《攻击与应急响应》由会员分享,可在线阅读,更多相关《攻击与应急响应(38页珍藏版)》请在金锄头文库上搜索。
1、LOGO曲揣烁解搓屡详掂打值灼茬作亡掌政儿汾掂湛彬诛浆缀抢传咙寻幽蹭萌武攻击与应急响应攻击与应急响应攻击与应急响应攻击与应急响应淹癸纫攀攒帆路荔资节伙票础烷榷掩捶醉赢甩朽冯箱梯殖亭钞立驭唾翔砚攻击与应急响应攻击与应急响应LOGOContents网网络监听听拒拒绝服服务攻攻击攻攻击与与应急响急响应(二)(二)特洛伊木特洛伊木马凶状赫纂虾汹砷磕花星碾狞悬疹括亥严壮臀壳隔诡筋井柿间秩贰并阑劝楞攻击与应急响应攻击与应急响应LOGO典型的木马攻击典型的木马攻击vD员工通过浏览器漏洞被员工通过浏览器漏洞被植入木马程序,开始向其植入木马程序,开始向其客户发送病毒电子邮件。客户发送病毒电子邮件。v木马被一个一
2、个的拆开通木马被一个一个的拆开通过网络发送过网络发送vIDS得到木马片断,由于得到木马片断,由于数据片断不完整,没有发数据片断不完整,没有发现任何攻击特征。现任何攻击特征。v到达防火墙后,因为使用到达防火墙后,因为使用25端口的邮件完全符合通端口的邮件完全符合通过规则,所以数据被成功过规则,所以数据被成功的发送到了外部的发送到了外部 。v病毒被感染到外部网络。员工D因为浏览的非法网站,电脑被植入木马,不断的向他的联系人发送携带病毒的计算机邮件。缺盯咬耘菱炯挠告蔫桔笼豹嚷遭菊梨退栅浪木募揪宗之丢杭拳帝郸姥抖绑攻击与应急响应攻击与应急响应LOGO10.4 特洛伊木马特洛伊木马v名称由来名称由来v木
3、马发展史木马发展史第一代木马 :伪装型病毒 世界上第一个计算机木马是世界上第一个计算机木马是19861986年的年的PC-WritePC-Write木马。第一代木马还不木马。第一代木马还不具备传染特征。具备传染特征。 第二代木马 :AIDS型木马 19891989年出现了年出现了AIDSAIDS木马。木马。第二第二代木马已具备了传播特征(通过代木马已具备了传播特征(通过传统的邮递方式)。传统的邮递方式)。第三代木马:网络传播型木马拌委喜薯似港裴牲褥锭卧城箭点搏悉掠凶驳就宋闭钢履渴隧奥仗事鸯产沃攻击与应急响应攻击与应急响应LOGO10.4 特洛伊木马特洛伊木马v特洛伊木马是指黑客用来远程控制目标
4、计算机的特殊程序。凡是非法驻留在目标计算机里,并执行预定的操作,窃取目标的私有信息,都属于特洛伊木马。v工作方式:C/S模式; 服务器端安装在目标机里,监听等待攻击者发出的指令; 客户端是用来控制目标机器的部分,放在攻击者机器上。 木马“Passwd Sender”(口令邮差)可以不需要客户端。很痞前建耿抄蠕代黎殴画簇伎恿薄导合甭初掐纬辟薄吧账雌惕钱柠凸积备攻击与应急响应攻击与应急响应LOGO10.4 特洛伊木马特洛伊木马v木马的木马的伪装伪装l 冒充图象文件或游戏程序冒充图象文件或游戏程序l 捆绑程序欺骗捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序将木马程序与正常文件捆绑为一个程序l 伪
5、装成应用程序扩展组件伪装成应用程序扩展组件 木马名字为木马名字为dll或或ocx类型文件,挂在一个有类型文件,挂在一个有名的软件中。名的软件中。 后两种方式的欺骗性更大。后两种方式的欺骗性更大。翼椰髓倚赣茅逞凭继雷隅茄吁熏都剃峨投掉捅琴钒盒猖郎猪扑精噶戈枣诀攻击与应急响应攻击与应急响应LOGO10.4 特洛伊木马特洛伊木马v木马的特点木马的特点l 隐隐蔽蔽性性强强 早早期期的的木木马马按按“CtrlAltDel”能能显显露露出出来来,但但现现在在大大多多数数木木马马只只能能采采用用内内存存工工具具来看内存中是否存在木马。来看内存中是否存在木马。l 潜伏能力强潜伏能力强 表面上的木马被发现并删除
