单元3--网络攻击与防范_培训课件.ppt

任务4-2 捕捉数据包查看TCP报文头部 1．Sniffer Pro捕获功能 2．使用Sniffer Pro捕捉数据包，查看TCP报文头部信息 学生演示+学生实践+教师小结 分组实施，查看结果 拓 展 任 务 学生自主完成 任务编号 004-5 任务名称 DDoS攻击工具——独裁者DDoS攻击器 计划工时 90min 任务描述 通过对DDOS工作原理、概念、功能等方面的认识和了解，明白DDOS攻击方式的危害性及其危害程度。DDOS攻击在技术上而言是很不容易被人所掌握的，但是现在出现的一系列的攻击工具可以使新手们很容易地发起这种攻击。希望通过这些工具来使用户更深入地掌握DDOS技术。 任务分析 （1）认识独裁者DDoS攻击器 （2）使用独裁者DDoS攻击器 任务实施过程 Connection Flood防护? 主动清除残余连接。 对恶意连接的IP进行封禁。 限制每个源IP的连接数。 可以对特定的URL进行防护。 反查Proxy后面发起HTTP Get Flood的源。 任务实施过程 UDP DNS FLOOD 攻击方式 首先攻击者向被攻击的服务器发送大量的域名解析请求 通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名， 其次被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。 结果 域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。 任务实施过程 UDP DNS FLOOD的防护 防护方法 根据域名 IP 自学习结果主动回应，减轻服务器负载(使用 DNS Cache) 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制? 在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级 限制每个源 IP 地址每秒的域名解析请求次数 任务实施过程 UDP DNS FLOOD的案例 任务实施过程 UDP DNS FLOOD的案例 攻击者 受害者(Web Server) 正常HTTP Get请求 不能建立正常的连接 正常HTTP Get Flood 正常用户 正常HTTP Get Flood 攻击表象 利用代理服务器向受害者发起大量HTTP Get请求 主要请求动态页面，涉及到数据库访问操作 数据库负载以及数据库连接池负载极高，无法响应正常请求 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 受害者(DB Server) DB连接池 用完啦！！ DB连接池 占用 占用 占用 HTTP Get Flood 攻击原理 任务实施过程 任务实施过程 HTTP Get Flood 攻击原理 这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的 特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用 典型的以小博大的攻击方法 攻击方式： 只需通过Proxy代理向主机服务器大量递交查询指令 攻击者 受害者(Web Server) 正常HTTP Get请求 不能建立正常的连接 正常HTTP Get Flood 正常用户 正常HTTP Get Flood 攻击表象 利用代理服务器向受害者发起大量HTTP Get请求 主要请求动态页面，涉及到数据库访问操作 数据库负载以及数据库连接池负载极高，无法响应正常请求 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 受害者(DB Server) DB连接池 用完啦！！ DB连接池 占用 占用 占用 HTTP Get Flood 攻击原理 任务实施过程 路由器优化 DDoS攻击者 入侵检测 防火墙 退让策略 1.牺牲正常访问 2.需上级ISP支持 1.无法有效阻断 2.基于特征的机制 1.ACL 2.RPF 3.QoS …… ? 可检测某些攻击的类型 …… 1.DNS轮询 2.冗余设备 …… 1.大量资金投入 2.抗击能力有限 ? ? 1.抗DDoS模块 2.访问控制措施 …… 1.缺乏检测机制 2.防护效率低下 3.自身成为目标 ? 防不了 抓不到 系统优化 1.参数配置 2.协议禁止 …… 1.抵抗小规模攻击 2.牺牲正常访问 ? 安全设备面对DDoS的尴尬 任务实施过程 主机上的设置 关闭不必要的服务