ddos攻擊類型1.系統資源耗盡型.pptVIP

分散式阻絕式服務攻擊解決方式  Dos/DDos問題的起源 1.IPV4協定不安全 2.存取技術-Firewall和IDS未能真正 防範 3.IPSEC架構不普及 2.1 分散式阻絕式服務攻擊 DDoS目的 讓伺服端無法提供正常的服務給客戶端 DDoS方式 超過伺服端所能提供的量讓它達到崩塌 影響案例 CNN.YAHOO.Ebay和AMAZON 2.2 攻撃的方式 DDoS攻擊類型 1.系統資源耗盡型： EX: TCP SYN FLood UDP FLood ICMP FLlod 2.頻寛耗盡型： 合法封包被丟棄Ex:Smurf 3.異常型耗用型： 利用系統漏洞 可用標記的欄位封包標記的欄位 IP Option Field: Type of Service Field(8 bit): Fragment Identified Field(16 bit): Fragment Offset(13 bit): 常見分散式阻絕式服務攻擊 的解決方式 1.流量過濾 2.系統提升負載能力 3.路徑追綜追綜原始封包路由器嵌入訊息 抵抗分散式阻絕式服務類型： 被動式過濾: 1) Ingress Filter 主動式過濾: 2) Link testing 3) Probability Packet Marking(PPM) 4) ITrace(ICMP trace-back) 5) Packet Logging 6) PI-Marking 7) Extension-PI Ingress Filter 方式: 利用合法IP位址表 優點: 大量過濾 缺點: 污染清單表 無法廣泛步署 影響Router效能 Link testing traceback 流量工程 方式: 對可能的上遊連結產生短的突發流量做檢測 優點: 快速檢測 缺點： 僅適用單一路徑 網路拓撲的架構 機率式標記法PPM Probability Packet Marking 方式: Node Sampling- IP Address(32 bit) Edge Sampling- first IP address and second IP Address(64) Compress Edge Sampling- XOR 優點:　路由器負擔小 缺點:　 不適合多條路徑(封包數量大) 重新建構路徑時間久 ICMP-Traceback ICMP-Traceback 方式: 以 1/2000一低機率固定產生ICMP訊息回目的端 優點: 骨幹路由器負擔送出，路由器負荷小 缺點: 需大量封包數來重建，耗費大量時間建構路徑 影響網路交通 Packet Logging 方式: 將封包中的有用的資訊寫入路由器的暫存空間中 檢查Router有無記錄此封包 優點: 封包數利用少 缺點: 架構大步置不易 技術複雜 資源耗費相當大 EX:SPIE 方式:The SPIE SOURCE Isolation Engine 特性: 利用稽核技術達成單一封包追綜 不儲存封包本身的資訊，利用儲存封包的簽章 優點：單一封包，快速定義攻擊封包 缺點：整個架構龐大，耗用資源多，碰撞機率高，技術門檻高 報告完畢 * *  皆可 皆可 Dos 適用Dos/DDos 小 大 中 網路範圍 無 低(1/2000) 機率 低(1) 數千 數千 封包數 好 極優 好 分散能力 中 低 低 路由器負荷 中 低 低 網路負荷 中 低 低 管理負荷 中 高 高 彈性 中 低 低 ISP 介入 Packet Logging(SPIE) ICMP-Traceback (ITrace) Probability Packet Marking(PPM) 搭著網路這部列車，大型的商業網站也紛紛出現，由於現在網路協定架構相當脆弱且安全性架構不普及化及網路安全層面沒有驗證封包真正的來源處危險，尚需考量路由器運輸的負苛。現今的TCP/IP協定架構當初只屬於軍方的專用直到電腦普及將此開放出來，對於設計此協定當初由於目的方便傳送共未考慮安全上的考量，直到有心人士利用其缺陷，最嚴重乃是發送端可以有意隱藏封包的位址傳送至目的端，造成目的端卻無法從所此封包資訊中判別此封包真實發送端，造成無法提供服務給正確發送端造成浪費資源。 儘管IPSEC架構能夠達到安全，不過目前末能普及受惠此服務。近年來網路上充斥著各式各樣不法的網路攻防工具可輕易獲得更使得系統暴露於不安全威脅中，從近年來最常的報導中一種網路攻擊類型屬分散式阻絕式服務攻擊最嚴重，一些知名的高流量商業網站蒙受巨大的損失如CNN、YAHOO、Ebay和AMAZON等等，都曾遭受到巨大的損失，使得主機當機好幾天，所損失的金額可謂