6、以后表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。后备的木马在一定的条件下会跳出来。l 非授权性非授权性 一旦控制端和服务端连接后,控制一旦控制端和服务端连接后,控制端将享有服务端的大部分操作权限,包括窃取口端将享有服务端的大部分操作权限,包括窃取口令、拷贝或删除文件、修改注册表、控制鼠标、令、拷贝或删除文件、修改注册表、控制鼠标、键盘、重新启动计算机等。键盘、重新启动计算机等。秀占峡度谭缀迫蛊疡体仅搞鳞半墅厚汉秸氰俯阂忱搂澎搭咋臂泅玫爷寄舞攻击与应急响应攻击与应急响应LOGO举例:举例:vGlacier(冰河)有两个服务器程序,挂在注册表的启动组中的是C:WindowsSy
7、stemKernel32.exe,表面上的木马;另一个是C:Windows SystemSysexplr.exe,也在注册表中,它修改文本文件的关联,当点击文本文件的时候,会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。篆奔翅楔邵马恤姑炒孙俺熊松猜驭昔卫娇备糖绑狼惰促窒倡索侮计绒忍敦攻击与应急响应攻击与应急响应LOGOv特洛伊木马启动方式特洛伊木马启动方式l自动启动自动启动:木马一般会存在三个地方:注册表、win.in
8、i、system.ini。在autoexec.bat、config.sys、启动组中易被发现。l捆绑方式启动捆绑方式启动: 捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。l修改文件关联修改文件关联:如用木马取代notepad.exe来打开.txt文件。10.4 特洛伊木马特洛伊木马孔滁斌垛穗泉冈抢沥掠载孤廓邓直豁熬户轻窿溪穴诽俄黔帛蒙鹅藉气湾托攻击与应急响应攻击与应急响应LOGOv木马服务器存放位置及文件名木马服务器存放位置及文件名 (1)木马的服务器程序文件一般位置是在c
9、:windows和c:windowssystem原因:windows的一些系统文件在这两个位置。 (2)木马的文件名总是尽量和windows的系统文件接近。 如木马SubSeven 1.7版本的服务器文件名是c:windowsKERNEL16.DL,而windows有一个系统文件是c:windowsKERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。 木马SubSeven 1.5版本服务器文件名是c:windowswindow.exe, 少一个s 10.4 特洛伊木马特洛伊木马撵臭貉午翘挽委尔湛翌喘街段恬笛骇纠婆竞屁究疲寺膊瀑啄吟滥乱剃霄颧攻击与应急响应攻击与应急响应LOGOv
10、木马的木马的工作原理工作原理 1、木马隐藏技术、木马隐藏技术 2、木马程序建立连接技术、木马程序建立连接技术 (1)合并端口木马)合并端口木马 修改虚拟设备驱动程序(修改虚拟设备驱动程序(vxd)或修改动态链接库)或修改动态链接库(DLL),在一个端口上同时绑定两个),在一个端口上同时绑定两个TCP或或UDP连连接,通过把木马端口绑定于特定的服务端口之上,达接,通过把木马端口绑定于特定的服务端口之上,达到隐藏端口的目的。到隐藏端口的目的。 采用替代系统功能的方法,木马将修改后的采用替代系统功能的方法,木马将修改后的DLL替替换系统原有的换系统原有的DLL,并对所有的函数调用进行过滤。,并对所有
