽你好,我现在在攻击你们的网:我们的价格便宜!如果你不信,那现在去看个人说明:不要被我的IP所吓到苴实我星用TP代理器改的.只要是个IF就能代戛如果你不信可以试探我诸不要把我拉黑.谢谢.!II出售玫击软件OOOCC+假人攻击器.II介绍说明&收听语音秀曾收听彩铃秀罔查看QQ相册Botnet僵尸网络是当前互联网的首要威胁发送垃圾由卩件网 络钓鱼,盗取帐号/密码机密信息 发动拒绝服务攻击-DDOS僵尸网络正在改变网络经济犯罪经济利益的驱动DDoS攻击发展趋势目标网站-网络基础设施(路由器/交换机/DNS 等)流量从几兆-几十兆-2G甚至更高10K pps-100K
5、 pps- IM pps技术真实IP地址-IP欺骗技术 单一攻击源-多个攻击源 简单协议承载-复杂协议承载 智能化,试图绕过IDS或FW形式DRDOS/ACK FloodZombie Net/BOTNETProxy Connection FloodDNS Flood攻击与防御技术木桶原理DoS攻击的本质利用木桶原理,寻找并利用 系统应用的瓶颈阻塞和耗尽当前的问题:用户的带宽小 于攻击的规模,造成访问带 宽成为木桶的短板DoS/DDoS类型的划分攻击类型划分I攻击类型划分II应用层-垃圾邮件、病毒邮件一 DNS Flood网络层-SYN Flood. ICMP Flood-伪造链路层- ARP伪
6、造报文物理层-直接线路破坏-电磁干扰堆栈突破型(利用主机/设备漏洞)- 远程溢出拒绝服务攻击网络流量型(利用网络通讯协议)-SYN Flood一 ACK Flood一 ICMP Flood一 UDP Flood. UDP DNS Query Flood一 Conn ection Flood-HTTP Get FloodDoS/DDoS攻击演变技术型带宽和流量的斗争DDoS攻击介绍一SYN FloodSYN Flood攻击原理攻击表象SYN _RECV 状态半开连接队列遍历,消耗CPU和内 存SYN|ACK 重试SYN Timeout: 30秒2分钟无暇理睬正常的连接 请求一拒绝服务DDoS攻击
7、介绍一ACK Flood大量ACK冲击服务器ACK Flood攻击原理攻I if者受害者资源消耗查表回应 ACK/RSTACK Flood流量要较大才会 对服务器造成影响DDoS攻击介绍Connection FloodConnection Flood 攻击原理正常用户不能建立正常的连接蠕虫传播过程中会出现大量源IP地址相同的包, 对于TCP蠕虫则表现为大范扫描行为攻击表象利用真实IP地址(代理 服务器、广告页面)在服 务器上建立大量连接服务器上残余连接(WAIT 状态)过多,效率降低, 甚至资源耗尽,无法响应消耗骨干设备的资源, 如防火墙的连接数DDoS攻击介绍一HTTP Get FloodD
8、DoS攻击介绍一HTTP Get Flood正常HTTP Get请求攻击者正常用户iM汨TTP Get Flo 正希 HTTP Get Flo 正常HTTP Get Flo 皿HTTP G品乔止常HTTP Get FloDB连接完啦! !正常HTTP Get Flood受害者(Web攻击表象利用代理服务器向受害者 发起大量HTTP Get请求主要请求动态页面,涉及 到数据库访问操作数据库负载以及数据库连 接池负载极高,无法响应 正常请求HTTP Get Flood攻击原理DB连接池受害者(DBServer)常见的DoS攻击判 断方法判断与分析方法网络流量的明显特征操作系统告警单机分析arp/N
9、etstate/本机sniffer输出单机分析 抓包分析-中小规模的网络 网络设备的输出-中小规模的网络 Netflow分析-骨干网级别的分析方式DDOS攻击基础补充DRDOS (分布式反射拒绝服务)DRDoS是英文Distributed Reflection Denial of Servie ” 的缩 写,中文意思是“分布式反射拒绝服务” o与DoS、DDoS不 同,该方式靠的是发送大量带有被害者IP地址的数据包给攻 击主机,然后攻击主机对IP地址源做出大量回应,形成拒绝 服务攻击。由于是利用TCP/IP服务的“三次握手”的第二步, 因此攻击者无需给被攻击者安装木马,发动DRDoS也只要花
10、费攻击者很少的资源。DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击 主机BGP,然后在根据TCP三次握手的规则,这些攻击主机 BGP会向源IP (受害者IP)发出SYN+ACK包来响应这些请求, 造成受害者主机忙于处理这些回应而被拒绝服务攻击。被DDoS攻击时的现象能瞬间造成对方电脑死机或者假死,有人曾经 测试过,攻击不到2秒钟,电脑就已经死机和 彳艮死,鼠标图标不动了,系统发出滴滴滴滴的 声音。还有CPU使用率高等现象。DDoS攻击一般步骤:搜集了解目标的情况2、被攻击目标主机数目、地址情况2、目标主机的配置、性能3、目标的带宽占领傀儡机2、链路状态好的主机2、性能不好的主机
11、3、安全管理水平差的主机实施攻击2、向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的 请求。2、一般会以远远超出受害方处理能力的速度进行攻击,他们不会”怜香惜玉”。3、老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时 候进行一些调整。简单些就是开个窗口不断地ping目标主机,在能接到回应的 时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。预防为主的D DOS应付方法1-定期扫描要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏 洞及时进行清理。2. 在骨干节点配置防火墙防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候, 可以将
12、攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。3. 用足够的机器承受骇客攻击这是一种较为理想的应对4. 充分利用网络设备保护网络资源所谓网络设备是指路曲器、防火墙等负载均衡设备,它们可将网络有效地 保护起来。预防为主的D DOS应付方法5. 过滤不必要的服务和端口过滤不必要的服务和端口,即在路由器上过滤假IP,只开放服务端口成为 目前很多服务器的流行做法。6. 检查访问者的来源使用单播反向路径转发(Unicast Reverse Path Forwarding)等通过反向路曲 器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。7过滤所有RFC1918 IP地址RFC1
13、918IP地址是内部网的IP地址,像20.0.0.0、192.168.0.0和 172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的 区域性IP地址,应该把它们过滤扌早。8.限制SYN/ICMP流量用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占 有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说 明不是正常的网络访问,而是有骇客入侵。DDoS防御的方法1. 采用高性能的网络设备2. 尽量避免NAT的使用3. 充足的网络带宽保证4. 升级主机服务器硬件5. 把网站做成静态页面6. 增强操作系统的TCP/IP栈7.安装专业抗DDOS防火墙thanks!
