DDoS攻防总汇.pptVIP

模板来自于 / * 模板来自于 * DDoS攻防测试 2015.11.14 什么是DDOS攻击 01 DDoS攻击工具与方法 02 DDOS防护 03 CONTENTS 1.什么是DDOS攻击 DDOS攻击 拒绝服务攻击（DoS/DDoS）是近年来愈演愈烈的一种攻击手段，其主要目的是造成目标主机的 TCP/IP 协议层拥塞、或者导致应用层异常终止而形成拒绝服务的现象。 那到底DDoS是个啥玩意？ 让我们来举个栗子，假设你开了一家店，生意还不错哦！ 那到底DDoS是个啥玩意？ 此时隔壁家生意萧条的老王盯上了你（好吧，别介意，他也可以不姓王的） 那到底DDoS是个啥玩意？ 于是他雇佣来了一群闹事的小子。 那到底DDoS是个啥玩意？ 紧接着，你就发现突然店里来了一大波客人。你完全应接不暇，而且他们老找你问这问那，东看西看，就是不买东西，更可恶，赖着不走了！ 那到底DDoS是个啥玩意？ 而真正的顾客连进店的地方都没有了！这就是所谓的DDoS攻击——一群“恶意访问”、“堵店门”、“占空间”、还“调戏店员”的非法流量。——这就是DDOS攻击！ DDOS攻击方法 以力取胜 海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地? 以巧取胜 每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。? 混合攻击 前两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量，例如SYN Flood攻击、DNS Query Flood攻击，是当前的主流攻击方式。 DDOS攻击方式 1.ICMP/IGMP 洪水攻击 2.UDP洪水攻击 3.ACK反射攻击 4.DNS放大攻击 5.NTP放大攻击 6.SNMP放大攻击 7.TCP连接洪水攻击 8.SYN洪水攻击 9.PSH+ACK洪水攻击 10.RST洪水攻击 11.Sockstress攻击 12.DNS QUERY洪水攻击 13.DNS NXDOMAIN 洪水攻击 14.HTTP 洪水攻击 15.Slowloris攻击 ICMP/IGMP 洪水攻击 网络控制消息协议（ICMP） 因特网组管理协议（IGMP） 方法： 攻击者使用受控主机向被攻击目标发送大量的ICMP/IGMP报文，进行洪水攻击以消耗目标带宽资源。 工具： hping等就能简单的发起攻击 总结： 这种攻击类型出现的很早，现在使用这种方法发动攻击不多见，被攻击的目标可以在其网络边界直接过滤并丢弃ICMP/IGMP数据包使其攻击无效化。 ICMP/IGMP 洪水攻击 UDP洪水攻击 方法： UDP洪水攻击和ICMP/IGMP洪水攻击远离基本相同。通常攻击者会使用小包和大包两种方式进行攻击。 小包指64位字节的数据包，在相同的流量下，单包体积越小，数据包的数量越多。使用小包攻击能够有效的增大网络设备处理数据包的压力，造成处理速度缓慢和传输延迟等拒绝服务。 大包指的是1500字节以上的数据包，其大小超过了以太网最大传输单元（MTU）。使用大包攻击能够有效的占用网络接口传输带宽，并迫使被攻击目标接收到UDP数据时进行分片充足，造成网络拥堵，服务器响应速度变慢。 总结： UDP洪水攻击也是很早就出现的拒绝服务攻击的方式，这种攻击发动简单，工具数量多，如hping,LOIC等。但UDP洪水攻击完全依靠受控主机本身的网络性能，因此通常对攻击目标带宽资源的小号并不是很大。 DDOS 攻击方式 ACK反射攻击 在TCP建立连接时，会进行TCP三次握手。再次过程中，当服务器端接收到客户端发来的SYN连接请求时，会对该请求进行ACK应答。利用TCP握手的ACK应答，既可以进行ACK反射攻击。 方法： 受控主机想大量服务器发送伪造源IP地址的SYN请求数据，从而使服务器响应大量的ACK应答数据涌向被攻击的目标。从而导致拒绝服务。 总结： 在发动ACK 反射攻击时，首先需进行扫描，获得大量的反射器地址，并分别想这些反射器发送伪造源地址的SYN请求数据，相比直接攻击，这种方式闲的复杂一些，ACK反射攻击的有点主要在于其能够有效的隐藏攻击的来源。 ACK反射攻击 DNS放大攻击 方法： 通常DNS相应数据包会比查询数据包大，因此攻击者利用普通的DNS 查询请求就能够发动放大攻击，并将攻击流量放大2-10倍。但是更有效的方法是用RFC 2671中定义DNS扩展机制EDNS0。 攻击者发动的DNS查询请求数据包一般为60字节左右，返回的结果的数据包大小通常为3000字节以上，因此，使用该方式进行放大攻击能够达到50倍以上的放大效果。 总结： 与ACK反射攻击类似，发动DNS放大攻击也需要先进行扫描，以获得大量的开放DNS解析器地址，并向这些开放DNS解析器发送伪造源地址的查询