DDOS分布式拒絕服務(wù)攻擊(共31頁(yè)).ppt

1、DDOS 分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊By Haisu分布式拒絕服務(wù)攻擊的實(shí)施及預(yù)防措施分布式拒絕服務(wù)攻擊的實(shí)施及預(yù)防措施攻擊攻擊l1) 分布式拒絕服務(wù)攻擊(DDoS)的概念以及它與拒絕服務(wù)攻擊的區(qū)別。l2) DDoS攻擊的過(guò)程和攻擊網(wǎng)絡(luò)結(jié)構(gòu)。l3) DDoS攻擊所利用的協(xié)議漏洞l4) DDoS的幾種攻擊方式l5) 一種新的DDoS攻擊方式反彈攻擊防御防御l1) DDoS攻擊的防范原理。l2) DDoS攻擊發(fā)生時(shí)網(wǎng)絡(luò)出現(xiàn)的異常情況。l3) 防范中的軟硬件使用l4) 拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計(jì)DDoS的誕生的誕生l1999年8月以來(lái)，出現(xiàn)了一種新的網(wǎng)絡(luò)攻擊方法，這就是分布式拒絕攻擊（DDoS

2、）。之后這種攻擊方法開(kāi)始大行其道，成為黑客攻擊的主流手段。Yahoo、eBay、CNN等眾多知站點(diǎn)相繼被身份不明的黑客在短短幾天內(nèi)連續(xù)破壞，系統(tǒng)癱瘓達(dá)幾個(gè)小時(shí)甚至幾十個(gè)小時(shí)之久。拒絕服務(wù)攻擊拒絕服務(wù)攻擊l拒絕服務(wù)攻擊（Denial of Service）是一種個(gè)人或多人利用Internet協(xié)議的某些漏洞，拒絕其他用戶對(duì)系統(tǒng)和信息的合法訪問(wèn)的攻擊。l這類攻擊使服務(wù)器充斥大量要求恢復(fù)的非法用戶的信息和請(qǐng)求，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。 被被DDoS攻擊時(shí)的現(xiàn)象攻擊時(shí)的現(xiàn)象l被攻擊主機(jī)上有大量等待的TCP連接l網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址

3、為假l制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊l利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求 l嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī) 正常訪問(wèn)正常訪問(wèn)通過(guò)普通的網(wǎng)絡(luò)連線，使用者傳送信息要求通過(guò)普通的網(wǎng)絡(luò)連線，使用者傳送信息要求服務(wù)器予以確定。服務(wù)器于是回復(fù)用戶。用服務(wù)器予以確定。服務(wù)器于是回復(fù)用戶。用戶被確定后，就可登入服務(wù)器。戶被確定后，就可登入服務(wù)器。TCPTCP三次握手方式三次握手方式 “拒絕服務(wù)拒絕服務(wù)”（DoSDoS）的攻擊方式）的攻擊方式“拒絕服務(wù)拒絕服務(wù)”的攻擊方式為：用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服的攻

4、擊方式為：用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥著這種無(wú)用的信息。務(wù)器里充斥著這種無(wú)用的信息。 所有的信息都有需回復(fù)的虛假地址，以至所有的信息都有需回復(fù)的虛假地址，以至于當(dāng)服務(wù)器試圖回傳時(shí)，卻無(wú)法找到用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過(guò)于當(dāng)服務(wù)器試圖回傳時(shí)，卻無(wú)法找到用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過(guò)一分鐘，然后再切斷連接。服務(wù)器切斷連接時(shí)，黑客再度傳送新一批需要確一分鐘，然后再切斷連接。服務(wù)器切斷連接時(shí)，黑客再度傳送新一批需要確認(rèn)的信息，這個(gè)過(guò)程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)認(rèn)的信息，這個(gè)過(guò)程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)l很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等W

5、eb服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會(huì)導(dǎo)致網(wǎng)站訪問(wèn)非常緩慢甚至無(wú)法訪問(wèn)，TCP全連接攻擊就是通過(guò)許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。 DDoSDDoS攻擊過(guò)程攻擊過(guò)程掃描程序掃描程序黑客黑客黑客利用工具掃描黑客利用工具掃描 Internet， ，發(fā)現(xiàn)存在漏洞發(fā)現(xiàn)存在漏洞的主機(jī)的主機(jī)1Internet黑客黑客Zombies2InternetDDoSDDo

