DOS攻击和防护.pptxVIP

DOS攻击与防护;目录;简单探索——DOS分类和简介;DOS攻击和防护 DOS攻击在众多的网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法 目的特点： 通过各种手段消耗网络带宽和系统资源 攻击系统缺陷，使正常系统的正常服务陷于瘫痪状态 DDOS攻击是基于DOS攻击的一种特殊形式 攻击者将多台受控制的计算机联合起来向目标计算机发起DOS攻击 特点 大规模协作的攻击方式 对象 比较大的商业站点，具有较大的破坏性 ;DDoS 类型的划分;;DDoS攻击介绍——ACK Flood;攻击者;攻击者;知己知彼——DOS攻击详解与防护;TCP数据包格式;客户端向服务器发送包含初始序列值的数据段，开启通信会话;服务器发送包含确认值的数据段，其值等于收到的序列值加1，并加上其自身的同步序列值。该值比序列号大?1，因为ACK?总是下一个预期字节或二进制八位数。通过此确认值，客户端可以将响应和上一次发送到服务器的数据段联接起来 ;发送带确认值的客户端响应，其值等于接受的序列值加1 ;SYN Flood;SYN Cookie/SYN Proxy防护;Safereset防护;;ACK-FLood普通算法;ACK-FLood高级防御算法;;UDP，无连接状态的防御;ICMP Flood 的攻击原理和ACK Flood原理类似，属于流量型的攻击方式，也是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文，因此ICMP Flood出现的频度较低。 防护：其防御也很简单，直接过滤ICMP报文。;;连接耗尽防护;HTTP GET Flood;图形验证码防护;脚本解析防护;智力型;面对DDOS攻击的策略方法;流量数据所含有的信息: 空间信息：地域，IP地址，AS号， 时间信息：时间片，时间段（时间片整数倍）时，日，月，年 技术指标信息：应用类型，TCP-flag, ToS, 包大小…… 三种信息构成三个维度 数据分析 就是将流量数据分割成一个一个数据立方，从不同的视角透视数据立方，得出在指定的时间或空间范围内，技术指标数据对不同维度的分布。 ;流量分析的方法论;流量分析的方法论;流量分析的方法论;NetFlow定义;NetFlow的生成;流量数据所含有的信息: 空间信息：地域空间，IP地址空间，AS号空间， 时间信息：时间片，时间段（时间片整数倍）时，日，月???年 技术指标信息 ： 应用类型，TCP-flag,ToS, 包大小…… 三种信息构成三个维度：空间、时间、业务 流量流向定义 上行下行：有绝对坐标 发送接收：相对自身坐标 流量分析的定义： 流量分析就是在指定的时空范围内，计算流量数据对不同维度的统计分布。 ; 专网用户关注;异常流量检测方法 基线阈值法（统计异常检测法） 检测指标的选定 基线算法 实际测量值与基线对比（阈值为允许浮动的范围） 特征匹配法 基于机器学习的异常检测方法 基于数据挖掘的异常检测法（本质上也是一种统计方法） 基于神经网络的异常检测法 ;异常流量检测的方法论;异常流量检测指标：网络层DDoS的检测指标 ;应用层DDoS的检测指标及 蠕虫传播及某些行为异常的检测指标 ;基线算法 固定基线 动态基线 周期性基线 单周期轮廓线 由同一时点的一组历史数据值计算得来 常用算法：算术平均、加权平均、置信区间、混合算法 非周期性线（移动窗口基线） 由历史数据计算得来 由一组时点连续历史数据计算得来 常用算法同上 基线的刷新 一个新的实际测量值如果没有超过有效范围，则取代那组历史数据中最陈旧的一个，用来计算新的轮廓值。 超过???效范围，则被丢弃，不参与新轮廓线计算;检测指标与适用的基线 ;流量分析的技术架构;流量清洗工作原理;操作;居家旅行必备——抓包分析;分析报文简要信息 拿到报文，首先从Wireshark中查看报文的简要特征，如图3.9所示。点击Wireshark中“statistics”——“Summary。 从上图我们可以得到以下重要信息： 平均每秒报文数量 平均报文长度 流量大小 ;在这里，假设A客户的业务主要为web，带宽为2M，而现在抓包分析了解到目前A客户的流量大小为5.6M，且每秒上万个报文，则该客户遭到了DDoS攻击。 分析报文分布特征：;抓包分析技术;点击“IPv4”，可以观察到报文的分布情况，了解top流量的来源。 在这里，可以看出流量分布均匀，且存在如“4”较“突出”的IP地址，使用攻击工具攻击的可能性较大。 若流量分布不均匀，且排名靠前的几个源IP流量较大，可以考虑使用“访问控制策略”进行过滤 分析报文详细内容：;为了避免无效的分析，通常从可疑的IP，怀疑的动作进行过滤分析，可在Wireshark中输入过滤，点击“Filter”，选择过滤的选项