网络安全动画演示文档.pptVIP

* 2.DDoS DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。他们主要使用的攻击方法是利用TCP/IP协议中的漏洞，如允许碎片包、大数据包、IP路由选择、半公开TCP连接、数据包flood等等，这些都会降低系统性能，甚至使系统崩溃。 每个一致的拒绝服务漏洞一般都会有相应的攻击程序公布出来，每个供给程序都是独立的。一个特定的漏洞攻击程序往往只影响某一版本的TCP/IP协议。发动DDoS的工具就是用各种语言将多种拒绝服务攻击结合起来。这样就提高了攻击的成功率但是这类分布式拒绝服务攻击的结合工具，一般只允许一个攻击者在同一时间内攻击一个IP地址。 为了增加攻击的效率，多个攻击者可以通过IRC或电话保持联系，并每个人负责攻击不同的系统，以实现团队攻击。这种方法在探测漏洞、入侵系统、安装后门和rootkit的行动中经常被使用。 * 2.DDoS 虽然存在一些使用上的限制，但这类集合工具仍然在不断的增加各种攻击程序，并形成一个叫“拒绝服务集群”的软件包其中就有: 1、Trinoo Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是： 攻击者主机到主控端主机：27665/TCP 主控端主机到代理端主机：27444/UDP 代理端主机到主服务器主机：31335/UDP 2、TFN TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。 * 2.DDoS 3、TFN2000 TFN2000是由TFN发展而来的，在TFN所具有的特性上，TFN2000又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2000可配置的代理端进程端口。 4、Stacheldraht Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。 5、SYN-Flood SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好，应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。 * 2.DDoS SYN Flood原理 - 三次握手 SYN Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手SYN-Flood存在的基础。 TCP连接的三次握手 ： 如右图，在第一步中， 客户端向服务端提出连接请 求。这时TCP SYN标志置位。 客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整 的TCP 连接，开始全双工模式的数据传输过程。 * 2.DDoS 假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非