拒絕服務(wù)攻擊課件

1、拒絕服務(wù)攻擊 1 What:拒絕服務(wù)攻擊是什么?內(nèi)容提要 2 Why:拒絕服務(wù)攻擊的動(dòng)機(jī)? 3 Type:拒絕服務(wù)攻擊的分類(lèi) 4 How:DDoS攻擊過(guò)程 5 Examples:DDoS攻擊現(xiàn)象 6 Defend:如何防御拒絕服務(wù)攻擊？韓國(guó)主要網(wǎng)站同時(shí)遭黑客攻擊 7月8日，一名韓國(guó)警察廳官員在位于首爾的警察廳總部介紹黑客攻擊政府網(wǎng)站的情況。 7月8日，工作人員在位于韓國(guó)首都首爾的韓國(guó)網(wǎng)絡(luò)安全中心忙碌。 這就是DDoS一、拒絕服務(wù)攻擊是什么？服務(wù)(Service) 系統(tǒng)提供的,用戶(hù)在對(duì)其使用中會(huì)受益的功能拒絕服務(wù)(DoS:Denial of Service) 任何對(duì)服務(wù)的干涉如果使得其可用性降低

2、或者失去可用性稱(chēng)為拒絕服務(wù),如:計(jì)算機(jī)系統(tǒng)崩潰;帶寬耗盡;硬盤(pán)被填滿(mǎn)拒絕服務(wù)攻擊 攻擊者通過(guò)某種手段,有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶(hù)提供所需要的服務(wù)或者使服務(wù)質(zhì)量降低攻擊方式 消耗系統(tǒng)或網(wǎng)絡(luò)資源;更改系統(tǒng)配置一、拒絕服務(wù)攻擊是什么？分布式拒絕服務(wù)攻擊 （DDoS: Distributed Denial of Service）如果處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或多個(gè)目標(biāo)發(fā)起拒絕服務(wù)攻擊,或者一個(gè)或多個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)受害者同時(shí)實(shí)施拒絕服務(wù)攻擊。特點(diǎn) 攻擊來(lái)源的分散性、協(xié)同性，攻擊力度的匯聚性事例 1999年11月，在由CERT/CC組織

3、的分布式系統(tǒng)入侵者工具研討會(huì)(DSIT Workshop)上，與會(huì)專(zhuān)家首次概括DDoS攻擊技術(shù)。 2000年2月7日到11日間發(fā)生的著名網(wǎng)站(包括Yahoo, Amazon, B, eBay)攻擊事件造成上百萬(wàn)美元的損失。一、拒絕服務(wù)攻擊是什么？DDoS與DoS的關(guān)系：廣義上講，DDoS屬于DoS；狹義上講，DoS指的是單一攻擊者針對(duì)單一受害者的攻擊（傳統(tǒng)的DOS），而DDoS則是多個(gè)攻擊者向同一受害者的攻擊。DDoS成功的原因：1、TCP/IP協(xié)議存在漏洞，可以被攻擊者利用；2、網(wǎng)絡(luò)提供Best-Effort服務(wù)，不區(qū)分?jǐn)?shù)據(jù)流量是否是攻擊流量；3、網(wǎng)絡(luò)帶寬和系統(tǒng)資源是有限的。二、拒絕服務(wù)攻擊

4、的動(dòng)機(jī)？腳本小子（Script Kiddies）：作為練習(xí)攻擊的手段炫耀的資本仇恨或者報(bào)復(fù)（前雇員、現(xiàn)雇員、外部人員）惡作劇或者單純?yōu)榱似茐慕?jīng)濟(jì)原因政治原因 2001年5月中美撞機(jī)引發(fā)的中美黑客間的網(wǎng)絡(luò)大戰(zhàn)； 2003年伊拉克戰(zhàn)爭(zhēng)引發(fā)的美伊黑客大戰(zhàn)。信息站 1991年海灣戰(zhàn)爭(zhēng)期間，美特工替換了運(yùn)往伊的打印機(jī)，用帶毒的芯片破壞伊的防空系統(tǒng)。作為特權(quán)提升攻擊的輔助手段 通過(guò)DoS攻擊使系統(tǒng)重啟后更改生效； 通過(guò)DoS攻擊使防火墻不能工作； 通過(guò)DoS攻擊使DNS癱瘓后再假冒該DNS。三、拒絕服務(wù)攻擊的分類(lèi)分布式拒絕服務(wù)攻擊（DDoS）反射式拒絕服務(wù)攻擊（RDoS）三、拒絕服務(wù)攻擊分類(lèi)1、分布式拒絕

