《网络信息安全》.ppt

* 分布式拒绝服务攻击 （4）stacheldraht Stacheldraht也是基于TFN的，它采用和trinoo一样的客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时，侵入者与master程序进行连接。Stacheldraht增加了以下新功能：攻击者与master程序之间的通讯是加密的，以及使用rcp （remote copy，远程复制）技术对代理程序进行更新。 * DDoS攻击原理 分布式拒绝服务攻击 2. DDoS系统的一般结构 在更一般的情况下，DDoS可能使用多台控制机，形成如图所示的结构。 * 分布式拒绝服务攻击 3. 组织一次DDoS攻击的过程 这里用“组织”这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过如下几个步骤。 （1）搜集了解目标的情况 下列情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 * 对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.WWWW.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.WWW.com服务的： 7 8 9 0 1 3 4 6 对一个网站实施DDoS攻击，就要让这个网站中所有IP地址的机器都瘫掉。所以事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题 分布式拒绝服务攻击 * 分布式拒绝服务攻击 （2）占领傀儡机 黑客最感兴趣的是有下列情况的主机： 链路状态好的主机 性能好的主机 安全管理水平差的主机 首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现网络上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了。 黑客在占领了一台傀儡机后，除了要进行留后门、擦脚印这些基本工作之外，还要把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 * 分布式拒绝服务攻击 （3）实际攻击 前面的准备做得好的话，实际攻击过程反而是比较简单的。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。高明的攻击者还要一边攻击一边用各种手段来监视攻击的效果，以便需要的时候进行一些调整。简单些的办法就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 * 分布式拒绝服务攻击 4. DDoS的监测 现在网上DDoS攻击日益增多，只有及时检测，及早发现自己受到攻击才能避免遭受惨重的损失。检测DDoS攻击的主要方法有以下几种： （1）根据异常情况分析 异常情况包括： 网络的通讯量突然急剧增长，超过平常的极限值时； 网站的某一特定服务总是失败； 发现有特大型的ICP和UDP数据包通过或数据包内容可疑。 （2）使用DDoS检测工具 扫描系统漏洞是攻击者最常进行的攻击准备。目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。 * 分布式拒绝服务攻击 5. DDoS攻击的防御策略 DDoS攻击的隐蔽性极强，迄今为止人们还没有找到对DDoS攻击行之有效的解决方法。所以加强安全防范意识、提高网络系统的安全性，还是当前最为有效的办法。可采取的安全防御措施有以下几种： （1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。 （2）在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。 * 谢 谢！ * * ARP欺骗 （1）查表（table lookup）方法：将地址绑定信息存放在内存的一张表中，当要进行地址解析时，可以查表找到所需的结果。这种方法常用于WAN。 （2）相似形式计算（close-form computation）：网络中主机的IP地址分配通过对硬件地址的简单逻辑运算和算术运算得到，因而在IP地址与物理地址之间存在一种函数关系