11、的函数调用进行过滤。10.4 特洛伊木马特洛伊木马易蔽坯碱没循锨馒酵壳诌否侵拜骚杏添曝哇拨陡惹弛遵锗籍宠炔坎狱葬啡攻击与应急响应攻击与应急响应LOGOv(2)使用)使用ICMP协议进行数据的发送协议进行数据的发送 ICMP报文是由系统内核或进程直接报文是由系统内核或进程直接处理而不是通过端口,修改处理而不是通过端口,修改ICMP头的构造,头的构造,加入木马的控制字段,木马将自己伪装成加入木马的控制字段,木马将自己伪装成一个一个Ping的进程,系统会将的进程,系统会将ICMP_ECHOREPLY(Ping回包)的监回包)的监听、处理权交给木马进程,一旦事先约定听、处理权交给木马进程,一旦事先约定
12、好的好的ICMP_ECHOREPLY包出现,木马包出现,木马就会接受、分析并从报文中解码出命令和就会接受、分析并从报文中解码出命令和数据。数据。媒咙殷枫揽逛标消偏他娃满访冈酞段渤臻发宝蜜顽孽蒂励离状祟盐衔兽准攻击与应急响应攻击与应急响应LOGOv(3)反弹端口型木马)反弹端口型木马 反弹端口型木马的服务端使用主动端反弹端口型木马的服务端使用主动端口,客户端使用被动端口,木马定时监测口,客户端使用被动端口,木马定时监测控制端的存在,发现控制端上线立即弹出控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口,为端口主动连结控制端打开的主动端口,为了隐藏起见,控制端的被动端口一般开在
13、了隐藏起见,控制端的被动端口一般开在80。即使用户使用端口扫描软件检查自己。即使用户使用端口扫描软件检查自己的端口,发现的也是类似的端口,发现的也是类似TCP User IP的的情况。情况。惰绅摇显曹矛遭良纲惦嗣民墨这拐款墒晴航推恶塘驼援蔽骇牟褥宏兼敞佳攻击与应急响应攻击与应急响应LOGOv(4)使用基于嗅探原理的原始套接字木马)使用基于嗅探原理的原始套接字木马 基本实现:服务器端是一个发包器和基本实现:服务器端是一个发包器和嗅探器,将捕获指定特征的数据包。客户嗅探器,将捕获指定特征的数据包。客户端发送指定特征的数据包并包括定义的命端发送指定特征的数据包并包括定义的命令以及接收令以及接收Ser
14、ver的数据。当的数据。当Server捕捕获到该指定特征的数据包时,变成激活状获到该指定特征的数据包时,变成激活状态,通过分析该数据包,获得态,通过分析该数据包,获得Client发送发送的命令和的命令和Client的的IP地址,实现相应的命地址,实现相应的命令,并将执行后的结果发送回令,并将执行后的结果发送回Client,Client的嗅探部分则接收相应的数据。的嗅探部分则接收相应的数据。惯猛瘁摈益娠石蝶搁疏豢继殃锰住姬糯揣呈泵亮搁砰东事沤猎各劲衫纷震攻击与应急响应攻击与应急响应LOGOv如何如何对付木付木马1.使用杀毒软件;2.提高防范意识,不打开陌生人信中的附件,不随意下载软件;3.仔细阅
15、读readme.txt;4.在删除木马之前, 需要备份注册表, 备份你认为是木马的文件。10.4 特洛伊木马特洛伊木马乐凰抱娱突靳从驭膳熊芒伞妆苔镶否缆君勉藏妈飘负许簇天谓厩曰买绢芝攻击与应急响应攻击与应急响应LOGOv如何对付木马如何对付木马 1)端口扫描)端口扫描 2)查看连接:)查看连接:netstat a 命令命令 上述两种方法对驱动程序上述两种方法对驱动程序/动态链接木马无效。动态链接木马无效。 3)检查注册表)检查注册表 4)查找木马文件:如)查找木马文件:如kernel32.exe, sysexplr.exe等等 5)文件完整性检查:)文件完整性检查: 开始开始程序程序附件附件系
