NS_5_网络攻击4_拒绝服务攻击与防御.ppt

典型分布式拒绝服务攻击技术 被DDoS攻击时的现象： 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议的缺陷，反复高速发出特定的服务请求，使受害主机无法及时处理正常请求 严重时会造成系统死机 当对一个Web站点执行 DDoS 攻击时，站点的一个或多个Web服务会接到非常多的请求，最终使它无法再正常使用 在DDoS攻击期间，不知情的用户发出正常的页面请求，请求会完全失败，或者页面下载速度极其缓慢，看起来就是站点无法使用 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 DDoS的工具： TFN2K Trinoo Stacheldraht Trinity Shaft MStream Trinoo的工作过程 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 TFN2K: TFN(Tribe Flood Network)：德国著名黑客Mixter编写的DDoS攻击工具 由服务端程序和守护程序组成，能实施ICMP flood、SYN flood、UDP flood和Smurf等多种拒绝服务攻击 TFN2K在Solaris、Linux、Windows NT/2000上都能运行 服务端控制守护进程发动攻击时，可以定制通信使用的协议，可以使用TCP、UDP、ICMP三种协议中的任何一种 服务端向守护进程发送的控制指令，守护进程不进行回复。所以TFN2K的隐蔽性更强，检测更加困难，服务端可以将命令的数据报文的源地址进行伪造 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 TFN2K所有命令都经过了CAST-256算法（RFC2612）加密。加密关键字在程序编译时定义，并作为TFN2K客户端程序的口令；且所有加密数据在发送前都被编码（ Base64 ）成可打印的ASCII字符。TFN2K守护程序接收并解密数据 守护进程还能通过修改进程名来欺骗管理员，掩饰自己的真正身份 总之，TFN2K采用的单向通信、随机使用通信协议、通信数据加密等多种技术以保护自身，使得实时检测TFN2K更加困难 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 Stacheldraht： 能发动ICMP Flood、SYN Flood、UDP Flood和Smurf等多种攻击 主要特色：使用rcp (remote copy，远程复制)技术对代理程序进行更新 基于客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯 攻击者与master程序之间的通讯是加密（Blowfish）的 * 计算机科学与技术学院 * 典型分布式拒绝服务攻击技术 代理系统 主控系统 受攻击网站 Step 1：攻击者侵入Internet系统，将DDoS主控系统软件安插在这些系统中 Step 2：主控系统尝试感染Internet部分，将受感染的系统作为代理系统 Step 3：攻击者将指令发送给主控系统，主控系统操纵代理系统，对目标IP地址进行泛洪攻击 合法用户 攻击者 * 计算机科学与技术学院 * 拒绝服务攻击的防御 防御的困难之处——不容易定位攻击者的位置 Internet上绝大多数网络都不限制源地址，即伪造源地址非常容易 很难溯源找到攻击控制端的位置 各种反射式攻击，无法定位源攻击者 完全阻止是不可能的，但是适当的防范工作可以减少被攻击的机会 * 计算机科学与技术学院 * 拒绝服务攻击的防御 DoS的防御方法： 有效完善的设计 带宽限制：限制基于协议的带宽。例如，端口25只能使用25％的带宽，端口80只能使用50％的带宽 及时给系统安装补丁 运行尽可能少的服务 只允许必要的通信 封锁敌意IP地址 * 计算机科学与技术学院 * 分布式拒绝服务攻击的防御 分布式拒绝服务攻击的监测： 监测DDoS时常犯的错误是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等 还应着重观察分析DDoS网络通讯的普遍特征：异常的网络交通流量 常见的异常现象： 大量的DNS PTR查询请求 超出网络正常工作时的极限通讯流量 特大型的ICMP和UDP数据包 不属于正常连接通讯的TCP和UDP数据包 数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符） * 计算机科学与技术学院 * 分布式拒绝服务攻击的防御 异常现象1：大量的DNS PTR查询请求 进行DDoS攻击前总要解析目标的主机名，BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，即域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求 异常现象2：超出网络正常工作时的极限通讯流量