拒绝服务攻击课件

野静15053291What:拒绝服务攻击是什么?2Why:拒绝服务攻击的动机?3Type:拒绝服务攻击的分类4How:DDoS攻击过程5Examples:DDoS攻击现象6Defend:如何防御拒绝服务攻击？韩国主要网站同时遭黑客攻击7月8日，一名韩国警察厅官员在位于首尔的警察厅总部介绍黑客攻击政府网站的情况。7月8日，工作人员在位于韩国首都首尔的韩国网络安全中心忙碌。这就是DDoS※服务(Service)系统提供的,用户在对其使用中会受益的功能※拒绝服务(DoS:DenialofService)任何对服务的干涉如果使得其可用性降低或者失去可用性称为拒绝服务,如:计算机系统崩溃;带宽耗尽;硬盘被填满※拒绝服务攻击攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使服务质量降低※攻击方式消耗系统或网络资源;更改系统配置DDoS与DoS的关系：广义上讲，DDoS属于DoS；狭义上讲，DoS指的是单一攻击者针对单一受害者的攻击（传统的DOS），而DDoS则是多个攻击者向同一受害者的攻击。DDoS成功的原因：1、TCP/IP协议存在漏洞，可以被攻击者利用；2、网络提供Best-Effort服务，不区分数据流量是否是攻击流量；3、网络带宽和系统资源是有限的。※脚本小子（ScriptKiddies）：作为练习攻击的手段※炫耀的资本※仇恨或者报复（前雇员、现雇员、外部人员）※恶作剧或者单纯为了破坏※经济原因※政治原因2001年5月中美撞机引发的中美黑客间的网络大战；2003年伊拉克战争引发的美伊黑客大战。※信息站1991年海湾战争期间，美特工替换了运往伊的打印机，用带毒的芯片破坏伊的防空系统。※作为特权提升攻击的辅助手段通过DoS攻击使系统重启后更改生效；通过DoS攻击使防火墙不能工作；通过DoS攻击使DNS瘫痪后再假冒该DNS。分布式拒绝服务攻击（DDoS）反射式拒绝服务攻击（RDoS）1、分布式拒绝服务攻击（DDos）原理：是在传统DoS攻击基础之上产生的一类攻击方式。也是现在最常用，最难以防御的一种拒绝服务攻击。它借助于C/S技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍提高拒绝服务攻击的威力。3层：攻击者，主控端，代理端三者在攻击中扮演的角色：攻击者：操纵整个攻击过程，它向主控端发送攻击命令。主控端：控制代理主机，主控端安装了特定的程序，接受攻击者发来的特殊指令，并把这些命令发送到代理主机上。代理端：代理端是攻击的执行者，真正向受害者主机发送攻击。分布式拒绝服务攻击DDoS优点：1.攻击力大；2.其隐蔽性和分布性很难被识别和防御。2、RDoS(反射式拒绝服务攻击)之前有过百度受到拒绝服务攻击而造成30分钟的无法访问事情，但问题在于百度如此的大的网站，如果说在技术上寻找漏洞进入系统还是有可能的话，那么，使用DDOS来攻击百度并且造成30分钟的拒绝服务实在令人费解，百度服务器的吞吐量巨大，并且有完善的安全机制，分布式拒绝服务攻击对百度的威胁应该说是很小的，那么，为什么会有无法访问30分钟的情况发生呢？原因就是攻击者使用了一种新式DDOS攻击方式，“反射式拒绝服务攻击（RDoS）”这种新式的攻击手段在国内并不多见，并且这种攻击程序在互联网上也很难下载到。攻击所需要的大量肉鸡，都是服务器级别的，他们具有较大的网络吞吐能力与数据处理能力。分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1InternetHacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2分布式拒绝服务攻击步骤2InternetHacker黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServer分布式拒绝服务攻击步骤3InternetHackerUsingClientprogram,黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServer分布式拒绝服务攻击步骤4InternetInternetHacker主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServer分布式拒绝服务攻击步骤5TargetedSystem被控制计算机（代理端）TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDenied分布式拒绝服务攻击步骤6Internet被控制计算机（代理端）DDoS攻击的现象：1、被攻击主机上有大量等待的TCP连接；2、网络中充斥着大量的无用的数据包，源地址为假；3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；4、利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求；5、严重时会造成系统死机。到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。主要可以从以下几方面入手：1、优化路由和网络结构；2、优化对外开放访问的主机；3、确保主机不被入侵和主机的安全；4、发现正在实施攻击时，必须立刻关闭系统并进行调试。做为内部网的管理者，往往也是安全员、守护神。在维护的网络中有一些服务器需要向外提供服务，因而不可避免地成为DDoS的攻击目标，因此可以从主机与网络设备两个角度去考虑。（一）主机上的设置1、关闭不必要的服务2、限制同时打开的Syn半连接数目3、缩短Syn半连接的timeout时间4、及时更新系统补丁（二）网络设备上的设置１.防火墙（1）禁止对主机的非开放服务的访问（2）限制同时打开的SYN最大连接数（3）限制特定IP地址的访问（4）启用防火墙的防DDoS的属性（5）严格限制对外开放的服务器的向外访问２.路由器以Cisco路由器为例（1）CiscoExpressForwarding（CEF）（2）使用unicastreverse-path（3）访问控制列表（ACL）过滤（4）设置SYN数据包流量速率（5）升级版本过低的ISO（6）为路由器建立logserver