分布式拒绝服务攻击DDOS.pptVIP

分布式拒绝服务攻击DDOS DDOS产生的背景 （Distributed Denial of Service）是对拒绝服务攻击的发展。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。 　　 这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。 DDOS攻击过程 攻击过程主要有两个步骤：攻占代理主机和向目标发起攻击。 具体说来可分为以下几个步骤： 1.探测扫描大量主机以寻找可入侵主机； 2.入侵有安全漏洞的主机并获取控制权； 3.在每台被入侵主机中安装攻击所用的客户进程或守护进程； 4.向安装有客户进程的主控端主机发出命令，由它们来控制代理主机上的守护进程进行协同入侵。 攻击运行原理  1、被攻击主机上有大量等待的TCP连接 2、网络中充斥着大量的无用的数据包，源地址为假 3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 4、利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 5、严重时会造成系统死机 DDoS所利用的协议漏洞 1）利用IP源路由信息的攻击 由于TCP/ IP体系中对IP数据包的源地址不进行验证，所以攻击者可以控制其众多代理端用捏造的IP地址发出攻击报文，并指明到达目标站点的传送路由，产生数据包溢出。 2）利用RIP协议的攻击 RIP是应用最广泛的路由协议，采用RIP的路由器会定时广播本地路由表到邻接的路由器，以刷新路由信息。通常站点接收到新路由时直接采纳，这使攻击者有机可乘。 3）利用ICMP的攻击 DDoS攻击的五种常用方式 至今为止，攻击者最常使用的分布式拒绝服务攻击程序主要包括4种：Trinoo、TFN、TFN2K和Stacheldraht。 1) Trinoo（Tribe Flood Network）攻击 Trinoo是一种用UDP包进行攻击的工具软件。与针对某特定端口的一般UDP flood攻击相比，Trinoo攻击随机指向目标端的各个UDP端口，产生大量ICMP不可到达报文，严重增加目标主机负担并占用带宽，使对目标主机的正常访问无法进行。 2)TFN攻击 TFN是利用ICMP给主控端或分布端下命令，其来源可以做假。它可以发动SYN flood 、UDP flood 、ICMP flood及Smurf(利用多台服务器发出海量数据包，实施DoS攻击)等攻击。 3)TFN2K攻击 TFN2K是TFN的增强版，它增加了许多新功能： a.单向的对Master的控制通道，Master无法发现Attacker地址。 b.针对脆弱路由器的攻击手段。 c.更强的加密功能，基于Base64编码，AES加密。 d.随机选择目的端口。 4)Stacheldraht攻击 Stacheldraht结合了Trinoo和TFN的特点，并且它将attacker和master间的通信加密，增加了master端的自动更新功能，即能够自动更新daemon主机列表。 5) SHAFT是一种独立发展起来的DDoS攻击方法，独特之处在于： 首先，在攻击过程中，受控主机之间可以交换对分布端的控制和端口，这使得入侵检测工具难以奏效。 其次，SHAFT采用了“ticket”机制进行攻击，使其攻击命令有一定秘密性。 第三，SHAFT采用了独特的包统计方法使其攻击得以顺利完成。 DDoS攻击新技术——反弹技术 ?反弹技术就是利用反弹服务器实现攻击的技术。 ?所谓反弹服务器（Reflector）是指当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的Web服务器、DNS服务器和路由服务器都是反弹服务器。攻击者可以利用这些回应的数据报对目标机器发动DDoS攻击。 反弹技术原理 ?反弹服务器攻击过程和传统的DDoS攻击过程相似，如前面所述的4个步骤中，只是第4步改为：攻击者锁定大量的可以作为反弹服务器的服务器群，攻击命令发出后，代理守护进程向已锁定的反弹服务器群发送大量的欺骗请求数据包，其原地址为受害服务器或目标服务器。 DDoS的防范 到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击