DDoS攻击解剖.ppt

谢谢！ 精髓在D * * * 攻击比较傻，好防 * 主要是通过高连接数来占用服务器资源 睡觉前说，告诉你个好消息，然后关机 * DDOS攻击将造成骨干网络资源浪费、链路堵塞、业务中断。 * 拥塞带宽的一般是大包攻击 消耗性能的一般是小包攻击 DDoS分成两种 拥塞带宽的一般是大包攻击，这些攻击打出大流量，从而导致拒绝服务 消耗性能的一般是小包攻击，这种攻击主要是消耗服务器性能，让服务器性能耗尽而拒绝服务 那么我们下面一个一个地讲解各种ddos 我们都知道正常的tcp三握手，客户端发送syn，服务器回复syn/ack,最后客户端回复ack synflood的攻击原理就是伪造地址进行syn请求，但是不回复ack导致CPU，内存性能耗尽导致拒绝服务 服务器三握手要消耗资源，syn flood 让服务器进行tcp半连接导致CPU，内存性能耗尽导致拒绝服务。 具体看几种常见攻击。Syn flood是最最常见的攻击。 （解释正常的三次握手。） 在syn flood攻击中，攻击者向目标发送大量syn报文，一般来说，源IP是伪造的，当服务器回syn/ack报文后，由于源IP是不存在的，所以它收不到第三个ack包，完不成握手过程，根据TCP/IP的实现要求，服务器端需要重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeout，一般来说大约30秒-2分钟。在等待和发送syn/ack的过程中，服务器的CPU和内存就挂了。 黑洞主要采用四种方法的组合完成对synflood的防护。 1、反向探测，由黑洞代替服务器发送syn/ack，经过优化的算法，自身只消耗极少的cpu和内存。 2、重置会话，黑洞代替服务器发送reset，正常客户端收到后应该重新连接。 3、丢弃，根据tcp/ip的实现要求，正常客户端经过3秒后需要重新连接。这个过程只需要进行一次，不会对访问造成大的影响。 4、IP信誉机制，对通过认证的IP给予一定的信誉，避免重复认证。 在整个过程里，充分利用了tcp协议栈的特性。而对于攻击工具来说，它不可能象操作系统一样实现了整个tcp协议栈的内容。 那synflood的表现可以从两方面来讲： 1第一个在服务器抓包，可以看到有很多伪造的随机IP地址向服务器发送syn包。 第二个查看tcp连接状态，例如在windows下netstat -an | find SYN_RECEIVED 在linux下 伪造源ip地址 状态是rec ack的攻击原理就是攻击端发送大量的ack，是服务器进行检查数据包，然后回复reset。从而消耗服务器资源 添加表象 ACK Flood攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。 这里，服务器要做两个动作：查表、回应ACK/RST。这种攻击方式显然没有SYN Flood给服务器带来的冲击大，因此攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。按照我们对TCP协议的理解，随机源IP的ACK小包应该会被Server很快丢弃，因为在服务器的TCP堆栈中没有这些ACK包的状态信息。但是实际上通过测试，发现有一些TCP服务会对ACK Flood比较敏感，比如说JSP Server，在数量并不多的ACK小包的打击下，JSP Server就很难处理正常的连接请求。对于Apache或者IIS来说，10kpps的ACK Flood不构成危胁，但是更高数量的ACK Flood会造成服务器网卡中断频率过高，负载过重而停止响应。可以肯定的是，ACK Flood不但可以危害路由器等网络设备，而且对服务器上的应用有不小的影响。抓包： 如果没有开放端口，服务器将直接丢弃，这将会耗费服务器的CPU资源。如果端口开放，服务器回应RST。 并且为了提高攻击速度，一般采用内容基本一致的小包发送。 攻击目标对网站，一般动态网站，发起请求消耗性能 CC攻击主要是针对动态网页如asp、jsp等，并调用SQLServer、Oracle等数据库的网站，它利用互连网的代理服务器不断的向目标网页提交查询、列表等耗费数据库资源的请求。一般来说，提交一个GET或POST指令对客户端的资源耗费几乎可以忽略的，而数据库为了从上万条记录中去查出某个记录的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行。因此攻击者只需通过Proxy代理向主机服务器