6、S攻擊過(guò)程攻擊過(guò)程黑客黑客 黑客選擇主控主機(jī)，用來(lái)黑客選擇主控主機(jī)，用來(lái)向向“僵尸僵尸”發(fā)送命令發(fā)送命令3Zombies主控主機(jī)主控主機(jī)InternetDDoSDDoS攻擊過(guò)程攻擊過(guò)程Hacker4ZombiesTargeted目標(biāo)目標(biāo)SystemMasterServerInternetDDoSDDoS攻擊過(guò)程攻擊過(guò)程目標(biāo)系統(tǒng)目標(biāo)系統(tǒng)SystemHacker 主控端向主控端向“僵尸僵尸”發(fā)送攻發(fā)送攻擊信號(hào)，對(duì)目標(biāo)發(fā)動(dòng)攻擊擊信號(hào)，對(duì)目標(biāo)發(fā)動(dòng)攻擊5MasterServerInternetZombiesDDoSDDoS攻擊過(guò)程攻擊過(guò)程目標(biāo)目標(biāo)黑客黑客 目標(biāo)主機(jī)被目標(biāo)主機(jī)被“淹沒(méi)淹沒(méi)”，無(wú)法提供正常服

7、務(wù)，甚，無(wú)法提供正常服務(wù)，甚至系統(tǒng)崩潰至系統(tǒng)崩潰6主控主機(jī)主控主機(jī)合法用戶合法用戶服務(wù)請(qǐng)求被拒絕服務(wù)請(qǐng)求被拒絕Internet僵尸僵尸DDoSDDoS攻擊過(guò)程攻擊過(guò)程分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊 l分布式拒絕服務(wù)攻擊（Distributed Denial of Service）是對(duì)拒絕服務(wù)攻擊的發(fā)展。l攻擊者控制大量的攻擊源，然后同時(shí)向攻擊目標(biāo)發(fā)起的一種拒絕服務(wù)攻擊。海量的信息會(huì)使得攻擊目標(biāo)帶寬迅速消失殆盡。l相對(duì)于一般的拒絕服務(wù)攻擊，分布式拒絕服務(wù)攻擊有以下兩個(gè)特點(diǎn)：分布式拒絕服務(wù)攻擊特點(diǎn)分布式拒絕服務(wù)攻擊特點(diǎn)l由于集中了成百上千臺(tái)機(jī)器同時(shí)進(jìn)行攻擊，其攻擊力是十分巨大的。即使像Yah

8、oo，Sina等應(yīng)用了可以將負(fù)荷分?jǐn)偟矫總€(gè)服務(wù)器的集群服務(wù)器（cluster server）技術(shù)，也難以抵擋這種攻擊。l多層攻擊網(wǎng)絡(luò)結(jié)構(gòu)使被攻擊主機(jī)很難發(fā)現(xiàn)攻擊者，而且大部分裝有主控進(jìn)程和守護(hù)進(jìn)程的機(jī)器的合法用戶并不知道自己是整個(gè)拒絕服務(wù)攻擊網(wǎng)絡(luò)中的一部分，即使被攻擊主機(jī)監(jiān)測(cè)到也無(wú)濟(jì)于事。DDoS攻擊過(guò)程攻擊過(guò)程 攻擊過(guò)程主要有兩個(gè)步驟：攻占代理主機(jī)和向目標(biāo)發(fā)起攻擊。具體說(shuō)來(lái)可分為以下幾個(gè)步驟： 1探測(cè)掃描大量主機(jī)以尋找可入侵主機(jī)； 2入侵有安全漏洞的主機(jī)并獲取控制權(quán)； 3在每臺(tái)被入侵主機(jī)中安裝攻擊所用的客戶進(jìn)程或守護(hù)進(jìn)程； 4向安裝有客戶進(jìn)程的主控端主機(jī)發(fā)出命令，由它們來(lái)控制代理主機(jī)上的守護(hù)

