第章拒绝服务攻击概述.ppt

僵尸网络(Botnet) 基本概念 Bot: 机器人(Robot)的缩写，是一段可以自动执行预先设定功能，可以被控制，具有一定人工智能的程序。通常带有恶意代码的Bot被秘密植入受控计算机，主动连接服务器接受控制指令，并依照指令完成相应功能。 Zombie: 被包含恶意代码的Bot感染或能被远程控制的计算机，又名僵尸计算机。 僵尸网络(Botnet) IRC Bot: 利用IRC协议进行通信和控制的Bot。 Command Control Server: IRC Bot连接的IRC服务器称为命令和控制服务器，控制者通过该服务器发送命令，进行控制。 Botnet: 僵尸网络，由大量能够实现恶意功能的Bot、Command Control Server和控制者组成，能够受攻击者控制的网络。 基于IRC僵尸网络模型 IRC Bot原理 IRC （Internet Relay Chat）协议 IRC是一种专门的网络聊天室协议。 IRC协议采用客服端/服务器模式。 多服务器之间可建立信息共享。 用户可以建立、选择和感兴趣的频道。 频道可以隐藏。 支持文件传递。 IRC Bot原理 IRC Bot的功能： Bot可以根据接收到的控制命令执行预定义的功能，这些功能包括： 1 )发动DOS攻击 2)浏览系统信息 3)终止信息 4)攻击IRC频道或邮箱 5)上传和下载程序 6)代理或SMTP服务器 7)升级Bot 8)卸载Bot IRC Bot原理 IRC Bot的实现： 其特点是模拟IRC客户端，使用IRC协议与IRC服务器通信。 IRC Bot原理 Bot的传播方式： 如何发现僵尸网络？ IDS方法 必须充分了解僵尸程序，提取指纹信息作为IDS检测的特征 行为监测法 僵尸程序行为模式：快速连接控制信道、长时间在线发呆、… 蜜罐捕获法 通过部署蜜罐对僵尸程序进行捕获－样本 通过对网络行为进行监视和分析－僵尸网络控制信道信息 DOS发展趋势 放追踪技术升级 攻击过程日趋智能化 攻击手段日趋多样化 小结 本章详细介绍了拒绝服务攻击的概念、成因和原理 。其已经称为对互联网安全最重要的威胁。 检测和防御Ddos攻击应该是网络群体性行为，各网络节点应该通过合作共同应对Ddos攻击。 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 第9章 拒绝服务攻击 何路 helu@ 本章主要内容 拒绝服务攻击DOS概念 DOS原理及分类 分布式拒绝服务攻击（DDOS） DOS发展趋势 国内僵尸网络起源和发展 早在2001年，国内一些安全爱好者就开始研究僵尸程序（只作为研究） 。 2003年3月8日，在我国首先发现的口令蠕虫(国外称之为“Deloader”或“Deloder”)就可以视为僵尸网络 。 2004年末爆发的一场浩荡的僵尸网络攻击事件，就将这个埋藏在中国数年之久的隐患释放 。 僵尸网络飞速发展 2009年5月1日至31日，CNCERT/CC对僵尸网络的活动状况进行了抽样监测，发现国内外1212个IP地址对应的主机被利用作为僵尸网络控制服务器 。 就全球感染情况来说，目前，英国是感染Bot最多的国家。如表所示，已知感染Bot 的计算机中有32%来自英国，19%来自美国，7%来自中国，我国的Bot感染率赫然名列第三。 网络信息安全 全球僵尸网络增长情况表 DoS概念 DoS的英文全称是Denial of Service即 “拒绝服务”的意思。 DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源，使得被攻击的计算机或网络无法正常提供服务，直至系统停止响应甚至崩溃的攻击方式，即攻击者通过某种手段，导致目标机器或网络停止向合法用户提供正常的服务或资源访问。 DOS原理及分类 DOS原理： DOS原理 攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。 由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。 当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。 DoS分类 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。 SYN Flood 死ping(ping of death) 泪滴(teardrop) …… SYN Flood