拒絕服務攻擊課件

1、 1 What:拒絕服務攻擊是什么? 2 Why:拒絕服務攻擊的動機? 3 Type:拒絕服務攻擊的分類 4 How:DDoS攻擊過程 5 Examples:DDoS攻擊現(xiàn)象 6 Defend:如何防御拒絕服務攻擊？韓國主要網(wǎng)站同時遭黑客攻擊 7月8日，一名韓國警察廳官員在位于首爾的警察廳總部介紹黑客攻擊政府網(wǎng)站的情況。 7月8日，工作人員在位于韓國首都首爾的韓國網(wǎng)絡安全中心忙碌。 這就是DDoS服務(Service) 系統(tǒng)提供的,用戶在對其使用中會受益的功能拒絕服務(DoS:Denial of Service) 任何對服務的干涉如果使得其可用性降低或者失去可用性稱為拒絕服務,如:計算機系統(tǒng)崩

2、潰;帶寬耗盡;硬盤被填滿拒絕服務攻擊 攻擊者通過某種手段,有意地造成計算機或網(wǎng)絡不能正常運轉從而不能向合法用戶提供所需要的服務或者使服務質量降低攻擊方式 消耗系統(tǒng)或網(wǎng)絡資源;更改系統(tǒng)配置DDoS與DoS的關系：廣義上講，DDoS屬于DoS；狹義上講，DoS指的是單一攻擊者針對單一受害者的攻擊（傳統(tǒng)的DOS），而DDoS則是多個攻擊者向同一受害者的攻擊。DDoS成功的原因：1、TCP/IP協(xié)議存在漏洞，可以被攻擊者利用；2、網(wǎng)絡提供Best-Effort服務，不區(qū)分數(shù)據(jù)流量是否是攻擊流量；3、網(wǎng)絡帶寬和系統(tǒng)資源是有限的。腳本小子（Script Kiddies）：作為練習攻擊的手段炫耀的資本仇恨或

3、者報復（前雇員、現(xiàn)雇員、外部人員）惡作劇或者單純?yōu)榱似茐慕?jīng)濟原因政治原因 2001年5月中美撞機引發(fā)的中美黑客間的網(wǎng)絡大戰(zhàn)； 2003年伊拉克戰(zhàn)爭引發(fā)的美伊黑客大戰(zhàn)。信息站 1991年海灣戰(zhàn)爭期間，美特工替換了運往伊的打印機，用帶毒的芯片破壞伊的防空系統(tǒng)。作為特權提升攻擊的輔助手段 通過DoS攻擊使系統(tǒng)重啟后更改生效； 通過DoS攻擊使防火墻不能工作； 通過DoS攻擊使DNS癱瘓后再假冒該DNS。分布式拒絕服務攻擊（DDoS）反射式拒絕服務攻擊（RDoS）1、分布式拒絕服務攻擊（DDos） 原理：是在傳統(tǒng)DoS攻擊基礎之上產(chǎn)生的一類攻擊方式。也是現(xiàn)在最常用，最難以防御的一種拒絕服務攻擊。它借助

4、于C/S技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍提高拒絕服務攻擊的威力。3層：攻擊者，主控端，代理端三者在攻擊中扮演的角色： 攻擊者：操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。 主控端：控制代理主機，主控端安裝了特定的程序，接受攻擊者發(fā)來的特殊指令，并把這些命令發(fā)送到代理主機上。 代理端：代理端是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。分布式拒絕服務攻擊DDoS優(yōu)點： 1.攻擊力大； 2.其隱蔽性和分布性很難被識別和防御。 2、RDoS(反射式拒絕服務攻擊) 之前有過百度受到拒絕服務攻擊而造成30分鐘的無法訪問事情，但問題在于百度如此的大的網(wǎng)站，如果說在

5、技術上尋找漏洞進入系統(tǒng)還是有可能的話，那么，使用DDOS來攻擊百度并且造成30分鐘的拒絕服務實在令人費解，百度服務器的吞吐量巨大，并且有完善的安全機制，分布式拒絕服務攻擊對百度的威脅應該說是很小的，那么，為什么會有無法訪問30分鐘的情況發(fā)生呢？ 原因就是攻擊者使用了一種新式DDOS攻擊方式，“反射式拒絕服務攻擊（RDoS）”這種新式的攻擊手段在國內并不多見，并且這種攻擊程序在互聯(lián)網(wǎng)上也很難下載到。攻擊所需要的大量肉雞，都是服務器級別的，他們具有較大的網(wǎng)絡吞吐能力與數(shù)據(jù)處理能力。分布式拒絕服務攻擊步驟分布式拒絕服務攻擊步驟1 1ScanningProgram不安全的計算機不安全的計算機Hacke

