DDoS和漏洞介紹PPT.ppt

DDoS攻擊基礎(chǔ)知識 DNS Email 一個(gè)DDoS攻擊過程 Zombie Server levelDDoSattacks Bandwidth levelDDoSattacks DNS Email Infrastructure levelDDoSattacks AttackZombies MassivelydistributedSpoofSourceIPUsevalidprotocols 攻擊實(shí)施代價(jià)極低 工具泛濫 Botnet 僵尸網(wǎng)絡(luò)是當(dāng)前互聯(lián)網(wǎng)的首要威脅發(fā)送垃圾郵件網(wǎng)絡(luò)釣魚 盜取帳號 密碼機(jī)密信息發(fā)動拒絕服務(wù)攻擊 DDOS僵尸網(wǎng)絡(luò)正在改變網(wǎng)絡(luò)經(jīng)濟(jì)犯罪經(jīng)濟(jì)利益的驅(qū)動 DDoS攻擊發(fā)展趨勢 目標(biāo)網(wǎng)站 網(wǎng)絡(luò)基礎(chǔ)設(shè)施 路由器 交換機(jī) DNS等 流量從幾兆 幾十兆 1G甚至更高10Kpps 100Kpps 1Mpps技術(shù)真實(shí)IP地址 IP欺騙技術(shù)單一攻擊源 多個(gè)攻擊源簡單協(xié)議承載 復(fù)雜協(xié)議承載智能化 試圖繞過IDS或FW形式DRDoS ACKFloodZombieNet BOTNETProxyConnectionFloodDNSFlood DDoS技術(shù)篇 攻擊與防御技術(shù) DoS攻擊的本質(zhì) 利用木桶原理 尋找并利用系統(tǒng)應(yīng)用的瓶頸阻塞和耗盡當(dāng)前的問題 用戶的帶寬小于攻擊的規(guī)模 造成訪問帶寬成為木桶的短板 DoS DDoS類型的劃分 應(yīng)用層垃圾郵件 病毒郵件DNSFlood網(wǎng)絡(luò)層SYNFlood ICMPFlood偽造鏈路層ARP偽造報(bào)文物理層直接線路破壞電磁干擾 攻擊類型劃分II 堆棧突破型 利用主機(jī) 設(shè)備漏洞 遠(yuǎn)程溢出拒絕服務(wù)攻擊網(wǎng)絡(luò)流量型 利用網(wǎng)絡(luò)通訊協(xié)議 SYNFloodACKFloodICMPFloodUDPFlood UDPDNSQueryFloodConnectionFloodHTTPGetFlood 攻擊類型劃分I DoS DDoS攻擊演變 大流量 應(yīng)用層混合型分布式攻擊 大流量型分布式攻擊 系統(tǒng)漏洞型 Phase1 Phase2 Phase3 以小搏大以大壓小 技術(shù)型帶寬和流量的斗爭 我沒發(fā)過請求 DDoS攻擊介紹 SYNFlood SYN RECV狀態(tài)半開連接隊(duì)列遍歷 消耗CPU和內(nèi)存SYN ACK重試SYNTimeout 30秒 2分鐘無暇理睬正常的連接請求 拒絕服務(wù) SYN 我可以連接嗎 ACK 可以 SYN 請確認(rèn) 攻擊者 受害者 偽造地址進(jìn)行SYN請求 不能建立正常的連接 SYNFlood攻擊原理 攻擊表象 DDoS攻擊介紹 ACKFlood 大量ACK沖擊服務(wù)器受害者資源消耗查表回應(yīng)ACK RSTACKFlood流量要較大才會對服務(wù)器造成影響 ACK 你得查查我連過你沒 攻擊者 受害者 查查看表內(nèi)有沒有 ACKFlood攻擊原理 攻擊表象 ACK RST 我沒有連過你呀 攻擊者 受害者 大量tcpconnect 不能建立正常的連接 DDoS攻擊介紹 ConnectionFlood 正常用戶 正常tcpconnect 攻擊表象 利用真實(shí)IP地址 代理服務(wù)器 廣告頁面 在服務(wù)器上建立大量連接服務(wù)器上殘余連接 WAIT狀態(tài) 過多 效率降低 甚至資源耗盡 無法響應(yīng)蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包 對于TCP蠕蟲則表現(xiàn)為大范圍掃描行為消耗骨干設(shè)備的資源 如防火墻的連接數(shù) ConnectionFlood攻擊原理 攻擊者 受害者 WebServer 正常HTTPGet請求 不能建立正常的連接 DDoS攻擊介紹 HTTPGetFlood 正常用戶 正常HTTPGetFlood 攻擊表象 利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請求主要請求動態(tài)頁面 涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高 無法響應(yīng)正常請求 受害者 DBServer DB連接池用完啦 DB連接池 占用 占用 占用 HTTPGetFlood攻擊原理 常見的DoS攻擊判斷方法 判斷與分析方法網(wǎng)絡(luò)流量的明顯特征操作系統(tǒng)告警單機(jī)分析arp Netstate 本機(jī)sniffer輸出單機(jī)分析抓包分析 中小規(guī)模的網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備的輸出 中小規(guī)模的網(wǎng)絡(luò)Netflow分析 骨干網(wǎng)級別的分析方式 安全漏洞相關(guān)現(xiàn)狀 有關(guān)安全漏洞的幾個(gè)問題 什么是安全漏洞在計(jì)算機(jī)安全學(xué)中 存在于一個(gè)系統(tǒng)內(nèi)的弱點(diǎn)或缺陷 系統(tǒng)對一個(gè)特定的威脅攻擊或危險(xiǎn)事件的敏感性 或進(jìn)行攻擊的威脅作用的可能性 為什么存在安全漏洞客觀上技術(shù)實(shí)現(xiàn)技術(shù)發(fā)展局限永遠(yuǎn)存在的編碼失誤環(huán)境帶來的動態(tài)變化主觀上未能避免默認(rèn)配置對漏洞的管理缺乏人員意識 安全漏洞的特性 半衰期 在某一范圍內(nèi) 某一漏洞影響到的主機(jī)的數(shù)量減少為一半的時(shí)間 流行性 50 的最流行的高危漏洞的影響力會流行一年左右 一年后這些漏洞將被一些新的流行高危漏洞所替代 持續(xù)性 4 的高危漏洞的壽命很長 其影響會持續(xù)很長一段時(shí)間 尤其是對于企業(yè)的內(nèi)部網(wǎng)絡(luò)來說 某些漏洞的影響甚至是無限期的 漏洞的影響 漏洞造成的影響遠(yuǎn)程執(zhí)行命令遠(yuǎn)程拒絕服務(wù)遠(yuǎn)程信息泄漏本地權(quán)限提升 2007年操作系統(tǒng)漏洞情況 我們身邊軟件的情況 漏洞 蠕蟲 其中紅色代碼和尼姆達(dá)蠕蟲的變種一直持續(xù)到03年還在爆發(fā) 實(shí)例說明系統(tǒng)高危漏洞影響 Blaster蠕蟲利用RPC漏洞的爆發(fā)過程 總體情況 99 ofsecuritybreachestargetknownvulnerabilitiesforwhichthereare