9、進(jìn)程進(jìn)行協(xié)同入侵。DDoS攻擊的網(wǎng)絡(luò)結(jié)構(gòu)攻擊的網(wǎng)絡(luò)結(jié)構(gòu) 攻擊端攻擊端： 攻擊者在此操縱攻擊過(guò)程主控端客戶進(jìn)程主控端客戶進(jìn)程：被攻擊者控制的主機(jī)，并運(yùn)行了DDoS主控端程序。代理端守護(hù)進(jìn)程代理端守護(hù)進(jìn)程：響應(yīng)主控端攻擊命令，向攻擊目標(biāo)發(fā)送拒絕服務(wù)攻擊數(shù)據(jù)包。DDOS的表現(xiàn)形式的表現(xiàn)形式l一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到達(dá)主機(jī)；l另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。 DDoS所利用的協(xié)議漏洞所利用的協(xié)議漏洞1）利用 IP

10、源路由信息的攻擊 由于 TCP/ IP體系中對(duì) IP數(shù)據(jù)包的源地址不進(jìn)行驗(yàn)證，所以攻擊者可以控制其眾多代理端用捏造的IP地址發(fā)出攻擊報(bào)文，并指明到達(dá)目標(biāo)站點(diǎn)的傳送路由，產(chǎn)生數(shù)據(jù)包溢出。2）利用 RIP協(xié)議的攻擊 RIP是應(yīng)用最廣泛的路由協(xié)議，采用 RIP的路由器會(huì)定時(shí)廣播本地路由表到鄰接的路由器，以刷新路由信息。通常站點(diǎn)接收到新路由時(shí)直接采納，這使攻擊者有機(jī)可乘。 DDoS所利用的協(xié)議漏洞（續(xù)）所利用的協(xié)議漏洞（續(xù)）.3）利用 ICMP的攻擊 絕大多數(shù)監(jiān)視工具不顯示ICMP包的數(shù)據(jù)部分，或不解析ICMP類型字段，所以 ICMP數(shù)據(jù)包往往能直接通過(guò)防火墻。例如，從攻擊軟件TFN (Tribe f

11、lood network)客戶端到守護(hù)程序端的通訊可直接通過(guò) ICMP- ECHOREPLY (Type0 )數(shù)據(jù)包完成。 可直接用于發(fā)起攻擊的 ICMP報(bào)文還有：ICMP重定向報(bào)文 ( Type5 )、ICMP目的站點(diǎn)不可達(dá)報(bào)文 ( Type3 )、數(shù)據(jù)包超時(shí)報(bào)文 ( Type11)。 DDoS攻擊的五種常用方式攻擊的五種常用方式 至今為止，攻擊者最常使用的分布式拒絕服務(wù)攻擊程序主要包括 4種：Trinoo、TFN、TFN2K和Stacheldraht。 1) Trinoo（Tribe Flood Network）攻擊 Trinoo是一種用UDP包進(jìn)行攻擊的工具軟件。與針對(duì)某特定端口的一般U

12、DP flood攻擊相比，Trinoo攻擊隨機(jī)指向目標(biāo)端的各個(gè)UDP端口，產(chǎn)生大量ICMP不可到達(dá)報(bào)文，嚴(yán)重增加目標(biāo)主機(jī)負(fù)擔(dān)并占用帶寬，使對(duì)目標(biāo)主機(jī)的正常訪問(wèn)無(wú)法進(jìn)行。DDoS攻擊的五種常用方式攻擊的五種常用方式 2)TFN攻擊 TFN是利用ICMP給主控端或分布端下命令 ，其來(lái)源可以做假。它可以發(fā)動(dòng)SYN flood 、UDP flood 、ICMP flood及Smurf(利用多臺(tái)服務(wù)器發(fā)出海量數(shù)據(jù)包，實(shí)施DoS攻擊 )等攻擊。 3)TFN2K攻擊 TFN2K是TFN的增強(qiáng)版，它增加了許多新功能： DDoS攻擊的五種常用方式攻擊的五種常用方式 a.單向的對(duì)Master的控制通道，Maste

13、r無(wú)法發(fā)現(xiàn)Attacker地址。 b.針對(duì)脆弱路由器的攻擊手段。 c.更強(qiáng)的加密功能，基于Base64編碼，AES加密。 d.隨機(jī)選擇目的端口。4)Stacheldraht攻擊 Stacheldraht結(jié)合了Trinoo和TFN的特點(diǎn)， DDoS攻擊的五種常用方式攻擊的五種常用方式 并且它將attacker和master間的通信加密，增加了master端的自動(dòng)更新功能，即能夠自動(dòng)更新daemon主機(jī)列表。 5) SHAFT是一種獨(dú)立發(fā)展起來(lái)的DDoS攻擊方法，獨(dú)特之處在于： 首先，在攻擊過(guò)程中，受控主機(jī)之間可以交換對(duì)分布端的控制和端口，這使得入侵檢測(cè)工具難以奏效。 其次，SHAFT采用了“ti

