第13章：拒绝服务攻击专题解析.pptVIP

网络安全攻击术 拒绝服务攻击DoS与分布式拒绝服务攻击DDoS 内容预览 相关概念 拒绝服务攻击DoS 分布式拒绝服务攻击DDoS 攻击运行原理 如何组织一次DDoS攻击 攻击类型 风暴型（ Flood ）攻击 剧毒包（Killer Packet）攻击 重定向攻击 攻击实例 风暴型（ Flood ）攻击 SYN Flood攻击 Smurf攻击 ACK Flood攻击 Connection Flood攻击 HTTP Get攻击 UDP DNS Query Flood攻击 剧毒包攻击 Teardrop攻击 小片段攻击 重叠分片攻击 重组攻击 Land攻击 循环攻击 Echo Chargen攻击 分布式反射拒绝服务DRDoS 相关概念 服务：系统提供的，用户在对其使用中会受益的功能。 拒绝服务：任何对服务的干涉，如果使其可用性降低或者失去可用性均称为拒绝服务。 拒绝服务攻击：是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转，从而不能向合法用户提供所需要的服务或者使得服务质量降低。 一. 拒绝服务攻击DoS 拒绝服务攻击有的利用了网络协议的缺陷，有的则抢占网络或者设备有限的处理能力。 最常见的DoS攻击是资源型风暴攻击，如：计算机网络带宽攻击和连通性攻击。 带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。 连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 二. 分布式拒绝服务攻击DDoS DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。 单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，它的效果是明显的。 随着计算机的处理能力迅速增长，内存和网络带宽大大增加，这使得DoS攻击的困难程度加大了---- 目标对恶意攻击包的“消化能力”加强了不少， DoS攻击效果不明显。 攻击运行原理 攻击运行原理 个比较完善的DDoS攻击体系分成四大部分， 黑客 控制傀儡机 攻击傀儡机 受害者 对受害者来说，DDoS的实际攻击包是从攻击傀儡机上发出的，控制机只发布命令而不参与实际的攻击。 对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。 在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 攻击运行原理 被DoS/DDos攻击时的现象 网络中充斥着大量的无用的数据包，源地址为假。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。 受害主机无法及时处理所有正常请求。 受害主机响应缓慢，严重时会造成系统死机。 如何组织一次DDoS攻击 1. 搜集了解目标的情况 下列情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 如何组织一次DDoS攻击 对于DDoS攻击者来说，攻击互联网上的某个站点，首先要确定到底有多少台主机在支持这个站点，一个大的网站一般有很多台主机利用负载均衡技术提供同一个网站的www服务。 以yahoo为例，一般会有下列地址都是提供服务的： 7 8 9 0 1 3 4 6 如何组织一次DDoS攻击 如果要进行DDoS攻击的话，应该攻击哪个地址呢？使7这台机器瘫掉，但其他的主机还是能向外提供服务，所以想让别人访问不到，要所有这些IP地址的机器都瘫掉才行。 在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。 如何组织一次DDoS攻击 所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。 如果黑客不进行情报的搜集而直接进行DDoS的攻击，盲目性就很大。 一般来讲，在相同的条件下，攻击同一站点的主机需要相同台傀儡机的话，但做攻击的傀儡机越多越好，不管有多少台主机，用尽量多的傀儡机来攻就是了，傀儡机超过了时候效果更好。 如何组织一次DDoS攻击 2. 占领傀儡机 黑客最感兴趣的是有下列情况的主机： 性能好的主机 负载轻的主机 安全管理水平差的主机 如何组织一次DDoS攻击 首先，黑客做的工作是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…，然后有针