分布式拒绝服务攻击DDOS课件.ppt

《分布式拒绝服务攻击DDOS课件.ppt》由会员分享，可在线阅读，更多相关《分布式拒绝服务攻击DDOS课件.ppt（17页珍藏版）》请在三一办公上搜索。

1、分布式拒绝服务攻击DDOS,DDOS产生的背景,（Distributed Denial of Service）是对拒绝服务攻击的发展。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这

2、样一来攻击就不会产生什么效果。这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。,DDOS攻击过程,攻击过程主要有两个步骤：攻占代理主机和向目标发起攻击。具体说来可分为以下几个步骤：1.探测扫描大量主机以寻找可入侵主机；2.入侵有安全漏洞的主机并获取控制权；3.在每台被入侵主机中安装攻击所用的客户进程或守护进程；4.向安装有客户进程的主控端主机发出命令，由它们来控制代理主机上的守护进程进行协同入侵。,攻击运行原理,1、被攻击主机上有大量等待的TCP连接2、网络中充斥着大量的无用的数据包，源地址为假3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯4、利用受害主机提供的服务

3、或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求5、严重时会造成系统死机,被DDoS攻击时的现象,DDoS所利用的协议漏洞,1）利用IP源路由信息的攻击由于TCP/IP体系中对IP数据包的源地址不进行验证，所以攻击者可以控制其众多代理端用捏造的IP地址发出攻击报文，并指明到达目标站点的传送路由，产生数据包溢出。2）利用RIP协议的攻击RIP是应用最广泛的路由协议，采用RIP的路由器会定时广播本地路由表到邻接的路由器，以刷新路由信息。通常站点接收到新路由时直接采纳，这使攻击者有机可乘。3）利用ICMP的攻击,DDoS攻击的五种常用方式,至今为止，攻击者最常使用

4、的分布式拒绝服务攻击程序主要包括4种：Trinoo、TFN、TFN2K和Stacheldraht。1)Trinoo（Tribe Flood Network）攻击Trinoo是一种用UDP包进行攻击的工具软件。与针对某特定端口的一般UDP flood攻击相比，Trinoo攻击随机指向目标端的各个UDP端口，产生大量ICMP不可到达报文，严重增加目标主机负担并占用带宽，使对目标主机的正常访问无法进行。,2)TFN攻击TFN是利用ICMP给主控端或分布端下命令，其来源可以做假。它可以发动SYN flood、UDP flood、ICMP flood及Smurf(利用多台服务器发出海量数据包，实施DoS

5、攻击)等攻击。3)TFN2K攻击TFN2K是TFN的增强版，它增加了许多新功能：a.单向的对Master的控制通道，Master无法发现Attacker地址。b.针对脆弱路由器的攻击手段。c.更强的加密功能，基于Base64编码，AES加密。d.随机选择目的端口。,4)Stacheldraht攻击Stacheldraht结合了Trinoo和TFN的特点，并且它将attacker和master间的通信加密，增加了master端的自动更新功能，即能够自动更新daemon主机列表。5)SHAFT是一种独立发展起来的DDoS攻击方法，独特之处在于：首先，在攻击过程中，受控主机之间可以交换对分布端的控制

6、和端口，这使得入侵检测工具难以奏效。其次，SHAFT采用了“ticket”机制进行攻击，使其攻击命令有一定秘密性。第三，SHAFT采用了独特的包统计方法使其攻击得以顺利完成。,DDoS攻击新技术反弹技术,反弹技术就是利用反弹服务器实现攻击的技术。所谓反弹服务器（Reflector）是指当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的Web服务器、DNS服务器和路由服务器都是反弹服务器。攻击者可以利用这些回应的数据报对目标机器发动DDoS攻击。,反弹技术原理反弹服务器攻击过程和传统的DDoS攻击过程相似，如前面所述的4个步骤中，只是第4步改为：攻击者锁定大量的可以作为反弹服务器的

7、服务器群，攻击命令发出后，代理守护进程向已锁定的反弹服务器群发送大量的欺骗请求数据包，其原地址为受害服务器或目标服务器。,DDoS的防范,到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：企业网管理员ISP、ICP管理员骨干网络运营商,企业网管理员,可以从主机与网络设备两个角度去考虑。1）主机上的设置几乎

8、所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：1.关闭不必要的服务2.限制同时打开的Syn半连接数目3.缩短Syn半连接的time out 时间4.及时更新系统补丁,2)网络设备上的设置 一.防火墙1.禁止对主机的非开放服务的访问2.限制同时打开的SYN最大连接数3.限制特定IP地址的访问4.启用防火墙的防DDoS的属性5.严格限制对外开放的服务器的向外访问第五项主要是防止自己的服务器被当做工具去害人。,二.路由器以Cisco路由器为例Cisco Express Forwarding（CEF）使用 unicast reverse-path访问控制列表（ACL）过滤设置SYN数据包

9、流量速率升级版本过低的ISO为路由器建立log server,ISP、ICP管理员,ISP/ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为黑客最喜欢的肉鸡，因为不管这台机器黑客怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户与自己的

10、托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又是买方市场，ISP还不敢得罪客户，怎么办？咱们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机更安全一些，被别人告状的可能性也小一些。,骨干网络运营商,他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话，DDoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。其实方法很简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展，这都将是一个社会工程，需要IT界的同行们来一起关注，通力合作。,