5、服務(wù)攻擊（DDos） 原理：是在傳統(tǒng)DoS攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式。也是現(xiàn)在最常用，最難以防御的一種拒絕服務(wù)攻擊。它借助于C/S技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍提高拒絕服務(wù)攻擊的威力。三、拒絕服務(wù)攻擊分類(lèi)3層：攻擊者，主控端，代理端三、拒絕服務(wù)攻擊分類(lèi)三者在攻擊中扮演的角色： 攻擊者：操縱整個(gè)攻擊過(guò)程，它向主控端發(fā)送攻擊命令。 主控端：控制代理主機(jī)，主控端安裝了特定的程序，接受攻擊者發(fā)來(lái)的特殊指令，并把這些命令發(fā)送到代理主機(jī)上。 代理端：代理端是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。分布式拒絕服務(wù)攻擊DDoS優(yōu)點(diǎn)： 1.攻擊力大； 2.其

6、隱蔽性和分布性很難被識(shí)別和防御。 三、拒絕服務(wù)攻擊分類(lèi)2、RDoS(反射式拒絕服務(wù)攻擊) 之前有過(guò)百度受到拒絕服務(wù)攻擊而造成30分鐘的無(wú)法訪(fǎng)問(wèn)事情，但問(wèn)題在于百度如此的大的網(wǎng)站，如果說(shuō)在技術(shù)上尋找漏洞進(jìn)入系統(tǒng)還是有可能的話(huà)，那么，使用DDOS來(lái)攻擊百度并且造成30分鐘的拒絕服務(wù)實(shí)在令人費(fèi)解，百度服務(wù)器的吞吐量巨大，并且有完善的安全機(jī)制，分布式拒絕服務(wù)攻擊對(duì)百度的威脅應(yīng)該說(shuō)是很小的，那么，為什么會(huì)有無(wú)法訪(fǎng)問(wèn)30分鐘的情況發(fā)生呢？ 原因就是攻擊者使用了一種新式DDOS攻擊方式，“反射式拒絕服務(wù)攻擊（RDoS）”這種新式的攻擊手段在國(guó)內(nèi)并不多見(jiàn)，并且這種攻擊程序在互聯(lián)網(wǎng)上也很難下載到。攻擊所需要的大

7、量肉雞，都是服務(wù)器級(jí)別的，他們具有較大的網(wǎng)絡(luò)吞吐能力與數(shù)據(jù)處理能力。四、DDoS攻擊過(guò)程分布式拒絕服務(wù)攻擊步驟分布式拒絕服務(wù)攻擊步驟1 1ScanningProgram不安全的計(jì)算機(jī)不安全的計(jì)算機(jī)Hacker攻擊者使用掃描工具攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。尋找潛在入侵目標(biāo)。1InternetHacker被控制的計(jì)算機(jī)被控制的計(jì)算機(jī)( (代理端代理端) )黑客設(shè)法入侵有安全漏洞黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門(mén)、些主機(jī)將被用于放置后門(mén)、sniffersniffer或守護(hù)程序甚至或守護(hù)程序甚至是客戶(hù)程序

8、。是客戶(hù)程序。2分布式拒絕服務(wù)攻擊步驟分布式拒絕服務(wù)攻擊步驟2 2Internet四、DDoS攻擊過(guò)程四、DDoS攻擊過(guò)程Hacker 黑客在得到入侵計(jì)算機(jī)黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿(mǎn)足建清單后，從中選出滿(mǎn)足建立網(wǎng)絡(luò)所需要的主機(jī)，放立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。命令。 3被控制計(jì)算機(jī)（代理端）被控制計(jì)算機(jī)（代理端）MasterServer分布式拒絕服務(wù)攻擊步驟分布式拒絕服務(wù)攻擊步驟3 3Internet四、DDoS攻擊過(guò)程Hacker Using Client program,Using Clien

