DDOS分布式拒绝服务攻击讲义课件_第1页
DDOS分布式拒绝服务攻击讲义课件_第2页
DDOS分布式拒绝服务攻击讲义课件_第3页
DDOS分布式拒绝服务攻击讲义课件_第4页
DDOS分布式拒绝服务攻击讲义课件_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

DDOS分布式拒绝服务攻击ByHaisu分布式拒绝服务攻击的实施及预防措施攻击1)分布式拒绝服务攻击(DDoS)的概念以及它与拒绝服务攻击的区别。2)DDoS攻击的过程和攻击网络结构。3)DDoS攻击所利用的协议漏洞4)DDoS的几种攻击方式5)一种新的DDoS攻击方式——反弹攻击防御1)DDoS攻击的防范原理。2)DDoS攻击发生时网络出现的异常情况。3)防范中的软硬件使用4)拒绝服务监控系统的设计DDoS的诞生1999年8月以来,出现了一种新的网络攻击方法,这就是分布式拒绝攻击(DDoS)。之后这种攻击方法开始大行其道,成为黑客攻击的主流手段。Yahoo、eBay、CNN等众多知站点相继被身份不明的黑客在短短几天内连续破坏,系统瘫痪达几个小时甚至几十个小时之久。拒绝服务攻击拒绝服务攻击(DenialofService)——是一种个人或多人利用Internet协议的某些漏洞,拒绝其他用户对系统和信息的合法访问的攻击。这类攻击使服务器充斥大量要求恢复的非法用户的信息和请求,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至瘫痪而停止提供正常的网络服务。被DDoS攻击时的现象被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用的数据包,源地址为假制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求严重时会造成系统死机

正常访问通过普通的网络连线,使用者传送信息要求服务器予以确定。服务器于是回复用户。用户被确定后,就可登入服务器。TCP三次握手方式

“拒绝服务”(DoS)的攻击方式“拒绝服务”的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器处于瘫痪状态很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。DDoS攻击过程扫描程序非安全主机黑客

黑客利用工具扫描Internet,发现存在漏洞的主机1Internet黑客Zombies

黑客在非安全主机上安装类似“后门”的代理程序2InternetDDoS攻击过程黑客

黑客选择主控主机,用来向“僵尸”发送命令3Zombies主控主机InternetDDoS攻击过程Hacker

通过客户端程序,黑客发送命令给主控端,并通过主控主机启动“僵尸”程序对目标系统发动攻击4ZombiesTargeted目标SystemMasterServerInternetDDoS攻击过程目标系统SystemHacker

主控端向“僵尸”发送攻击信号,对目标发动攻击5MasterServerInternetZombiesDDoS攻击过程目标黑客

目标主机被“淹没”,无法提供正常服务,甚至系统崩溃6主控主机合法用户服务请求被拒绝Internet僵尸DDoS攻击过程分布式拒绝服务攻击分布式拒绝服务攻击(DistributedDenialofService)是对拒绝服务攻击的发展。攻击者控制大量的攻击源,然后同时向攻击目标发起的一种拒绝服务攻击。海量的信息会使得攻击目标带宽迅速消失殆尽。相对于一般的拒绝服务攻击,分布式拒绝服务攻击有以下两个特点:分布式拒绝服务攻击特点由于集中了成百上千台机器同时进行攻击,其攻击力是十分巨大的。即使像Yahoo,Sina等应用了可以将负荷分摊到每个服务器的集群服务器(clusterserver)技术,也难以抵挡这种攻击。多层攻击网络结构使被攻击主机很难发现攻击者,而且大部分装有主控进程和守护进程的机器的合法用户并不知道自己是整个拒绝服务攻击网络中的一部分,即使被攻击主机监测到也无济于事。DDoS攻击过程攻击过程主要有两个步骤:攻占代理主机和向目标发起攻击。具体说来可分为以下几个步骤:

1探测扫描大量主机以寻找可入侵主机;

2入侵有安全漏洞的主机并获取控制权;

3在每台被入侵主机中安装攻击所用的客户进程或守护进程;

4向安装有客户进程的主控端主机发出命令,由它们来控制代理主机上的守护进程进行协同入侵。DDoS攻击的网络结构攻击端:攻击者在此操纵攻击过程主控端客户进程:被攻击者控制的主机,并运行了DDoS主控端程序。代理端守护进程:响应主控端攻击命令,向攻击目标发送拒绝服务攻击数据包。DDOS的表现形式一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。DDoS所利用的协议漏洞1)利用IP源路由信息的攻击由于TCP/IP体系中对IP数据包的源地址不进行验证,所以攻击者可以控制其众多代理端用捏造的IP地址发出攻击报文,并指明到达目标站点的传送路由,产生数据包溢出。2)利用RIP协议的攻击

