网络安全威胁解析.pptVIP

1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。 攻击者 各种客户主机 目标系统 2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序。 攻击准备： 安置代理 代理程序 DDoS攻击时序 3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。 攻击者 目标系统 发起攻击： 指令 攻击的代理程序 4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。 虚假的连接请求 DDoS攻击的防御策略 DDoS攻击的隐蔽性极强，迄今为止人们还没有找到对DDoS攻击行之有效的解决方法。所以加强安全防范意识、提高网络系统的安全性，还是当前最为有效的办法。可采取的安全防御措施有以下几种： （1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。 （2）在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。 /a/Agyyhjtjbfs/ 这里用“组织”这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过如下几个步骤。 （1）搜集了解目标的情况 下列情况是黑客非常关心的情报： · 被攻击目标主机数目、地址情况 · 目标主机的配置、性能 · 目标的带宽 4.3 一次DDoS攻击过程 对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.WWWW.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.WWW.com服务的： 7 8 9 0 1 3 4 6 对一个网站实施DDoS攻击，就要让这个网站中所有IP地址的机器都瘫掉。所以事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。 （2）占领傀儡机 黑客最感兴趣的是有下列情况的主机： · 链路状态好的主机 · 性能好的主机 · 安全管理水平差的主机 首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现网络上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了。 黑客在占领了一台傀儡机后，除了要进行留后门、擦脚印这些基本工作之外，还要把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 （3）实际攻击 前面的准备做得好的话，实际攻击过程反而是比较简单的。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。高明的攻击者还要一边攻击一边用各种手段来监视攻击的效果，以便需要的时候进行一些调整。简单些的办法就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 4. DDoS的监测 现在网上DDoS攻击日益增多，只有及时检测，及早发现自己受到攻击才能避免遭受惨重的损失。检测DDoS攻击的主要方法有以下几种： （1）根据异常情况分析 异常情况包括： · 网络的通讯量突然急剧增长，超过平常的极限值时； · 网站的某一特定服务总是失败； · 发现有特大型的ICP和UDP数据包通过或数据包内容可疑。 （2）使用DDoS检测工具 扫描系统漏洞是攻击者最常进行的攻击准备。目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。 课堂作业 简要解释下列各种攻击方式： Teardrop SYN Flood Land Attack Smurf Attack DDoS攻击 * Ping of death攻击是一种网络级的攻击，利用ICMP协议对目标机进行碎片攻击，使目标机拒绝服务。攻击者发送一个长度超过65535的ICMP Echo Request数据包，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，导致TCP/IP堆栈崩溃，系统通常会死机或重新启动。 使用系统已有的pi