DDoS攻击原理及防护讲课教案.ppt

* 网络战爆发时，爱沙尼亚正准备移走苏俄时代的纪念铜像，不但引起国内俄人骚乱，俄罗斯政府亦作出严厉批评。爱沙尼亚指声称这场攻击已超出一般黑客的能力，指控俄罗斯政府参与其事，但俄罗斯政府已多次否认。一些网络专家指，要发动如此规模的攻击，未必需要政府在背后操控，黑客可透过僵尸网络控制各地电脑，集体发动攻击 * * * * * * * * 这是一条完成的地下价值链，而DDoS问题是其中最为典型的案例 * 第一，现在的DDoS攻击流量峰值越来越高，据我们目前了解到的情况，2015年国外发生过的DDOS攻击，流量峰值达到了将近600G。事实上，2016年前三个月，已经发生了超过600G的DDoS攻击。7月20日乐视被攻击峰值达到200G， 大流量攻击原因：带宽提速，(铜退光进）、物联网、智能设备；DNS、SSDP和NTP反射攻击。。。 第二，由于发起DDoS攻击，越来越容易，因此从DDoS攻击次数上说，DDoS发生的次数越来越频繁。80%是10G以下攻击 小流量、http、dns等应用层、慢速攻击增多 * * * * * * * * 存在大量连接状态，来自少数的几个源。如果统计的话，可以看到连接数对比平时出现异常。并且增长到某一值之后开始波动，说明此时可能已经接近 性能极限。因此，对这种攻击的判断：在流量上体现并不大，甚至可能会很小；大量的ESTABLISH状态；新建的ESTABLISH状态总数有波动。 * NTP反射攻击原理：Monlist指令，可以获取与目标NTP?Server进行过同步的最后600个客户机IP。?这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP?包 1、? 利用UDP协议的天然脆弱点，即不需要前期建立连接，直接就可以向client发送数据； 2、? Internet上存在大量开放分布式的NTPServer，进行对同步请求的响应。 3、? 比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能，(Monlist指令，可以获取与目标NTP Server进行过同步的最后600个客户机IP。这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP包). 攻击实现： 1、? 所有的bots把源IP伪装成受害者IP，这个在NTP查询时返回的查询结果就直接返回给了受害者； 2、? NTP response的数据包比NTPRequest大很多倍，达到了放大的效果。 * 这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等 数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方 法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录， 这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连 接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态 页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址 * * 什么是DDoS DDoS攻击分类（流量特性） DDoS攻击分类（攻击方式） 连接耗尽型---SYN Flood SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） ACK （确认连接） 发起方 应答方 正常的三次握手过程 SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） 攻击者 受害者 伪造地址进行SYN 请求 为何还没回应 就是让你白等 不能建立正常的连接！ SYN Flood 攻击原理 SYN_RECV 状态 半开连接队列 遍历，消耗CPU和内存 SYN|ACK 重试 SYN Timeout：30秒~2分钟 无暇理睬正常的连接请求，造成拒绝服务 危害 我没发过请求 如果一个系统（或主机）负荷突然升高甚至失去响应，使用Netstat命令能看到大量SYN_RCVD的半连接（数量500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了Synflood攻击。 SYN Flood侦察 SYN攻击包样本 SYN攻击包样本 SYN Flood程序实现 连接耗尽型---Connection Flood 正常tcp connect 攻击者 受害者 大量t