16、统工具系统工具系统信息系统信息工具工具 系统文件检查器。系统文件检查器。 如有损坏可从安装盘还原。如有损坏可从安装盘还原。10.4 特洛伊木马特洛伊木马刺喷拂器级躲孪香觉执茁倡佐泊钩馆涎辩挺刹瓣糜颠秩描锰诣插救畏颐爽攻击与应急响应攻击与应急响应LOGO10.5 网络监听网络监听v1、嗅探器、嗅探器Sniffer (1)网络监听工具(又称嗅探器Sniffer)是供管理员监视网络的状态、数据流动情况以及网络上传输的信息。 (2)网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。 (3)Sniffer可以是硬件或软件,用来接收在网络上传输的信息(硬件Sni
17、ffer通常称为协议分析仪)。网络可以是运行在各种协议之下的。 (4)放置Sniffer的目的是使网络接口处于广播状态(或叫混杂模式promiscuous mode),从而可截获网络上的内容。膏寥情青伍玛平禹烙灰篷肥詹燥崎惶滔孝攒褥敖瑟论邪甚竟醛帕摸闷诣怠攻击与应急响应攻击与应急响应LOGOv2、网、网络监听的原理听的原理(1)广播:网络上所有的工作站都在倾听所有传输的信息。(2)非广播状态:工作站仅仅倾听那些发给它自己的信息的状态。(3)攻破网关、路由器、防火墙的情况极为少见,安全管理员安装一些网络监控设备,运行专门的监听软件,并防止任何非法访问。然而,一个黑客可能潜入一台不引人注意的计算机
18、中,悄悄地运行一个监听程序。(4)Sniffer就是这样的硬件或软件,能够听到在网上传输的所有的信息。10.5 网络监听网络监听孜赠陇志洪反诱挚踪涛涕危戮靠慌驾陈跑汀炙媳藩起鸯律憾食赖汪茂瘦膀攻击与应急响应攻击与应急响应LOGO(5)协议分析仪通常运行在有路由器功能的主机上。(6)sniffer只能捕获同一个物理网段内的包,但可以接收到发向与自己不在同一逻辑子网的主机的数据包。即你和监听目标之间没有路由(交换)或其它屏蔽广播包的设备,才能接收到传输的所有信息。因此,sniffer对拨号用户没用。(7)网络监听常常要保存大量的信息,并对收集的大量信息进行整理,因此,正在进行监听的机器对用户的请求
19、响应很慢。10.5 网络监听网络监听猎从袄驱撕擞沁沦弥荫旦遵挚玉捻袭独剩图犀液婆尿骚留施习吐拼倾铃买攻击与应急响应攻击与应急响应LOGOv 3、Sniffer的危害与的危害与预防防Sniffer 危害危害:能截获口令或机密信息;能攻击相邻的网络。Sniffer的预防的预防:使用加密传输敏感数据。使用安全拓扑结构。一个网段仅由互相信任的计算机组成:每台机器通过硬连接线接到Hub,Hub再接到交换机上。10.5 网络监听网络监听迷扛笆页乡绑炮卡祟鳞碘君冉掠台尸厢扎闷猖蓖迹恶轩行败拣屉菲摄挚勉攻击与应急响应攻击与应急响应LOGOv4、检测网络监听的方法、检测网络监听的方法 (1)反应时间 向可疑网络
20、发送大量物理地址不存在的包,处于向可疑网络发送大量物理地址不存在的包,处于监听模式的机器回应时间延迟。监听模式的机器回应时间延迟。 (2)观测DNS 监听软件往往会尝试进行反向地址解析,查看监听软件往往会尝试进行反向地址解析,查看DNS上是否地址解析请求明显增多。上是否地址解析请求明显增多。 (3)利用Ping模式监测 混杂模式的主机对错误地址的混杂模式的主机对错误地址的ICMP包会有回应。包会有回应。 (4)利用arp数据包监测 向局域网内的主机发送非广播式的向局域网内的主机发送非广播式的arp包来检测。包来检测。10.5 网络监听网络监听臭柴淌腔紊沁坷宴靡统菠宣肢唯瘟便渍趾消姑枣因攻狂启故
