DDOS攻击原理与攻击技术2(阅读).ppt

DDOS攻击原理及其攻击方法 讲演成员： 杨彩霞 刘龙 王钰文 张尚飞 讲演内容： DOS的概念 DDOS的概念 DDOS攻击原理 DDOS攻击方法 DOS的概念 DOS（Denial of Service）即拒绝服务 拒绝服务，就相当于必胜客在客满的时候不再让人进去一样，呵呵，你想吃馅饼，就必须在门口等吧。DOS攻击即让目标机器停止提供服务或资源访问。 DDOS的概念 DDoS( distribute denial of service) 拒绝式服务攻击 利用肉机（僵尸主机） 2、DOS攻击原理 3、DDOS攻击原理 分析： 对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。 分析： 对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。 在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 DDOS攻击方法 1、SYN flood 2、Land-based 3、Ping of Death 4、Pingflood 5、Smurf 1、SYN flood 它利用TCP缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。 TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。 SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会 把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃，甚至会导致服务器的系统崩溃。 Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节， 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。 2、Land-based IP欺骗：使得被信任的主机丧失工作 能力，同时采样目标主机发出的TCP 序 列号，猜测出它的数据序列号。然后，伪装成 被信任的主机，同时建立起与目标主机基于地址 验证的应用连接。 攻击者将一个包的源地址和目的地址都设置为目标 主机的地址，然后将该包通过IP欺骗的方式发送给被 攻击主机，这种包可以造成被攻击主机因试图与自己 建立连接而陷入死循环，从而很大程度地降低了系统 性能。 3、Ping of Death 根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个 片段的叠加却能做到。当一个主机 收到了长度大于65536字节的包时， 就是受到了Ping of Death攻 击，该攻击会造成主机的宕机。 4、Pingflood 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。 5、原理介绍（surf） 　一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的 计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的. Smurf攻击 Smurf攻击 的作用原理就是基于广播地址与回应请求的。该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且源地址伪装成想要攻击的主机地址，子网上所有主机都会用广播包请求而向被攻击主机发包，使该主机受到攻击。 Surf攻击原理图 smuf攻击的过程 ? 1黑客锁定一个被攻击的主机（通常是一些Web服务器）；???2黑客寻找可做为中间代理的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）；???3黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；???4中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据