6、r攻擊者使用掃描工具攻擊者使用掃描工具探測掃描大量主機以探測掃描大量主機以尋找潛在入侵目標。尋找潛在入侵目標。1InternetHacker被控制的計算機被控制的計算機( (代理端代理端) )黑客設法入侵有安全漏洞黑客設法入侵有安全漏洞的主機并獲取控制權。這的主機并獲取控制權。這些主機將被用于放置后門、些主機將被用于放置后門、sniffersniffer或守護程序甚至或守護程序甚至是客戶程序。是客戶程序。2分布式拒絕服務攻擊步驟分布式拒絕服務攻擊步驟2 2InternetHacker 黑客在得到入侵計算機黑客在得到入侵計算機清單后，從中選出滿足建清單后，從中選出滿足建立網(wǎng)絡所需要的主機，放立網(wǎng)

7、絡所需要的主機，放置已編譯好的守護程序，置已編譯好的守護程序，并對被控制的計算機發(fā)送并對被控制的計算機發(fā)送命令。命令。 3被控制計算機（代理端）被控制計算機（代理端）MasterServer分布式拒絕服務攻擊步驟分布式拒絕服務攻擊步驟3 3InternetHacker Using Client program,Using Client program, 黑客發(fā)送控制命令給主機，黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊準備啟動對目標系統(tǒng)的攻擊4被控制計算機（代理端）被控制計算機（代理端）TargetedSystemMasterServer分布式拒絕服務攻擊步驟分布式拒絕服務攻擊步驟4 4

8、InternetInternetHacker 主機發(fā)送攻擊信號給被控主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)制計算機開始對目標系統(tǒng)發(fā)起攻擊。發(fā)起攻擊。5MasterServer分布式拒絕服務攻擊步驟分布式拒絕服務攻擊步驟5 5Targeted System被控制計算機（代理端）被控制計算機（代理端）TargetedSystemHacker 目標系統(tǒng)被無數(shù)的偽造目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合的請求所淹沒，從而無法對合法用戶進行響應，法用戶進行響應，DDOSDDOS攻擊成攻擊成功。功。6MasterServerUserRequest Denied分布式拒絕服務攻擊步驟分布式拒絕

9、服務攻擊步驟6 6Internet被控制計算機（代理端）被控制計算機（代理端）DDoS攻擊的現(xiàn)象： 1、被攻擊主機上有大量等待的TCP連接； 2、網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包，源地址為假； 3、制造高流量無用數(shù)據(jù)，造成網(wǎng)絡擁塞，使受害主機無法正常和外界通訊； 4、利用受害主機提供的服務或傳輸協(xié)議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求； 5、嚴重時會造成系統(tǒng)死機。 到目前為止，進行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個形象的比喻：

10、DDoS就好象有1,000個人同時給你家里打電話，這時候你的朋友還打得進來嗎？ 不過即使它難于防范，也不是說我們就應該逆來順受，實際上防止DDoS并不是絕對不可行的事情。主要可以從以下幾方面入手： 1、優(yōu)化路由和網(wǎng)絡結構； 2、優(yōu)化對外開放訪問的主機； 3、確保主機不被入侵和主機的安全； 4、發(fā)現(xiàn)正在實施攻擊時，必須立刻關閉系統(tǒng)并進行調試。 做為內部網(wǎng)的管理者，往往也是安全員、守護神。在維護的網(wǎng)絡中有一些服務器需要向外提供WWW服務，因而不可避免地成為DDoS的攻擊目標，因此可以從主機與網(wǎng)絡設備兩個角度去考慮。（一）主機上的設置 1、關閉不必要的服務 2、限制同時打開的Syn半連接數(shù)目 3、縮短Syn半連接的time out 時間 4、及時更新系統(tǒng)補丁 （二）網(wǎng)絡設備上的設置 .防火墻 （1）禁止對主機的非開放服務的訪問 （2）限制同時打開的SYN最大連接數(shù) （3）限制特定IP地址的訪問 （4）啟用防火墻的防DDoS的屬性