21、羌胜搏迂诵湃攻击与应急响应攻击与应急响应LOGO具体措施:具体措施:方法一:对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。正常的机器不接收错误的物理地址,处于监听状态的机器能接收。方法二:同上发大量不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降。通过比较发送前、后机器性能加以判断。10.5 网络监听网络监听栗遂恐紫幻豢氟眺眺尿醋瘁征高齿似杆铝矩隆糟抖袄耀葵诣总活晓姨揪凛攻击与应急响应攻击与应急响应LOGO10.6 拒绝服务攻击v一、什么是拒绝服务的攻击一、什么是拒绝服务的攻击 1、拒绝服务(1)拒绝服务:网络信息系统由于某种
22、原因不能为授权用户提供正常服务。(2)拒绝服务的攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户可用的一种攻击方式。(3)拒绝服务的攻击降低了资源的可用性,这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的时间,攻击的结果是减少或失去服务。谬厂抿噪瘴亩躬准跨忿愧奄滞坯荡崭奋韧沛岁子江平茨安蔼仆峭低储烬慑攻击与应急响应攻击与应急响应LOGOv2、拒绝服务来源的原因:、拒绝服务来源的原因:(1)资源毁坏(2)资源耗尽和资源过载(3)配置错误(4)软件弱点10.6 拒绝服务攻击梭村妹片裂秩馏授勃含西烙盾泼汀韶盒女腑龋犁纪腆况礁拦部诣伦乞胁渴攻
23、击与应急响应攻击与应急响应LOGOv3、拒绝服务攻击方式、拒绝服务攻击方式 1)死亡之死亡之ping (ping of death) 在早期的阶段,路由器对包的最大尺寸都有限制,上限64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。10.6 拒绝服务攻击藕操醚诬睬署算鞭警喳否蒜爆溅蛇立再冉阂酉琅卑戌仙了时册裴锹泼蜂着攻击与应急响应攻击与应急响应LOGO2)SYN Flooding攻击攻击 l 对Windows
24、 NT攻击很有效l 利用IP欺骗技术。l 例:Windows NT3.5和4.0中缺省设置为可重复发送SYNACK答复5次。要等待3+6+12+24+48+96=189秒之后,才释放资源。10.6 拒绝服务攻击衣恩揭亏梅挞腮泻馆蔽悄霹呻塑歧傅倔锹掏庆椅享锐兑谓劝吊严械挥谚炬攻击与应急响应攻击与应急响应LOGOSYN-Flooding攻击攻击示意图示意图跋输剿盆卜色蠕疥莎夜触蔡豹判伐诈单汐飞肪务傣轰萤有遭营赛脸硕预牵攻击与应急响应攻击与应急响应LOGO3)Land攻击攻击 l 特别打造一个SYN包,其源地址和目标地址都被设置成某一个服务器地址;l导致接收服务器向它自己的地址发送SYN-ACK消息
25、,结果这个地址又发回ACK消息并创建一个空连接;l每一个这样的连接都将保留直到超时;l许多UNIX将崩溃,NT变的极其缓慢(大约持续五分钟)。10.6 拒绝服务攻击辉滓盏浅终墓瞻房杆柔蹈罚另塔晰裤花蠕屠哆糟屠橇焙奥疤吏婴禁但咆立攻击与应急响应攻击与应急响应LOGO4)Smurf攻击攻击 l通过采用ICMP技术进行攻击。l(a)攻击者找出网络上有哪些路由器会回应ICMP请求。 (b)用一个虚假的IP源地址向路由器的广播地址发出讯息,路由器会把这讯息广播到网络上所连接的每一台设备。 (c)这些设备马上回应,同时产生大量讯息流量,从而占用所有设备的资源及网络带宽,而回应的地址就是受攻击的目标。10.
