DDoS攻击介绍PPT.pptVIP

攻击与防御技术 SYN_RECV状态 半开连接队列 遍历，消耗CPU和内存 SYN|ACK 重试 SYN Timeout：30秒~2分钟 无暇理睬正常的连接请求—拒绝服务 大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACK Flood流量要较大才会对服务器造成影响 被DDoS攻击时的现象 能瞬间造成对方电脑死机或者假死，有人曾经测试过，攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音。还有CPU使用率高等现象。 DDoS攻击一般步骤： 搜集了解目标的情况 1、被攻击目标主机数目、地址情况 2、目标主机的配置、性能 3、目标的带宽 占领傀儡机 1、链路状态好的主机 2、性能不好的主机 3、安全管理水平差的主机 实施攻击 1、向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。 2、一般会以远远超出受害方处理能力的速度进行攻击，他们不会怜香惜玉。 3、老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 预防为主的DDOS应付方法 1. 定期扫描 要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。 2．在骨干节点配置防火墙 防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。 3．用足够的机器承受骇客攻击 这是一种较为理想的应对策略。 4．充分利用网络设备保护网络资源 所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。 预防为主的DDOS应付方法 5．过滤不必要的服务和端口 过滤不必要的服务和端口，即在路由器上过滤假IP，只开放服务端口成为目前很多服务器的流行做法。 6．检查访问者的来源 使用单播反向路径转发(Unicast Reverse Path Forwarding)等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。 7．过滤所有RFC1918 IP地址 RFC1918 IP地址是内部网的IP地址，像、 和，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。 8．限制SYN/ICMP流量 用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有骇客入侵。 DDoS防御的方法： 1．采用高性能的网络设备 2．尽量避免NAT的使用 3．充足的网络带宽保证 4．升级主机服务器硬件 5．把网站做成静态页面 6．增强操作系统的TCP/IP栈 7．安装专业抗DDOS防火墙 thanks！ SYN Flood: 1) 完备的SYN Proxy ；这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈； 2) Random Drop；随机丢包的方式虽然可以减轻服务器的负载，但是正常连接的成功率也会降低很多； 3) 特征匹配；在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带TCP Options 的syn 包等； 4) 丢弃64字节小报文； 5) 根据经验判断IP 包头里TTL值不合理的数据包。 从这些方法分析来看，SYN Proxy算法可以从理论上完全解决伪造源IP的SYN Flood攻击，只要对其进行改进，结合IP信誉机制以及HCF算法，就可以起到较好的防护效果。 SYN Flood防护算法在对一个TCP SYN连接请求做反向探测时，连接请求发起端先和防拒绝服务系统建立3次握手，然后防拒绝服务系统模拟客户端向服务器发起连接请求，这样就把通常的TCP连接建立过程由3次握手增加到6次握手。而对于伪造源IP的SYN包，由于无法和防拒绝服务系统建立前面的3次握手，该SYN包就不会到达服务器。 ACK Flood属于单包类型攻击，即用大量ACK小包进行冲击。按照我们对TCP协议的理解，随机源IP的ACK小包应该会被Server很快丢弃，因为在服务器的TCP堆栈中没有这些ACK包的状态信息。但是实际上通过测试，我们发现有一些TCP服务会对ACK Flood比较敏感，比如说JSP Server，在数量并不多的ACK小包的打击下(10kpps)，JSP Server就很难处理正常的连接请求。对于Apache或者IIS来说，10kpps的ACK Flood不构成危胁，但是更高数量的ACK Flood会造成服务器网卡