14、cket”機(jī)制進(jìn)行攻擊，使其攻擊命令有一定秘密性。 第三，SHAFT采用了獨(dú)特的包統(tǒng)計(jì)方法使其攻擊得以順利完成。 DDoS攻擊新技術(shù)攻擊新技術(shù)反彈技術(shù)反彈技術(shù)l反彈技術(shù)就是利用反彈服務(wù)器實(shí)現(xiàn)攻擊的技術(shù)。l所謂反彈服務(wù)器（Reflector）是指當(dāng)收到一個(gè)請(qǐng)求數(shù)據(jù)報(bào)后就會(huì)產(chǎn)生一個(gè)回應(yīng)數(shù)據(jù)報(bào)的主機(jī)。例如，所有的Web服務(wù)器、DNS服務(wù)器和路由服務(wù)器都是反彈服務(wù)器。攻擊者可以利用這些回應(yīng)的數(shù)據(jù)報(bào)對(duì)目標(biāo)機(jī)器發(fā)動(dòng)DDoS攻擊。反彈技術(shù)原理反彈技術(shù)原理l反彈服務(wù)器攻擊過(guò)程和傳統(tǒng)的DDoS攻擊過(guò)程相似，如前面所述的4個(gè)步驟中，只是第4步改為：攻擊者鎖定大量的可以作為反彈服務(wù)器的服務(wù)器群，攻擊命令發(fā)出后，代理

15、守護(hù)進(jìn)程向已鎖定的反彈服務(wù)器群發(fā)送大量的欺騙請(qǐng)求數(shù)據(jù)包，其原地址為受害服務(wù)器或目標(biāo)服務(wù)器。 反彈技術(shù)實(shí)現(xiàn)反彈技術(shù)實(shí)現(xiàn)DDoS攻擊與傳統(tǒng)攻擊與傳統(tǒng)DDoS攻擊的區(qū)別：攻擊的區(qū)別： 1反彈技術(shù)實(shí)現(xiàn)DDoS攻擊比傳統(tǒng)DDoS攻擊更加難以抵御。實(shí)際上它的攻擊網(wǎng)絡(luò)結(jié)構(gòu)和傳統(tǒng)的相比多了第四層被鎖定的反彈服務(wù)器層。反彈服務(wù)器的數(shù)量可以遠(yuǎn)比駐有守護(hù)進(jìn)程的代理服務(wù)器多，故反彈技術(shù)可以使攻擊時(shí)的洪水流量變?nèi)?，最終才在目標(biāo)機(jī)匯合為大量的洪水，其攻擊規(guī)模也比傳統(tǒng)DDoS攻擊大得多。 2目標(biāo)機(jī)更難追查到攻擊來(lái)源。目標(biāo)機(jī)接收到的攻擊數(shù)據(jù)報(bào)的源IP是真實(shí)的，反彈服務(wù)器追查到的數(shù)據(jù)報(bào)源IP是假的。又由于反彈服務(wù)器上收發(fā)數(shù)據(jù)報(bào)的流量較?。ㄟh(yuǎn)小于代理服務(wù)器發(fā)送的數(shù)量），所以，服務(wù)器根據(jù)網(wǎng)絡(luò)流量來(lái)自動(dòng)檢測(cè)是否為DDoS攻擊源的這種機(jī)制將不起作用。DDoS攻擊下的防御攻擊下的防御l對(duì)DDoS攻擊體系的檢測(cè)與防范是一個(gè)整體行為，必須從主控端、代理端、目標(biāo)端分別進(jìn)行?？傮w上包括兩個(gè)方面： l一是主控端與代理端主機(jī)應(yīng)防止被攻擊者侵入并加以利用。 l二是在目標(biāo)端建立監(jiān)控機(jī)制及時(shí)檢測(cè)網(wǎng)絡(luò)流量變化判斷是否發(fā)生DDoS攻擊以便采取適當(dāng)措施。 DDoS