6DDoS攻击与防御.pptVIP

* TearDrop攻擊則製作一些不正常 IP片段，但這些片段包含了重疊的位移值(offset)，當這些片段被傳送到達目的地時，網路程式會重組成原來的IP封包，此時可能會造成作業系統當機。 當受害主機遭受DDoS之TCP Flood攻擊，Windows 之Task Manager之區域連線會出現梯形狀的突增現象，造成網路連線變慢現象。 * 運用網路上最常見的Ping工具程式，來 產生超過IP協定所能允許的最大封包，若是沒有檢查機制的系統收到這些過量的封包時，則有可能會造成系統當機或重開。 當多台主機同時進行ICMP DoS攻擊，即為ICMP DDoS攻擊。 * 當受害主機遭受DDoS之ICMP Flood攻擊，Windows 之Task Manager效能頁籤之CPU使用率會出現梯形狀的突增現象，造成滑鼠變慢或停滯現象。 * UDP是一種無連接的協議，而且它不需要用任何程式建立連線來傳輸數據。當攻擊者隨機地向受害系統的埠發送UDP 資料包的時候，就可能發生了UDP Flood攻擊。 當受害系統接收到一個UDP 資料包的時候，它會確定目的埠正在等待中的應用程式；當它發現該埠中並不存在正在等待的應用程式，它就會產生一個目的地址無法連接的ICMP資料包發送給該偽造的源位址。如果向受害者電腦埠發送了足夠多的UDP 資料包的時候，整個系統就會癱瘓。 * * * 主機防護：關閉不必要的網路服務，同時drop Syn未完成連接數目、縮短Syn未完成連接的time out時間及時更新系統修補。 * * * * 此 topology 之 ns file 為#generated by Netbuild 1.03 set ns [new Simulator] source tb_compat.tcl set node0 [$ns node] set node1 [$ns node] set node2 [$ns node] set node3 [$ns node] tb-set-node-os $node3 WINXP-SP2 set lan0 [$ns make-lan $node0 $node1 $node2 100Mb 0ms] set lan1 [$ns make-lan $node1 $node2 $node3 10Mb 0ms] tb-set-ip-lan $node1 $lan1 tb-set-ip-lan $node2 $lan1 tb-set-ip $node3 $ns rtproto Static $ns run #netbuild-generated ns file ends. * 該拓樸之ns file為#generated by Netbuild 1.03 set ns [new Simulator] source tb_compat.tcl set node0 [$ns node] set node1 [$ns node] set node2 [$ns node] set node3 [$ns node] tb-set-node-os $node3 WINXP-SP2 set lan2 [$ns make-lan $node0 $node1 $node2 100Mb 0ms] set lan3 [$ns make-lan $node1 $node2 $node3 10Mb 0ms] $ns rtproto Static $ns run #netbuild-generated ns file ends. * 請參考p.54頁之拓樸圖節點。 此部份下載來源IP，請自行異動。 「tar –xvzf 壓縮檔名」，此為解壓縮指令。 此步驟在使用網路上下載之版本中才要修改，Testbed@TWISC中所提供的版本已經先行修改過，不需進行此步驟。 * 下達此指令可進行DDoS攻擊。 停止攻擊時網路流量資訊變化。 開始另一種DDoS攻擊。 安裝請參閱Module 7防火牆關於PC Tools Firewall Plus的安裝步驟 * * 在Testbed實驗環境之下，一定要允許192.168.x.x此網段存取，且設定檔的欄位請調整成公共，否則會造成遠端無法正常運作的情形。 192.168.x.x為Testbed內部拓樸中之node供遠端連線使用之private IP。 * 進行DDoS攻擊- TCP SYN Flood。 由於防火牆擋住了攻擊封包，因此網路流量正常，此時上網不會有LAG的情況。 * * 遭受攻擊時，受害端電腦防火牆的狀態，受害端電腦其網路連線於短時間內大量增加，但約9成的連線被防火牆阻斷服務 DDoS防禦測試 - PC Tools Firewall Plus (續) 6-* 從防