DoS和DDoS介绍教案分析.ppt

2：应用层 网络攻击 DoS和DDoS DoS和DDoS DoS攻击 (Denial of Service)拒绝服务攻击 DDoS攻击 (Distributed Denial of Service)分布式拒绝服务攻击 2013年上半年DDoS威胁报告 平均每两天发生一起重大DDoS攻击事件，每两分钟发生一次普通DDoS攻击事件 中国依然是DDoS攻击的主要受害者，其次是美国、香港、韩国 银行、政府和商业公司是DDoS攻击的最大受害者 TCP Flood和HTTP Flood是最主要的DDoS攻击方式，两者占总数的四分之三 典型案例 2013年8月25日凌晨，国家域名解析节点受到拒绝服务攻击　　 黑客利用僵尸网络向.CN顶级域名系统，持续发起大量针对某游戏私服网站域名的查询请求，致大量.cn域名和.无法解析，攻击时峰值流量较平常激增近1000倍。。 2013年3月，欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDoS攻击 攻击流量峰值高达300Gbps。 攻击者借助互联网存在的大量开放DNS服务器，采用DNS反射技术发起本次攻击 UDP flood 常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器 UDP协议是一种无连接的服务，在UDP FLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包 100k bps的UDP Flood经常将线路上的骨干设备(例如防火墙)打瘫，造成整个网段的瘫痪 HTTP Get攻击 主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的 特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法 提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的 DDoS(分布式拒绝服务) 控制大批傀儡机，同时发起攻击，导致资源或带宽耗尽,无法正常响应服务甚至崩溃。 DDoS分类 资源消耗攻击： 通过网络协议存在的一些固有 漏洞或缺陷, 占用大量系统资源（CPU,内存） 带宽消耗攻击： 发送海量虚假的服务请求数据包,造成目标服务器所分配的带宽被大量占用 美国境内的控制者最多，占总量的42.2%，随后是德国（9.1%），法国（7%）和英国（5.8%），而中国则约为3.8% 中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2% 在中国地区，僵尸主机排名前四位的分别是广东、浙江、北京、重庆 DDoS攻击过程 攻击过程主要有两个步骤：攻占代理主机和向目标发起攻击。 1、探测扫描大量主机以寻找可入侵主机 2、入侵有安全漏洞的主机并获取控制权 3、在每台被入侵主机中安装攻击所用的客户进程或 守护进程； 4、向安装有客户进程的主控端主机发出命令，由它 们来控制代理主机上的守护进程进行协同攻击 常见传统缓解攻击的方法 系统加固（IIS，Apache） 负载均衡，Cache Syn Cookie技术 路由器过滤 入口过滤和出口过滤 History-based IP Filtering Jung发现在正常“flash crowd”中，有82.9%的IP地址在以前出现过。 与之相对，“红色代码”DDoS攻击中，只有0.6%~14%的IP地址在发生攻击之前出现过。 在正常情况下，网络中出现的IP地址有很大的概率会在一定时期内重复出现 DDoS攻击工具 大陆地区流行的DDoS攻击的工具 幽幽DDOS（YoyoDDOS）、IMDDOS、傀儡僵尸（Puppet）、暴风网络（Storm）、风云（fengyun）、阿拉丁（AladinDDOS）等 流行于海外的DDoS攻击的工具 LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-dos LOIC是一款专门针对WEB应用的DDoS攻击工具，可通过发送TCP数据包、UDP数据包、HTTP请求来对目标网站。2012年1月28日黑客组织Anonymous对Facebook攻击时就使用了该工具 作业 利用DDoS攻击工具发起某种攻击，并使用wireshark抓包分析特征 分别讨论在windows和Linux操作系统中，可以采用何种策略防御SYN Flood攻击？ 在ICMP Flood，TCP Flood， 和DNS Flood以及HTTP get等DDos攻击中，任选一种详细讨论其检测与防御策略。 常见的DDoS攻击判断方法 判断与分析方法 网络流量的明显特征 操作系统告