NS_5_网络攻击4_拒绝服务攻击与防御.ppt

NS_5_网络攻击4_拒绝服务攻击与防御.ppt

  1. 1、本文档共44页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
NS_5_网络攻击4_拒绝服务攻击与防御

典型分布式拒绝服务攻击技术 被DDoS攻击时的现象: 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用数据包,源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议的缺陷,反复高速发出特定的服务请求,使受害主机无法及时处理正常请求 严重时会造成系统死机 当对一个Web站点执行 DDoS 攻击时,站点的一个或多个Web服务会接到非常多的请求,最终使它无法再正常使用 在DDoS攻击期间,不知情的用户发出正常的页面请求,请求会完全失败,或者页面下载速度极其缓慢,看起来就是站点无法使用 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 DDoS的工具: TFN2K Trinoo Stacheldraht Trinity Shaft MStream Trinoo的工作过程 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 TFN2K: TFN(Tribe Flood Network):德国著名黑客Mixter编写的DDoS攻击工具 由服务端程序和守护程序组成,能实施ICMP flood、SYN flood、UDP flood和Smurf等多种拒绝服务攻击 TFN2K在Solaris、Linux、Windows NT/2000上都能运行 服务端控制守护进程发动攻击时,可以定制通信使用的协议,可以使用TCP、UDP、ICMP三种协议中的任何一种 服务端向守护进程发送的控制指令,守护进程不进行回复。所以TFN2K的隐蔽性更强,检测更加困难,服务端可以将命令的数据报文的源地址进行伪造 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 TFN2K所有命令都经过了CAST-256算法(RFC2612)加密。加密关键字在程序编译时定义,并作为TFN2K客户端程序的口令;且所有加密数据在发送前都被编码( Base64 )成可打印的ASCII字符。TFN2K守护程序接收并解密数据 守护进程还能通过修改进程名来欺骗管理员,掩饰自己的真正身份 总之,TFN2K采用的单向通信、随机使用通信协议、通信数据加密等多种技术以保护自身,使得实时检测TFN2K更加困难 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 Stacheldraht: 能发动ICMP Flood、SYN Flood、UDP Flood和Smurf等多种攻击 主要特色:使用rcp (remote copy,远程复制)技术对代理程序进行更新 基于客户机/服务器模式,其中Master程序与潜在的成千个代理程序进行通讯 攻击者与master程序之间的通讯是加密(Blowfish)的 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 代理系统 主控系统 受攻击网站 Step 1:攻击者侵入Internet系统,将DDoS主控系统软件安插在这些系统中 Step 2:主控系统尝试感染Internet部分,将受感染的系统作为代理系统 Step 3:攻击者将指令发送给主控系统,主控系统操纵代理系统,对目标IP地址进行泛洪攻击 合法用户 攻击者 * 计算机科学与技术学院 * 拒绝服务攻击的防御 防御的困难之处——不容易定位攻击者的位置 Internet上绝大多数网络都不限制源地址,即伪造源地址非常容易 很难溯源找到攻击控制端的位置 各种反射式攻击,无法定位源攻击者 完全阻止是不可能的,但是适当的防范工作可以减少被攻击的机会 * 计算机科学与技术学院 * 拒绝服务攻击的防御 DoS的防御方法: 有效完善的设计 带宽限制:限制基于协议的带宽。例如,端口25只能使用25%的带宽,端口80只能使用50%的带宽 及时给系统安装补丁 运行尽可能少的服务 只允许必要的通信 封锁敌意IP地址 * 计算机科学与技术学院 * 分布式拒绝服务攻击的防御 分布式拒绝服务攻击的监测: 监测DDoS时常犯的错误是只有哪些信誉好的足球投注网站那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等 还应着重观察分析DDoS网络通讯的普遍特征:异常的网络交通流量 常见的异常现象: 大量的DNS PTR查询请求 超出网络正常工作时的极限通讯流量 特大型的ICMP和UDP数据包 不属于正常连接通讯的TCP和UDP数据包 数据段内容只包含文字和数字字符(例如,没有空格、标点和控制字符) * 计算机科学与技术学院 * 分布式拒绝服务攻击的防御 异常现象1:大量的DNS PTR查询请求 进行DDoS攻击前总要解析目标的主机名,BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求,即域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求 异常现象2:超出网络正常工作时的极限通讯流量

文档评论(0)

kuailexingkong + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档