DDoS和漏洞题稿.pptx

DDoS攻击基础知识 DNS Email 一个DDoS攻击过程 ‘Zombie’ Server-level DDoS attacks Bandwidth-level DDoS attacks DNS Email Infrastructure-level DDoS attacks Attack Zombies: Massively distributed Spoof Source IP Use valid protocols 攻击实施代价极低 工具泛滥 Botnet 僵尸网络是当前互联网的首要威胁 发送垃圾邮件 网络钓鱼,盗取帐号/密码机密信息 发动拒绝服务攻击--DDOS 僵尸网络正在改变网络经济犯罪 经济利益的驱动 DDoS攻击发展趋势 目标 网站-〉网络基础设施（路由器/交换机/DNS等） 流量 从几兆-〉几十兆-〉1G甚至更高 10K pps--〉100K pps -〉1M pps 技术 真实IP地址-〉IP欺骗技术 单一攻击源-〉多个攻击源 简单协议承载-〉复杂协议承载 智能化，试图绕过IDS或FW 形式 DRDoS/ACK Flood Zombie Net/BOTNET Proxy Connection Flood DNS Flood DDoS技术篇 攻击与防御技术 DoS攻击的本质 利用木桶原理，寻找并利用系统应用的瓶颈 阻塞和耗尽 当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板 DoS/DDoS类型的划分 应用层 垃圾邮件、病毒邮件 DNS Flood 网络层 SYN Flood、ICMP Flood 伪造 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰 攻击类型划分II 堆栈突破型（利用主机/设备漏洞） 远程溢出拒绝服务攻击 网络流量型（利用网络通讯协议） SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood 攻击类型划分I DoS/DDoS攻击演变 大流量应用层 混合型 分布式攻击 大流量型 分布式攻击 系统漏洞型 Phase 1 Phase 2 Phase 3 以小搏大 以大压小 技术型 带宽和流量的斗争 我没发过请求 DDoS攻击介绍——SYN Flood SYN_RECV状态 半开连接队列 遍历，消耗CPU和内存 SYN|ACK 重试 SYN Timeout：30秒~2分钟 无暇理睬正常的连接请求—拒绝服务 SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） 伪造地址进行SYN 请求 不能建立正常的连接！ SYN Flood 攻击原理 攻击表象 DDoS攻击介绍——ACK Flood 大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACK Flood流量要较大才会对服务器造成影响 ACK （你得查查我连过你没） 查查看表内有没有 ACK Flood 攻击原理 攻击表象 ACK/RST（我没有连过你呀） 大量tcp connect 不能建立正常的连接 DDoS攻击介绍——Connection Flood 正常用户 正常tcp connect 攻击表象 利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数 Connection Flood 攻击原理 受害者(Web Server) 正常HTTP Get请求 不能建立正常的连接 DDoS攻击介绍——HTTP Get Flood 正常用户 正常HTTP Get Flood 攻击表象 利用代理服务器向受害者发起大量HTTP Get请求 主要请求动态页面，涉及到数据库访问操作 数据库负载以及数据库连接池负载极高，无法响应正常请求 受害者(DB Server) DB连接池 用完啦！！ DB连接池 占用 占用 占用 HTTP Get Flood 攻击原理 常见的DoS攻击判断方法 判断与分析方法 网络流量的明显特征 操作系统告警 单机分析 arp/Netstate/本机sniffer 输出 单机分析 抓包分析 –中小规模的网络 网络设备的输出 –中小规模的网络 Netflow分析 -骨干网级别的分析方式 操作系统安全之二 ——恶意后门与僵尸网络 演讲人（部门） 2007/09/15 密级：请输入文档密级 DDoS攻击技术及相关防护 木马Rootktit 来自希腊神话的威胁--木马 在神话传说中，特洛伊木马表面上是“礼物”，但实际上藏匿了袭击特