DDOS攻击与防御解读课件

DDOS攻击及防御2015年1月DDOS攻击及防御DOS攻击简介拒绝服务，(DoS,DenialofService的简称)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。常见的DOS攻击手段有：SynFlood、UDPFlood、ICMPFlood和PingofDeath黑客主机受害主机DoS攻击DOS攻击简介拒绝服务，(DoS,DenialofSerDDOS攻击简介分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。常见的DOS攻击手段有：IPSpoofing、LANDattack、ICMPFlood和Application受害主机DoS攻击傀儡控制主机傀儡攻击主机群DDOS攻击简介分布式拒绝服务(DDoS:Distribut随着网络技术的不断发展，网络中存在多种攻击行为，目前网络主流的攻击方法如下：SynFloodUDPFloodICMPFloodPingofDeathLandattackIPSpoofing随着网络技术的不断发展，网络中存在多种攻击行为，目前网络主流DDOS防御简介防御方式：核心层——边界防御汇聚层——内部隔离接入层——本地防御DDOS防御简介防御方式：核心层——边界防御DDOS攻击与防御解读课件边界防御我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。边界防御我们把网络可以看作一个独立的对象，通过自身的属性，维内部隔离DMZ：英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。内部隔离DMZ：本地防御linux防火墙：iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来管理网络数据包的移动与转送。本地防御linux防火墙：本地防御IPS防御：Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由theOpenInformationSecurityFoundation开发，是一款开源的系统。软件的源代码可以通过/获得。网关模式配置:sudoiptables-IFORWARD-jNFQUEUE本地模式配置：sudoiptables-IINPUT-jNFQUEUEsudoiptables-IOUTPUT-jNFQUEUE启动suricata：sudosuricata-c/etc/suricata/suricata.yaml-q0本地防御IPS防御：网关模式配置:本地防御Suricata规则#thesearemorepermanent,C&Crelated#alerthttp$EXTERNAL_NETany->$HTTP_SERVERSany(msg:"ETTROJANE-Jihad3.0DDoSHTTPActivityINBOUND";flow:established,to_server;content:"GET";nocase;http_method;content:"User-Agent|3a|Attacker|0d0a|";http_header;reference:url,/bin/view/Main/EJihadHackTool;classtype:denial-of-service;sid:2007687;rev:10;)alerthttp$EXTERNAL_NETany->$HOME_NETany(msg:"ETWEB_SERVERLOICJavascriptDDoSInbound";flow:established,to_server;content:"GET";http_method;content:"?id=";http_uri;content:"&msg=";http_uri;distance:13;within:5;pcre:"/\?id=[0-9]{13}&msg=[^&]+$/U";threshold:typeboth,trackby_src,count5,seconds60;reference:url,/diary/Javascript+DDoS+Tool+Analysis/12442;reference:url,/threatlevel/2012/01/anons-rickroll-botnet;classtype:attempted-dos;sid:2014140;rev:5;)本地防御Suricata规则#thesearemore6.4.2抗渗透a）测试方法1）采用渗透测试工具或专用性能测试设备，对防火墙进行各种拒绝服务攻击。攻击手段至少包括:SynFlood、UDPFlood、ICMPFlood和PingofDeath；GBT20281—2006防火墙技术要求和测试评价方法6.4.2抗渗透GBT20281—2006防火墙技黑客主机受害服务器Syn©=10number=10Ack(s)=Syn©=10+1=11Syn(s)=100number=100Ack©=Syn(s)+1=101XSYNfloodattack黑客主机受害服务器Syn©=10number=10Ack(SYNfloodattack安装iptables对特定ip进行屏蔽A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimitB.配置相应的iptables规则示例如下：(1)控制单个IP在一定的时间内允许新建立的连接数(#单个IP在60秒内只允许最多新建30个连接)iptables-AINPUT-ptcp--dport80--syn-mrecent--namewebpool--rcheck--seconds60--hitcount30–jREJECT(2)范围内允许通过

iptables-AINPUT-ptcp--dport80--syn-mrecent--namewebpool--set-jACCEPTSYNfloodattack安装iptables对特定iLandattack黑客主机DataSynSourceDestination受害服务器Landattack黑客主机D黑客主机DataSynSourceDestination针对landattack防护，主要通过分析判断数据包的源地址和目标地址是否相同来确认是否是Landattack。在配置安全网关时加载这一安全策略来过滤掉landattack数据报文，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的地址，从而可以有效地防范Landattack。Landattack受害服务器黑客主机DataSynSourcUDPfloodattackUDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kpps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。黑客主机53DataUDPDestination受害服务器DportUDPfloodattackUDPFlood是日渐猖厥的UDPfloodattackA.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimitB.配置相应的iptables规则示例如下：(1)控制单个IP在一定的时间内允许指定端口UDP数量(#单个IP在60秒内只允许最多新建30个DNS请求)iptables-AINPUT-pudp--dport53-mrecent--namewebpool--rcheck--seconds60--hitcount30–jDROP(2)范围内允许通过

