DDOS攻击与防御讲稿.pptVIP

DDOS攻击及防御 2015年1月 DOS攻击简介 拒绝服务，(DoS,Denial of Service的简称)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 常见的DOS攻击手段有：Syn Flood、UDP Flood、ICMP Flood和Ping of Death 黑客主机 受害主机 DoS攻击 DDOS攻击简介 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 常见的DOS攻击手段有： IP Spoofing、 LAND attack、ICMP Flood和Application 受害主机 DoS攻击 傀儡控制主机 傀儡攻击主机群 随着网络技术的不断发展，网络中存在多种攻击行为，目前网络主流的攻击方法如下： Syn Flood UDP Flood ICMP Flood Ping of Death Land attack IP Spoofing DDOS防御简介 防御方式： 核心层——边界防御 汇聚层——内部隔离 接入层——本地防御 边界防御 我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。 内部隔离 DMZ： 英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。 本地防御 linux防火墙： iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来管理网络数据包的移动与转送。 本地防御 IPS防御： Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。软件的源代码可以通过/获得。 网关模式配置: sudo iptables -I FORWARD -j NFQUEUE 本地模式配置： sudo iptables -I INPUT -j NFQUEUE sudo iptables -I OUTPUT -j NFQUEUE 启动suricata： sudo suricata -c /etc/suricata/suricata.yaml -q 0 本地防御 Suricata规则 #these are more permanent, CC related # alert http $EXTERNAL_NET any - $HTTP_SERVERS any (msg:ET TROJAN E-Jihad 3.0 DDoS HTTP Activity INBOUND; flow:established,to_server; content:GET; nocase; http_method; content:User-Agent|3a| Attacker|0d 0a|; http_header; reference:url,/bin/view/Main/EJihadHackTool; classtype:denial-of-service; sid:2007687; rev:10;) alert http $EXTERNAL_NET any - $HOME_NET any (msg:ET WEB_SERVER LOIC Javascript DDoS Inbound; flow:established,to_server; content:GET; http_method;