DDoS攻击原理及防护讲课教案.ppt

  1. 1、本文档共57页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* 网络战爆发时,爱沙尼亚正准备移走苏俄时代的纪念铜像,不但引起国内俄人骚乱,俄罗斯政府亦作出严厉批评。爱沙尼亚指声称这场攻击已超出一般黑客的能力,指控俄罗斯政府参与其事,但俄罗斯政府已多次否认。一些网络专家指,要发动如此规模的攻击,未必需要政府在背后操控,黑客可透过僵尸网络控制各地电脑,集体发动攻击 * * * * * * * * 这是一条完成的地下价值链,而DDoS问题是其中最为典型的案例 * 第一,现在的DDoS攻击流量峰值越来越高,据我们目前了解到的情况,2015年国外发生过的DDOS攻击,流量峰值达到了将近600G。事实上,2016年前三个月,已经发生了超过600G的DDoS攻击。7月20日乐视被攻击峰值达到200G, 大流量攻击原因:带宽提速,(铜退光进)、物联网、智能设备;DNS、SSDP和NTP反射攻击。。。 第二,由于发起DDoS攻击,越来越容易,因此从DDoS攻击次数上说,DDoS发生的次数越来越频繁。80%是10G以下攻击 小流量、http、dns等应用层、慢速攻击增多 * * * * * * * * 存在大量连接状态,来自少数的几个源。如果统计的话,可以看到连接数对比平时出现异常。并且增长到某一值之后开始波动,说明此时可能已经接近 性能极限。因此,对这种攻击的判断:在流量上体现并不大,甚至可能会很小;大量的ESTABLISH状态;新建的ESTABLISH状态总数有波动。 * NTP反射攻击原理:Monlist指令,可以获取与目标NTP?Server进行过同步的最后600个客户机IP。?这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP?包 1、? 利用UDP协议的天然脆弱点,即不需要前期建立连接,直接就可以向client发送数据; 2、? Internet上存在大量开放分布式的NTPServer,进行对同步请求的响应。 3、? 比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能,(Monlist指令,可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着,一个很小的请求包,就能获取到大量的活动IP地址组成的连续UDP包). 攻击实现: 1、? 所有的bots把源IP伪装成受害者IP,这个在NTP查询时返回的查询结果就直接返回给了受害者; 2、? NTP response的数据包比NTPRequest大很多倍,达到了放大的效果。 * 这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等 数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方 法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录, 这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连 接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态 页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址 * * 什么是DDoS DDoS攻击分类(流量特性) DDoS攻击分类(攻击方式) 连接耗尽型---SYN Flood SYN (我可以连接吗?) ACK (可以)/SYN(请确认!) ACK (确认连接) 发起方 应答方 正常的三次握手过程 SYN (我可以连接吗?) ACK (可以)/SYN(请确认!) 攻击者 受害者 伪造地址进行SYN 请求 为何还没回应 就是让你白等 不能建立正常的连接! SYN Flood 攻击原理 SYN_RECV 状态 半开连接队列 遍历,消耗CPU和内存 SYN|ACK 重试 SYN Timeout:30秒~2分钟 无暇理睬正常的连接请求,造成拒绝服务 危害 我没发过请求 如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat命令能看到大量SYN_RCVD的半连接(数量500或占总连接数的10%以上),可以认定,这个系统(或主机)遭到了Synflood攻击。 SYN Flood侦察 SYN攻击包样本 SYN攻击包样本 SYN Flood程序实现 连接耗尽型---Connection Flood 正常tcp connect 攻击者 受害者 大量t

您可能关注的文档

文档评论(0)

zjq110 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档