iptables-AINPUT-pudp--dport53-mrecent--namewebpool--set-jACCEPT黑客主机53DataUDPDestination受害服务器Dport安装iptables对特定ip进行屏蔽UDPfloodattackA.安装iptables和系pingofdeath死亡之Ping，（英文：pingofdeath,POD），是一种向目标电脑发送错误封包的或恶意的ping指令的攻击方式。通常，一次ping大小为32字节（若考虑IP标头则为84字节）。在当时，大部分电脑无法处理大于IPv4最大封包大小（65,535字节）的ping封包。因此发送这样大小的ping可以令目标电脑崩溃。防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windowsNT(servicepack3之后)，Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。pingofdeath死亡之Ping，（英文：ping谢谢！DDOS攻击与防御解读课件DDOS攻击及防御2015年1月DDOS攻击及防御DOS攻击简介拒绝服务，(DoS,DenialofService的简称)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。常见的DOS攻击手段有：SynFlood、UDPFlood、ICMPFlood和PingofDeath黑客主机受害主机DoS攻击DOS攻击简介拒绝服务，(DoS,DenialofSerDDOS攻击简介分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。常见的DOS攻击手段有：IPSpoofing、LANDattack、ICMPFlood和Application受害主机DoS攻击傀儡控制主机傀儡攻击主机群DDOS攻击简介分布式拒绝服务(DDoS:Distribut随着网络技术的不断发展，网络中存在多种攻击行为，目前网络主流的攻击方法如下：SynFloodUDPFloodICMPFloodPingofDeathLandattackIPSpoofing随着网络技术的不断发展，网络中存在多种攻击行为，目前网络主流DDOS防御简介防御方式：核心层——边界防御汇聚层——内部隔离接入层——本地防御DDOS防御简介防御方式：核心层——边界防御DDOS攻击与防御解读课件边界防御我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。边界防御我们把网络可以看作一个独立的对象，通过自身的属性，维内部隔离DMZ：英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。内部隔离DMZ：本地防御linux防火墙：iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来管理网络数据包的移动与转送。本地防御linux防火墙：本地防御IPS防御：Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由theOpenInformationSecurityFoundation开发，是一款开源的系统。软件的源代码可以通过/获得。网关模式配置:sudoiptables-IFORWARD-jNFQUEUE本地模式配置：sudoiptables-IINPUT-jNFQUEUEsudoiptables-IOUTPUT-jNFQUEUE启动suricata：sudosuricata-c/etc/suricata/suricata.yaml-q0本地防御IPS防御：网关模式配置:本地防御Suricata规则#thesearemorepermanent,C&Crelated#alerthttp$EXTERNAL_NETany->$HTTP_SERVERSany(msg:"ETTROJANE-Jihad3.0DDoSHTTPActivityINBOUND";flow:established,to_server;content:"GET";nocase;http_method;content:"User-Agent|3a|Attacker|0d0a|";http_header;reference:url,/bin/view/Main/EJihadHackTool;classtype:denial-of-service;sid:2007687;rev:10;)alerthttp$EXTERNAL_NETany->$HOME_NETany(msg:"ETWEB_SERVERLOICJavascriptDDoSInbound";flow:established,to_server;content:"GET";http_method;content:"?id=";http_uri;content:"&msg=";http_uri;distance:13;within:5;pcre:"/\?id=[0-9]{13}&msg=[^&]+$/U";threshold:typeboth,trackby_src,count5,seconds60;reference:url,/diary/Javascript+DDoS+Tool+Analysis/12442;reference:url,/threatlevel/2012/01/anons-rickroll-botnet;classtype:attempted-dos;sid:2014140;rev:5;)本地防御Suricata规则#thesearemore6.4.2抗渗透a）测试方法1）采用渗透测试工具或专用性能测试设备，对防火墙进行各种拒绝服务攻击。攻击手段至少包括:SynFlood、UDPFlood、ICMPFlood和PingofDeath；GBT20281—2006防火墙技术要求和测试评价方法6.4.2抗渗透GBT20281—2006防火墙技黑客主机受害服务器Syn©=10number=10Ack(s)=Syn©=10+1=11Syn(s)=100number=100Ack©=Syn(s)+1=101XSYNfloodattack黑客主机受害服务器Syn©=10number=10Ack(SYNfloodattack安装iptables对特定ip进行屏蔽A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimitB.配置相应的iptables规则示例如下：(1)控制单个IP在一定的时间内允许新建立的连接数(#单个IP在60秒内只允许最多新建30个连接)iptables-AINPUT-ptcp--dport80--syn-mrecent--namewebpool--rcheck--seconds60--hitcount30–jREJECT(2)范围内允许通过

iptables-AINPUT-ptcp--dport80--syn-mrecent--namewebpool--set-jACCEPTSYNfloodattack安装iptables对特定iLandattack黑客主机DataSynSourceDestination受害服务器Landattack黑客主机D黑客主机DataSynSourceDestination针对landattack防护，主要通过分析判断数据包的源地址和目标地址是否相同来确认是否是Landattack。在配置安全网关时加载这一安全策略来过滤掉landattack数据报文，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的地址，从而可以有效地防范Landattack。Landattack受害服务器黑客主机DataSynSourcUDPfloodattackUDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kpps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务