DDoS攻击介绍PPT

DDoS攻击基础知识什么是DOS/DDOS攻击？DoS即DenialOfService，拒绝服务的缩写。DDOS全名是DistributedDenialofservice(分布式拒绝服务)。DNSEmail‘Zombie’Innocentpc&serverTurninto‘Zombie’一个DDoS攻击过程‘Zombie’Server-levelDDoSattacksBandwidth-levelDDoSattacksDNSEmailInfrastructure-levelDDoSattacksAttackZombies:Massivelydistributed大规模分布式SpoofSourceIP源IP欺骗Usevalidprotocols使用有效的协议攻击实施代价极低工具泛滥Botnet僵尸网络是当前互联网的首要威胁发送垃圾邮件网络钓鱼,盗取帐号/密码机密信息发动拒绝服务攻击--DDOS僵尸网络正在改变网络经济犯罪经济利益的驱动DDoS攻击发展趋势行为特征攻击规模承载协议•目标–网站-〉网络基础设施（路由器/交换机/DNS等）•流量–从几兆-〉几十兆-〉1G甚至更高–10Kpps--〉100Kpps-〉1Mpps•技术–真实IP地址-〉IP欺骗技术–单一攻击源-〉多个攻击源–简单协议承载-〉复杂协议承载–智能化，试图绕过IDS或FW•形式–DRDoS/ACKFlood–ZombieNet/BOTNET–ProxyConnectionFlood–DNSFloodDDoS技术篇攻击与防御技术DoS攻击的本质利用木桶原理，寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板DoS/DDoS类型的划分•应用层–垃圾邮件、病毒邮件–DNSFlood•网络层–SYNFlood、ICMPFlood–伪造•链路层–ARP伪造报文•物理层–直接线路破坏–电磁干扰攻击类型划分II•堆栈突破型（利用主机/设备漏洞）–远程溢出拒绝服务攻击•网络流量型（利用网络通讯协议）–SYNFlood–ACKFlood–ICMPFlood–UDPFlood、UDPDNSQueryFlood–ConnectionFlood–HTTPGetFlood攻击类型划分IDoS/DDoS攻击演变大流量&应用层混合型分布式攻击大流量型分布式攻击系统漏洞型Phase1Phase2Phase3以小搏大以大压小技术型带宽和流量的斗争DDoS攻击介绍——SYNFloodSYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理攻击表象DDoS攻击介绍——ACKFlood大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACKFlood流量要较大才会对服务器造成影响ACK（你得查查我连过你没）攻击者受害者查查看表内有没有你就慢慢查吧ACKFlood攻击原理攻击表象ACK/RST（我没有连过你呀）攻击者受害者大量tcpconnect这么多？不能建立正常的连接DDoS攻击介绍——ConnectionFlood正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect•利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接•服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应•蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为•消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理攻击者受害者(WebServer)正常HTTPGet请求DDoS攻击介绍——HTTPGetFlood正常HTTPGetFlood正常用户攻击表象•利用代理服务器向受害者发起大量HTTPGet请求•主要请求动态页面，涉及到数据库访问操作•数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理常见的DoS攻击判断方法判断与分析方法网络流量的明显特征操作系统告警单机分析arp/Netstate/本机sniffer输出单机分析抓包分析–中小规模的网络网络设备的输出–中小规模的网络Netflow分析-骨干网级别的分析方式DDOS攻击基础补充DRDOS（分布式反射拒绝服务）DRDoS是英文“DistributedReflectionDenialofServie”的缩写，中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。由于是利用TCP/IP服务的“三次握手”的第二步，因此攻击者无需给被攻击者安装木马，发动DRDoS也只要花费攻击者很少的资源。DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击主机BGP，然后在根据TCP三次握手的规则，这些攻击主机BGP会向源IP（受害者IP）发出SYN+ACK包来响应这些请求，造成受害者主机忙于处理这些回应而被拒绝服务攻击。被DDoS攻击时的现象能瞬间造成对方电脑死机或者假死，有人曾经测试过，攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音。还有CPU使用率高等现象。DDoS攻击一般步骤：搜集了解目标的情况1、被攻击目标主机数目、地址情况2、目标主机的配置、性能3、目标的带宽占领傀儡机1、链路状态好的主机2、性能不好的主机3、安全管理水平差的主机实施攻击1、向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。2、一般会以远远超出受害方处理能力的速度进行攻击，他们不会怜香惜玉。3、老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。预防为主的DDOS应付方法1.定期扫描要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。2．在骨干节点配置防火墙防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。3．用足够的机器承受骇客攻击这是一种较为理想的应对策略。4．充分利用网络设备保护网络资源所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。预防为主的DDOS应付方法5．过滤不必要的服务和端口过滤不必要的服务和端口，即在路由器上过滤假IP，只开放服务端口成为目前很多服务器的流行做法。6．检查访问者的来源使用单播反向路径转发(UnicastReversePathForwarding)等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。7．过滤所有RFC1918IP地址RFC1918IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。8．限制SYN/ICMP流量用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有骇客入侵。DDoS防御的方法：1．采用高性能的网络设备2．尽量避免NAT的使用3．充足的网络带宽保证4．升级主机服务器硬件5．把网站做成静态页面6．增强操作系统的TCP/IP栈7．安装专业抗DDOS防火墙thanks！