《DDoS攻击介绍PPT》由会员分享,可在线阅读,更多相关《DDoS攻击介绍PPT(24页珍藏版)》请在金锄头文库上搜索。
1、DDoS攻击基础知识什么是DOS / DDOS 攻击?DoS即DenialOfService,拒绝服务的缩写。DDOS全名是Distributed Denial of service (分布式拒绝服务)。DNSEmailZombieInnocent pc & server Turn into Zombie 一个DDoS攻击过程ZombieServer-level DDoS attacksBandwidth-level DDoS attacksDNSEmailInfrastructure-level DDoS attacksAttack Zombies:Massively distributed
2、Massively distributed大规模分布式大规模分布式Spoof Source Spoof Source IPIP源源IPIP欺骗欺骗Use valid protocolsUse valid protocols使用有效的协议使用有效的协议攻击实施代价极低工具泛工具泛滥滥Botnet僵尸网络是当前互联网的首要威胁发送垃圾邮件网络钓鱼,盗取帐号/密码机密信息发动拒绝服务攻击-DDOS僵尸网络正在改变网络经济犯罪经济利益的驱动DDoS攻击发展趋势行为特征攻击规模承载协议目标网站-网络基础设施(路由器/交换机/DNS等)流量从几兆-几十兆-1G甚至更高10K pps-100K pps -1
3、M pps技术真实IP地址-IP欺骗技术单一攻击源-多个攻击源简单协议承载-复杂协议承载智能化,试图绕过IDS或FW形式DRDoS/ACK FloodZombie Net/BOTNETProxy Connection FloodDNS FloodDDoS技术篇攻击与防御技术8DoS攻击的本质利用木桶原理,寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板9DoS/DDoS类型的划分应用层垃圾邮件、病毒邮件DNS Flood网络层SYN Flood、ICMP Flood伪造链路层ARP 伪造报文物理层直接线路破坏电磁干扰攻击类型划分II堆栈突破型(
4、利用主机/设备漏洞)远程溢出拒绝服务攻击网络流量型(利用网络通讯协议)SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get Flood攻击类型划分IDoS/DDoS攻击演变大流量&应用层混合型分布式攻击大流量型分布式攻击系统漏洞型Phase 1Phase 2Phase 3以小搏大以大压小技术型带宽和流量的斗争11我没发过请求DDoS攻击介绍SYN FloodSYN_RECV状态半开连接队列遍历,消耗CPU和内存SYN|ACK 重试SYN Timeout:30秒2分钟无暇理睬正常的连接请
5、求拒绝服务SYN (我可以连接吗?)ACK (可以)/SYN(请确认!)攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接!SYN Flood 攻击原理攻击表象DDoS攻击介绍ACK Flood大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACK Flood流量要较大才会对服务器造成影响ACK (你得查查我连过你没)攻击者受害者查查看表内有没有你就慢慢查吧ACK Flood 攻击原理攻击表象ACK/RST(我没有连过你呀)13攻击者受害者大量tcp connect这么多?不能建立正常的连接DDoS攻击介绍Connection Flood正常tcp conn
6、ect正常用户正常tcp connect攻击表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect 利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源,如防火墙的连接数Connection Flood 攻击原理14攻击者受害者(Web Server)正常HTTP Get请求不能建立正常的连接DDoS攻击介绍HTTP Get Flood正常HTTP G
7、et Flood正常用户正常HTTP Get Flood攻击表象利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面,涉及到数据库访问操作数据库负载以及数据库连接池负载极高,无法响应正常请求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB连接池用完啦!DB连接池占用占用占用HTTP Get Flood 攻击原理15常见的DoS攻击判断方法判断与分析方法网络流量的明显特征操作系统告警 单机分析arp/Netstate/本机sniffer 输
8、出 单机分析抓包分析 中小规模的网络网络设备的输出 中小规模的网络Netflow分析 -骨干网级别的分析方式16DDOS攻击基础补充DRDOS(分布式反射拒绝服务)DRDoS是英文“Distributed Reflection Denial of Servie ”的缩写,中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同,该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机,然后攻击主机对IP地址源做出大量回应,形成拒绝服务攻击。由于是利用TCP/IP服务的“三次握手”的第二步,因此攻击者无需给被攻击者安装木马,发动DRDoS也只要花费攻击者很少的资源。DRDoS是通过发送带有受害者
9、IP地址的SYN连接请求包给攻击主机BGP,然后在根据TCP三次握手的规则,这些攻击主机BGP会向源IP(受害者IP)发出SYN+ACK包来响应这些请求,造成受害者主机忙于处理这些回应而被拒绝服务攻击。被DDoS攻击时的现象能瞬间造成对方电脑死机或者假死,有人曾经测试过,攻击不到1秒钟,电脑就已经死机和假死,鼠标图标不动了,系统发出滴滴滴滴的声音。还有CPU使用率高等现象。DDoS攻击一般步骤:搜集了解目标的情况1、被攻击目标主机数目、地址情况2、目标主机的配置、性能3、目标的带宽占领傀儡机1、链路状态好的主机2、性能不好的主机3、安全管理水平差的主机实施攻击1、向受害主机以高速度发送大量的数
10、据包,导致它死机或是无法响应正常的请求。2、一般会以远远超出受害方处理能力的速度进行攻击,他们不会怜香惜玉。3、老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。预防为主的DDOS应付方法1. 定期定期扫扫描描要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。2在骨干在骨干节节点配置防火点配置防火墙墙防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。3
11、用足用足够够的机器承受的机器承受骇骇客攻客攻击击这是一种较为理想的应对策略。4充分利用网充分利用网络设备络设备保保护护网网络资络资源源所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。 预防为主的DDOS应付方法5过滤过滤不必要的服不必要的服务务和端口和端口过滤不必要的服务和端口,即在路由器上过滤假IP,只开放服务端口成为目前很多服务器的流行做法。6检查访问检查访问者的来源者的来源使用单播反向路径转发(Unicast Reverse Path Forwarding)等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。7过滤过滤所有所有RFC
12、1918 IP地址地址RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。8限制限制SYN/ICMP流量流量用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有骇客入侵。DDoS防御的方法:1采用高性能的网络设备2尽量避免NAT的使用3充足的网络带宽保证4升级主机服务器硬件5把网站做成静态页面6增强操作系统的TCP/IP栈7安装专业抗DDOS防火墙thanks!