9、t program, 黑客發(fā)送控制命令給主機(jī)，黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）被控制計(jì)算機(jī)（代理端）TargetedSystemMasterServer分布式拒絕服務(wù)攻擊步驟分布式拒絕服務(wù)攻擊步驟4 4Internet四、DDoS攻擊過(guò)程InternetHacker 主機(jī)發(fā)送攻擊信號(hào)給被控主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開(kāi)始對(duì)目標(biāo)系統(tǒng)制計(jì)算機(jī)開(kāi)始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。發(fā)起攻擊。5MasterServer分布式拒絕服務(wù)攻擊步驟分布式拒絕服務(wù)攻擊步驟5 5Targeted System被控制計(jì)算機(jī)（代理端）被控制計(jì)算機(jī)（代理端）四、DDo

10、S攻擊過(guò)程TargetedSystemHacker 目標(biāo)系統(tǒng)被無(wú)數(shù)的偽造目標(biāo)系統(tǒng)被無(wú)數(shù)的偽造的請(qǐng)求所淹沒(méi)，從而無(wú)法對(duì)合的請(qǐng)求所淹沒(méi)，從而無(wú)法對(duì)合法用戶(hù)進(jìn)行響應(yīng)，法用戶(hù)進(jìn)行響應(yīng)，DDOSDDOS攻擊成攻擊成功。功。6MasterServerUserRequest Denied分布式拒絕服務(wù)攻擊步驟分布式拒絕服務(wù)攻擊步驟6 6Internet被控制計(jì)算機(jī)（代理端）被控制計(jì)算機(jī)（代理端）五、DDoS攻擊現(xiàn)象五、DDoS攻擊現(xiàn)象DDoS攻擊的現(xiàn)象： 1、被攻擊主機(jī)上有大量等待的TCP連接； 2、網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假； 3、制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界

11、通訊； 4、利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求； 5、嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。 到目前為止，進(jìn)行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專(zhuān)家給了個(gè)形象的比喻：DDoS就好象有1,000個(gè)人同時(shí)給你家里打電話(huà)，這時(shí)候你的朋友還打得進(jìn)來(lái)嗎？ 不過(guò)即使它難于防范，也不是說(shuō)我們就應(yīng)該逆來(lái)順受，實(shí)際上防止DDoS并不是絕對(duì)不可行的事情。主要可以從以下幾方面入手： 1、優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)； 2、優(yōu)化對(duì)外開(kāi)放訪(fǎng)問(wèn)的主機(jī)；

12、3、確保主機(jī)不被入侵和主機(jī)的安全； 4、發(fā)現(xiàn)正在實(shí)施攻擊時(shí)，必須立刻關(guān)閉系統(tǒng)并進(jìn)行調(diào)試。 六、如何防御拒絕服務(wù)攻擊？ 六、Defend:如何防御拒絕服務(wù)攻擊？ 做為內(nèi)部網(wǎng)的管理者，往往也是安全員、守護(hù)神。在維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù)，因而不可避免地成為DDoS的攻擊目標(biāo)，因此可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個(gè)角度去考慮。（一）主機(jī)上的設(shè)置 1、關(guān)閉不必要的服務(wù) 2、限制同時(shí)打開(kāi)的Syn半連接數(shù)目 3、縮短Syn半連接的time out 時(shí)間 4、及時(shí)更新系統(tǒng)補(bǔ)丁 （二）網(wǎng)絡(luò)設(shè)備上的設(shè)置 .防火墻 （1）禁止對(duì)主機(jī)的非開(kāi)放服務(wù)的訪(fǎng)問(wèn) （2）限制同時(shí)打開(kāi)的SYN最大連接數(shù) （3）限制特定IP地址的訪(fǎng)問(wèn) （4）啟用防