DoS和DDoS攻击讲稿.pptVIP

第6章 DOS和DDOS攻击 本章目标 了解DoS和DDoS原理 掌握DoS和DDoS工具的使用方法 掌握DoS和DDoS的防御方法 什么是DoS攻击? Denial of Service (DoS) 拒绝服务攻击, 攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。(电子邮件) Distributed Denial of Service (DDoS)分布式拒绝服务攻击, 攻击者利用因特网上成百上千的“Zombie”(僵尸)：被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。 攻击者的身份很难确认。 “三次握手”：(SYN request;SYN/ACK;ACK)用户传送信息要求服务器予以确认,服务器接收到客户请求后回复用户，用户被确认后，建立连接，登录服务器。 正常用户登录 “拒绝服务”的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。 所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态 “拒绝服务”（DoS）的攻击方式 DDoS攻击的动机 发动攻击的动机: 引起业界注意 恶意行为(不同见解；破坏墙壁) 好奇心(测试下载软件) 长远看, DDoS类攻击使用因素: 商业竞争 不满的雇员/客户 金钱利欲(i.e. 控制股市) 政治动机 DDOS （6）Winnuke 发送特别构造的TCP包，使得Windows机器蓝屏 （7）分布式拒绝服务攻击 使得分散在因特网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好像是遭到了不同位置的许多主机的攻击。 分布式拒绝服务攻击工具-- Trinoo ????Trinoo守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞“statd”、“cmsd”和ttdbserverd入侵的。? 分布式拒绝服务攻击工具-- Tribe Flood Network ??德国著名黑客Mixter(年仅20岁)编写的分布式拒绝服务攻击工具——“Tribe Flood Network（TFN）” TFN与另一个分布式拒绝服务攻击工具Trinoo相似，都在互联网的大量Unix系统中开发和测试。 分布式拒绝服务攻击工具-- Stacheldraht? “Stacheldraht”,德语意为“barbed wire“(带刺的铁丝网),结合了分布式拒绝服务攻击工具”Trinoo”与“TFN”早期版本的功能，并增加了加密攻击者、stacheldraht操纵器和可自动升级的代理程序间网络通讯的功能。 ??分布式拒绝服务攻击工具-- TFN2K TFN2K是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。 DDoS的种类 DDoS 组成部分 所有DDoS 攻击均由三部分组成: 1 客户端程序：Client Program（黑客） 2 主控端：Master Server 通常安装在ISP或大学网络 - 带宽保证 - 网络性能 3 “僵尸”：Agent (Zombie) Program 4 在TFN中，Master与Zombie间的通讯只是ICMP_ECHOREPLY数据包，没有TCP/UDP通信 Master Master Master Broadcast Broadcast Broadcast Broadcast Broadcast Broadcast Target Hacker Master Master Zombie Zombie Zombie Zombie Zombie Zombie 27665/TCP 27444/UDP 31335/UDP Trin00/TFN具体攻击过程 DDoS攻击过程 (Wu-ftpd;RPC service) Zombies 黑客在非安全主机上安装类似“后门”的代理程序 2 DDoS Attack Illustrated 黑客选择主控主机，用来向“僵尸”发送命令 3 Zombies DDoS Attack Illustrated 通过客户端程序，黑客发送命令给主控端，并通过主控主机启动 “僵尸”程序对目标系统发动攻击 4 Zombies DDoS Attack Illustrated 主控端向“僵尸”发送攻击信号，对目标发动攻击 5 Zombies DDoS Attack Illustrated 目标主机被“淹没”，无法提供正常服务，甚至系统崩溃 6