RIP是应用最广泛的路由协议,采用RIP的路由器会定时广播本地路由表到邻接的路由器,以刷新路由信息。通常站点接收到新路由时直接采纳,这使攻击者有机可乘。DDoS所利用的协议漏洞(续).3)利用ICMP的攻击绝大多数监视工具不显示ICMP包的数据部分,或不解析ICMP类型字段,所以ICMP数据包往往能直接通过防火墙。例如,从攻击软件TFN(Tribefloodnetwork)客户端到守护程序端的通讯可直接通过ICMP-ECHOREPLY(Type0)数据包完成。可直接用于发起攻击的ICMP报文还有:ICMP重定向报文(Type5)、ICMP目的站点不可达报文(Type3)、数据包超时报文(Type11)。DDoS攻击的五种常用方式至今为止,攻击者最常使用的分布式拒绝服务攻击程序主要包括4种:Trinoo、TFN、TFN2K和Stacheldraht。

1)Trinoo(TribeFloodNetwork)攻击

Trinoo是一种用UDP包进行攻击的工具软件。与针对某特定端口的一般UDPflood攻击相比,Trinoo攻击随机指向目标端的各个UDP端口,产生大量ICMP不可到达报文,严重增加目标主机负担并占用带宽,使对目标主机的正常访问无法进行。DDoS攻击的五种常用方式

2)TFN攻击

TFN是利用ICMP给主控端或分布端下命令,其来源可以做假。它可以发动SYNflood、UDPflood、ICMPflood及Smurf(利用多台服务器发出海量数据包,实施DoS攻击)等攻击。

3)TFN2K攻击

TFN2K是TFN的增强版,它增加了许多新功能:DDoS攻击的五种常用方式

a.单向的对Master的控制通道,Master无法发现Attacker地址。

b.针对脆弱路由器的攻击手段。

c.更强的加密功能,基于Base64编码,AES加密。

d.随机选择目的端口。4)Stacheldraht攻击

Stacheldraht结合了Trinoo和TFN的特点,DDoS攻击的五种常用方式并且它将attacker和master间的通信加密,增加了master端的自动更新功能,即能够自动更新daemon主机列表。5)SHAFT是一种独立发展起来的DDoS攻击方法,独特之处在于:首先,在攻击过程中,受控主机之间可以交换对分布端的控制和端口,这使得入侵检测工具难以奏效。其次,SHAFT采用了“ticket”机制进行攻击,使其攻击命令有一定秘密性。第三,SHAFT采用了独特的包统计方法使其攻击得以顺利完成。DDoS攻击新技术——反弹技术反弹技术就是利用反弹服务器实现攻击的技术。所谓反弹服务器(Reflector)是指当收到一个请求数据报后就会产生一个回应数据报的主机。例如,所有的Web服务器、DNS服务器和路由服务器都是反弹服务器。攻击者可以利用这些回应的数据报对目标机器发动DDoS攻击。反弹技术原理反弹服务器攻击过程和传统的DDoS攻击过程相似,如前面所述的4个步骤中,只是第4步改为:攻击者锁定大量的可以作为反弹服务器的服务器群,攻击命令发出后,代理守护进程向已锁定的反弹服务器群发送大量的欺骗请求数据包,其原地址为受害服务器或目标服务器。反弹技术实现DDoS攻击与传统DDoS攻击的区别:

1.反弹技术实现DDoS攻击比传统DDoS攻击更加难以抵御。实际上它的攻击网络结构和传统的相比多了第四层——被锁定的反弹服务器层。反弹服务器的数量可以远比驻有守护进程的代理服务器多,故反弹技术可以使攻击时的洪水流量变弱,最终才在目标机汇合为大量的洪水,其攻击规模也比传统DDoS攻击大得多。

2.目标机更难追查到攻击来源。目标机接收到的攻击数据报的源IP是真实的,反弹服务器追查到的数据报源IP是假的。又由于反弹服务器上收发数据报的流量较小(远小于代理服务器发送的数量),所以,服务器根据网络流量来自动检测是否为DDoS攻击源的这种机制将不起作用。DDoS攻击下的防御对DDoS攻击体系的检测与防范是一个整体行为,必须从主控端、代理端、目标端分别进行。总体上包括两个方面:一是主控端与代理端主机应防止被攻击者侵入并加以利用。二是在目标端建立监控机制及时检测网络流量变化判断是否发生DDoS攻击以便采取适当措施。DDoS的防御(主机上的设置)几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:

