拒绝服务攻击PPT.ppt

网络攻击与防御 -拒绝服务 韩国主要网站同时遭黑客攻击 7月8日，一名韩国警察厅官员在位于首尔的警察厅总部介绍黑客攻击政府网站的情况。 7月8日，工作人员在位于韩国首都首尔的韩国网络安全中心忙碌。 拒绝服务攻击概述 DoS定义 拒绝服务攻击DoS（Denial of Service）是阻止某种服务的合法用户使用该服务 DOS攻击的实现方式分为2类 1.消耗计算机中匮乏的，有限的或不可再生的资源。（网络带宽，存储器，cpu时间和资源,数据结构） 2.破坏或改变计算机或网络中配置信息。（改变网络路由信息，改变windowsNT注册信息） 备注：SYN flooding入侵消耗的是核心数据结构，而不是网络带宽。 An Example 消耗资源 消耗CPU资源和内存资源 拒绝服务攻击分类 分布式拒绝服务攻击（DDoS） 反射式拒绝服务攻击（RDoS） 分布式拒绝服务攻击（DDos） Ddos原理图 3层：攻击者，主控端，代理端 三者在攻击中扮演的角色 攻击者：操纵整个攻击过程，它向主控端发送攻击命令。 主控端：控制代理主机，主控端安装了特定的程序，接受攻击者发来的特殊指令，并把这些命令发送到代理主机上。 代理端：代理端是攻击的执行者，真正向受害者主机发送攻击。 如何实施一次DDoS攻击呢？？？ 被攻击者基本信息的收集 占领主控端和代理端主机 进行分布式拒绝服务攻击 被攻击的现象 被攻击主机上有大量等待的TCP连接?。 网络中充斥着大量的无用的数据包，源地址为假?。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯,cpu被大量占用。 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求?。 严重时会造成系统死机 Ddos的防御方法： 优化路由和网络结构?　 优化对外开放访问的主机?　 确保主机不被入侵和主机的安全? 发现正在实施攻击时，必须立刻关闭系统并进行调试  分布式拒绝服务攻击DDoS优点 1.攻击力大 2.其隐蔽性和 分布性很难被识别和防御 拒绝服务攻击概述 从某种程度上可以说，DoS攻击永远不会消失。 而且从技术上，目前还没有根本的解诀办法。 RDoS(反射式拒绝服务攻击) 前些时间百度受到DDOS攻击而造成30分钟的无法访问事情相信大家都知道了，但问题在于百度如此的大的网站，如果说在技术上寻找漏洞进入系统还是有可能的话，那么，使用DDOS来攻击百度并且造成30分钟的拒绝服务实在令人费解，百度服务器的吞吐量巨大，并且有完善的安全机制，分布式拒绝服务攻击对百度的威胁应该说是很小的，那么，为什么会有无法访问30分钟的情况发生呢？ RDoS 原因就是攻击者使用了一种新式的DDOS攻击方式，“反射式拒绝服务攻击（RDoS）”这种新式的攻击手段在国内并不多见，并且这种攻击程序在互联网上也很难下载到。我们知道，分布式拒绝服务攻击的原理是通过大量的主机（肉鸡）不断发送虚假的TCP连接请求给服务器，但却不回应，从而使服务器过载，造成服务器的瘫痪。 攻击方式： 攻击首先需要大量的肉鸡，但这些肉鸡都是服务器级别的，不是普通的家用机，他们具有较大的网络吞吐能力与数据处理能力，我们暂时将之称为B*（* 代表有很多。。。呵呵），攻击者用于发送虚假请求信息的那台计算机我们称为A*(也有很多)，而需要攻击目标我们称为C。攻击者使用自己的计算机A*发送大量的请求给C，其中数据包的地址都是B*的，这时，服务器C接受到了从A发来的请求，开始分析，并且根据请求的内容将回应全部发给了B*，因为在从A*发到C的数据包的IP地址全是B*的，这时，B*收到了从C发来的回应信息，开始作出与C服务器连接，现在B*与C建立了连接，但从A发至C的请求还没停止，所以C将继续发送回应信息给B*，而B*将继续建立与C的连接，如果这里B*有200台系统，A*有10台系统，每台A系统启动10个并发线程，每个线程每秒发送100个请求，那就是每秒有1000个请求，10台一共就是10000个，也就是说，每秒有10000个请求被发送到了C，而恐怖的是，这个10000个请求全是真的，并且全都对C做出了正常的连接，这样，C系统上的防火墙与安全检测程序就都毫无作用，因为这些连接与数据包的请求全是合法与有效的，系统无法阻止，就这样，C最终被拖跨了，被正常的连接拖跨了，C的管理员直到服务发生了拒绝服务时才意识到问题大了 RDoS的优点 1. 最重要的是反射式拒绝服务攻击所发送的请求与连接都是真实的，并且是有效的，这就造成了被攻击服务器在受到攻击时不容易被察觉，并且被攻击服务器上的安全策略与防火墙实际都处于毫无用处的状态，