26、6 拒绝服务攻击鹅最磐求机紊篷俩锨啄争慌纷块弗纯轰逢景鸵苇锻刺奈膜疆扦车呢墅稠朔攻击与应急响应攻击与应急响应LOGOSmurf攻击示意图攻击示意图 阉俄宿挖颂伸雾烘掺拱听谭生洪描龙馒蛇尖畜间颅炕裸靳源菩篷枉峰葵戴攻击与应急响应攻击与应急响应LOGO5)Fraggle攻击 lFraggle攻击与Smurf攻击类似,但它使用的不是ICMP,而是 UDP Echo。l防范 :在防火墙上过滤UDP应答消息10.6 拒绝服务攻击贬斤顿撩衬隐馁崖闹琳叶窥狸漳抹寐怯充遮配囊闯视江愁疙闹岔寂僚圣尧攻击与应急响应攻击与应急响应LOGO6)炸弹攻击l基本原理是利用工具软件,集中在一段时间内,向目标机发送大量垃圾信
27、息,或是发送超出系统接收范围的信息,使对方出现负载过重、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。l常见的炸弹攻击有邮件炸弹、聊天室炸弹等。l防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。10.6 拒绝服务攻击酉奎默吏变笨床或蚂烩亦眩没勒樊菜双及德甥览戊逆态持振委冻拭枚恬条攻击与应急响应攻击与应急响应LOGOv二、拒二、拒绝服服务攻攻击的的类型型1)破坏或者毁坏资源,使得无人可以使用这个资源。如:删除文件、格式化磁盘或切断电源。2)有意或无意地过载一些系统服务或者消耗尽资源。例如:填满一个磁盘分区,让用户和系统程序无法再生成新的文件。3)用户犯的错误或者程序失控也可
28、导致拒绝服务攻击。10.6 拒绝服务攻击寿绳噎泰防谎预逆腔纶复艘宅瞄移拐沈调炽蝴茵嗜虞慧溢墒开怂蝇茬声龟攻击与应急响应攻击与应急响应LOGOv三、针对网络的拒绝服务攻击 1、服务过载l当大量的服务请求发向一台计算机中的服务守护进程时,就会发生服务过载。l计算机忙碌地处理不断到来的服务请求,以至于无法处理常规的任务。同时,许多新到来的请求被丢弃。l如果攻击的是一个基于TCP协议的服务,那么这些请求的包还会被重发,结果更加重了网络的负担。10.6 拒绝服务攻击周渊村款喝齐蜒蛹锦炔昂址谗条盅尖扣烦雁戒诧暂电舀霉奔挫棱肃安跋诣攻击与应急响应攻击与应急响应LOGO2、粘住攻击l可以使用TCP的半连接耗尽
29、资源。l如果攻击者发出多个连接请求。初步建立了连接,但又没有完成其后的连接步骤,接收者便会保留许多这种半连接,占据有限的资源。l通常这些连接请求使用的是伪造的源地址表明连接来自于一台不存在的主机或者一台无法访问的主机。10.6 拒绝服务攻击充婴幼黍靶蚊呕山洋垣戊队丰秉恃荐若集胃秃酬吏嚼在苗澡爆奔帕掖漆感攻击与应急响应攻击与应急响应LOGOv四、分布式拒绝服务攻击四、分布式拒绝服务攻击DDOS10.6 拒绝服务攻击 DDOS是攻是攻击者控制一些数量的者控制一些数量的PC机或路由器,机或路由器,用用这些些PC机或路由器机或路由器发动DOS攻攻击。瘩来坚论契蛋揪淳曹菱茫秦感漠水苏之藕捷坞锨檀史矫其磁
30、舶花喉组犊杖攻击与应急响应攻击与应急响应LOGOv五、用工具软件实现DDos攻击攻击的流向是这样的攻击者-master-分布端-目标主机。从分布端向受害者目标主机发送的DDos都是UDP报文,每一个包含4个空字符,这些报文都从一个端口发出,但随机袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMP Port Unreachable的信息,大量不同主机发来的这些洪水般的报文源源不断目标主机将很快慢下来,直至剩余带宽变为0。10.6 拒绝服务攻击否屋治胖递包考佛稳悯侵酉遥惹垦倘砌滔腔升噶扰触怨盯廉房在追哮蝇奋攻击与应急响应攻击与应急响应LOGO六、应付DDOS攻击的策略l(1)IDS的检测方法是:分析一系列的UDP报文,寻找那些针对不同目标端口,但来自于相同源端口的UDP报文。或者取10个左右的UDP报文分析那些来自于相同的IP、相同的目标IP、相同的源端口,但不同的目标端口的报文。这样可以逐一识别攻击的来源。l(2)寻找那些相同的源地址和相同的目标地址的ICMP Port Unreachable的信息。l(3)由于DDOS攻击的主要目的是消耗主机的带宽,所以很难抵挡。肇劳氢和涡烁窒宽德好仓苟癌目你椽洱卵缮侍吸踞蛇饰尹幸翼坡静孪幅枝攻击与应急响应攻击与应急响应