a.关闭不必要的服务

b.限制同时打开的Syn半连接数目c.缩短Syn半连接的timeout时间

d.及时更新系统补丁DDoS的防御(网络设备上的设置)a.禁止对主机的非开放服务的访问

b.限制同时打开的SYN最大连接数c.限制特定IP地址的访问

d.启用防火墙的防DDoS的属性e.严格限制对外开放的服务器的向外访问

1、最孤独的时光,会塑造最坚强的自己。

2、把脸一直向着阳光,这样就不会见到阴影。

3、永远不要埋怨你已经发生的事情,要么就改变它,要么就安静的接受它。

4、不论你在什么时候开始,重要的是开始之后就不要停止。

5、通往光明的道路是平坦的,为了成功,为了奋斗的渴望,我们不得不努力。

6、付出了不一定有回报,但不付出永远没有回报。

7、成功就是你被击落到失望的深渊之后反弹得有多高。

8、为了照亮夜空,星星才站在天空的高处。

9、我们的人生必须励志,不励志就仿佛没有灵魂。

10、拼尽全力,逼自己优秀一把,青春已所剩不多。

11、一个人如果不能从内心去原谅别人,那他就永远不会心安理得。

12、每个人心里都有一段伤痕,时间才是最好的疗剂。

13、如果我不坚强,那就等着别人来嘲笑。

14、早晨给自己一个微笑,种下一天旳阳光。

15、没有爱不会死,不过有了爱会活过来。

16、失败的定义:什么都要做,什么都在做,却从未做完过,也未做好过。

17、当我微笑着说我很好的时候,你应该对我说,安好就好。

18、人不仅要做好事,更要以准确的方式做好事。

19、我们并不需要用太华丽的语言来包裹自己,因为我们要做最真实的自己。

20、一个人除非自己有信心,否则无法带给别人信心。

21、为别人鼓掌的人也是在给自己的生命加油。

22、失去金钱的人损失甚少,失去健康的人损失极多,失去勇气的人损失一切。

23、相信就是强大,怀疑只会抑制能力,而信仰就是力量。

24、那些尝试去做某事却失败的人,比那些什么也不尝试做却成功的人不知要好上多少。

25、自己打败自己是最可悲的失败,自己战胜自己是最可贵的胜利。

26、没有热忱,世间便无进步。

27、失败并不意味你浪费了时间和生命,失败表明你有理由重新开始。

28、青春如此华美,却在烟火在散场。

29、生命的道路上永远没有捷径可言,只有脚踏实地走下去。

30、只要还有明天,今天就永远是起跑线。

31、认真可以把事情做对,而用心却可以做到完美。

32、如果上帝没有帮助你那他一定相信你可以。

33、只要有信心,人永远不会挫败。

34、珍惜今天的美好就是为了让明天的回忆更美好。

35、只要你在路上,就不要放弃前进的勇气,走走停停的生活会一直继续。

36、大起大落谁都有拍拍灰尘继续走。

37、孤独并不可怕,每个人都是孤独的,可怕的是害怕孤独。

38、宁可失败在你喜欢的事情上,也不要成功在你所憎恶的事情上。

39、我很平凡,但骨子里的我却很勇敢。

40、眼中闪烁的泪光,也将化作永不妥协的坚强。

41、我不去想是否能够成功,既然选了远方,便只顾风雨兼程。

42、宁可自己去原谅别人,莫等别人来原谅自己。

43、踩着垃圾到达的高度和踩着金子到达的高度是一样的。

44、每天告诉自己一次:我真的很不错。

45、人生最大的挑战没过于战胜自己!

46、愚痴的人,一直想要别人了解他。有智慧的人,却努力的了解自己。

47、现实的压力压的我们喘不过气也压的我们走向成功。

48、心若有阳光,你便会看见这个世界有那么多美好值得期待和向往。

49、相信自己,你能作茧自缚,就能破茧成蝶。

50、不能强迫别人来爱自己,只能努力让自己成为值得爱的人。

51、不要拿过去的记忆,来折磨现在的自己。

52、汗水是成功的润滑剂。

53、人必须有自信,这是成功的秘密。

54、成功的秘密在于始终如一地忠于目标。

55、只有一条路不能选择――那就是放弃。

56、最后的措手不及是因为当初游刃有余的自己

57、现实很近又很冷,梦想很远却很温暖。

58、没有人能替你承受痛苦,也没有人能抢走你的坚强。

59、不要拿我跟任何人比,我不是谁的影子,更不是谁的替代品,我不知道年少轻狂,我只懂得胜者为。

60、如果你看到面前的阴影,别怕,那是因为你的背后有阳光。

61、宁可笑着流泪,绝不哭着后悔。

62、觉得自己做得到和做不到,只在一念之间。

63、跌倒,撞墙,一败涂地,都不用害怕,年轻叫你勇敢。

64、做最好的今天,回顾最好的昨天,迎接最美好的明天。

65、每件事情都必须有一个期限,否则,大多数人都会有多少时间就花掉多少时间。

66、当你被压力压得透不过气来的时候,记住,碳正是因为压力而变成闪耀的钻石。

67、现实会告诉你,不努力就会被生活给踩死。无需找什么借口,一无所有,就是拼的理由。

68、人生道路,绝大多数人,绝大多数时候,人都只能靠自己。

69、不是某人使你烦恼,而是你拿某人的言行来烦恼自己。

70、当一个人真正觉悟的一刻,他放弃追寻外在世界的财富,而开始追寻他內心世界的真正财富。

71、失败并不意味你浪费了时间和生命,失败表明你有理由重新开始。

72、人生应该树立目标,否则你的精力会白白浪费。

73、山涧的泉水经过一路曲折,才唱出一支美妙的歌。

74、时间告诉我,无理取闹的年龄过了,该懂事了。

75、命运

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论