DDOS抗拒绝服务概述.ppt

DDOS攻击PPT 叶润武 拒绝服务和分布式拒绝服务 拒绝服务攻击（DoS）中，黑客阻止合法的用户访问某一种服务。如表现在试图让一个系统工作超负荷。 分布式拒绝服务（DDoS）攻击是指几个远程系统在一起工作并产生网络传输，目的在于崩溃一个远程主机 。 分布式拒绝服务攻击（DDOS) 　　 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了－ 目标对恶意攻击包的消化能力加强了不少。 　　这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 分布式拒绝服务攻击（DDOS) DoS/DDoS类型的划分 应用层 垃圾邮件、病毒邮件 DNS Flood 网络层 SYN Flood、ICMP Flood 伪造 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰 攻击类型划分II 堆栈突破型（利用主机/设备漏洞） 远程溢出拒绝服务攻击 网络流量型（利用网络通讯协议） SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood 攻击类型划分I amplification network Direct DDoS Attack Attacker Masters Mi From: Xi (spoofed) To: Victim V … attack packet From: Xi (spoofed) To: Agent Ai … control packet From: Xi (spoofed) To: Master Mi … control packet Victim V Agents Ai 控制 amplification network Reflectors Ri Reflector DDoS Attack Attacker Victim V Agents Ai From: V (spoofed) To: Reflector Ri … attack trigger packet From: Xi (spoofed) To: Agent Ai … control packet From: Xi (spoofed) To: Master Mi … control packet From: Ri To: Victim V … attack packet Masters Mi Note: Reflectors are NOT compromised. They simply answer requests. 欺骗 TCP三次握手 正常的三次握手建立通讯的过程 SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） ACK （确认连接） 发起方 应答方 我没发过请求 DDoS攻击介绍——SYN Flood SYN_RECV状态 半开连接队列 遍历，消耗CPU和内存 SYN|ACK 重试 SYN Timeout：30秒~2分钟 无暇理睬正常的连接请求—拒绝服务 SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） 攻击者 受害者 伪造地址进行SYN 请求 为何还没回应 就是让你白等 不能建立正常的连接！ SYN Flood 攻击原理 攻击表象 DDoS攻击介绍——ACK Flood 大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACK Flood流量要较大才会对服务器造成影响 ACK （你得查查我连过你没） 攻击者 受害者 查查看表内有没有 你就慢慢查吧 ACK Flood 攻击原理 攻击表象 ACK/RST（我没有连过你呀） 攻击者 受害者 大量tcp connect 这么多？ 不能建立正常的连接 DDoS攻击介绍——Connection Flood 正常tcp connect 正常用户 正常tcp connect 攻击表象 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效