全国银行系统计算机安全信息交流会分布式拒绝服务攻击（DDoS）研讨.ppt

全国银行系统计算机安全信息交流会  分布式拒绝服务攻击（DDoS）研讨 目录 DDoS震惊世界 近期黑客事件回顾 剖析DDoS攻击 抵御DoS/DDoS DDoS攻击展望 DDoS震惊世界 近期黑客事件回顾 RSA威风扫地 微软未能幸免 日本政府网站屡遭入侵 《黑客帝国》vs 黑客攻击 网络安全人员炙手可热 剖析DDoS攻击 什么是DoS攻击? Denial of Service (DoS) 拒绝服务攻击, 攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。(电子邮件) Distributed Denial of Service (DDoS)分布式拒绝服务攻击, 攻击者利用因特网上成百上千的“Zombie”(僵尸)：被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。 攻击者的身份很难确认。 正常用户登录 DDoS攻击的动机 发动攻击的动机: 引起业界注意 恶意行为(不同见解；破坏墙壁) 好奇心(测试下载软件) 长远看, DDoS类攻击使用因素: 商业竞争 不满的雇员/客户 金钱利欲(i.e. 控制股市) 政治动机 DDoS的种类 Trinoo TFN (tribal flood network) TFN2K (tribal flood network 2K) Stacheldraht (barbed wire) NEW attack tools - announced 2/15/00 Fapi Shaft Trank DDoS 组成部分 所有DDoS 攻击均由三部分组成: 1 客户端程序：Client Program（黑客） 2 主控端：Master Server 通常安装在ISP或大学网络 - 带宽保证 - 网络性能 3 “僵尸”：Agent (Zombie) Program 4 在TFN中，Master与Zombie间的通讯只是ICMP_ECHOREPLY数据包，没有TCP/UDP通信 DDoS攻击过程 DDoS Attack Illustrated DDoS Attack Illustrated DDoS Attack Illustrated DDoS Attack Illustrated DDoS Attack Illustrated DDoS攻击的系统 DDoS 可以针对所有系统进行攻击 “僵尸”程序 Linux Solaris2.x Windows NT 针对Win32系统的DDoS Troj_Trinoo 如何防范 DoS/DDoS? DoS/DDoS攻击是否对机密数据产生威胁？ DoS/DDoS攻击通常不会对敏感数据产生直接威胁。攻击者主要目的是让被攻击系统停止正常服务，而不是窃取资料。但是，DoS/DDoS经常被利用来掩盖真正的入侵攻击。另外，网络管理人员在对付拒绝服务攻击时，往往修改系统或网络设备的一些设置，从而留下其他可能被黑客利用的漏洞，例如停止或重新启动某种服务，就可能产生问题。修改网络配置时，一定要清楚可能造成的后果。 能否抓到黑客，如何处罚DoS/DDoS攻击者? 多数攻击者没有深厚的技术能力，但是下载的工具却可以非常优秀，通常能够巧妙的隐藏攻击者的身份。只有通过大量的日志审计或其他记录信息分析，或者在IRC中收集到一些自吹自擂，发泄的信息，有可能发现攻击者的踪迹。 加强立法 加强管理 减少危险总则 严格的网络安全政策，限定进出信息 联系网络设备商，操作系统商，安装必威体育精装版补丁 联系ISP，实施防护 监测系统登录数据，网络信息流 路由器，防火墙添加过滤规则 定期进行漏洞扫描，确保系统没有“僵尸”程序 尽早实施实时监控系统 实时入侵探测和响应工具 收集法律资料起诉黑客 规划攻击响应计划 向网络安全专家咨询，确定网络安全状况 资深网络安全专业人员设计灵活强大的e-Business 构架，使其免于受到 DDoS攻击 帮助寻找或建立事故响应队伍 建立紧急事件响应计划 对关键系统进行漏洞评估，判定危险等级 使用自动化系统和网络扫描工具 安装入侵探测和响应系统 最大限度减低攻击影响 滤掉进入的 ICMP数据包 协同ISP/主机托管商(Hosting Provider)工作 安装入侵探测和响应系统 对关键系统进行安全审计或漏洞评估 建立紧急事件响应计划 安装适当的升级软件和补丁来降低危险 紧急事件响应计划指南 如果受到攻击: 通知事故响应队伍 联系ISP 告知Safe-link 监控遭受攻击的系统 使用基于主机和基于网络的入侵探测系统（IDS） 启动防火墙的日志 收集法律行动资料 ISS提供解决方案 安全政策/解决方案支持 SAFEsuite Decisions 定制网络