网络安全4-拒绝服务攻击_2.pptVIP

4.5 分布式拒绝服务攻击DDoS 传统的拒绝服务攻击的缺点 受网络资源的限制 隐蔽性差 DDoS克服了这两个致命弱点 突破了传统攻击方式从本地攻击的局限性和不安全性 其隐蔽性和分布性很难被识别和防御 第4章 第5节 4.5分布式拒绝服务攻击DDoS 被DDoS攻击时可能的现象 被攻击主机上有大量等待的TCP连接 端口随意 大量源地址为假的无用的数据包 高流量的无用数据造成网络拥塞 利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求 严重时会造成死机 第4章 第5节 组成 DDoS攻击由三部分组成 客户端程序（黑客主机） 控制端（Master） 代理端（Zombie），或者称为攻击点（daemon） 分布式拒绝服务（DDOS） 以破坏系统或网络的可用性为目标 很难防范 伪造源地址，流量加密，因此很难跟踪 4.5 分布式拒绝服务攻击DDoS DDoS的三级控制结构 第4章 第5节 分布式拒绝服务攻击（DDoS） 如何组织一次DDoS攻击 1. 搜集了解目标的情况 下列情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 如何组织一次DDoS攻击 对于DDoS攻击者来说，攻击互联网上的某个站点，首先要确定到底有多少台主机在支持这个站点，一个大的网站一般有很多台主机利用负载均衡技术提供同一个网站的www服务。 以yahoo为例，一般会有下列地址都是提供服务的： 7 8 9 0 1 3 4 6 如何组织一次DDoS攻击 如果要进行DDoS攻击的话，应该攻击哪个地址呢？使7这台机器瘫掉，但其他的主机还是能向外提供服务，所以想让别人访问不到，要所有这些IP地址的机器都瘫掉才行。 在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。 如何组织一次DDoS攻击 所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。 如果黑客不进行情报的搜集而直接进行DDoS的攻击，盲目性就很大。 一般来讲，在相同的条件下，攻击同一站点的主机需要相同台傀儡机的话，但做攻击的傀儡机越多越好，不管有多少台主机，用尽量多的傀儡机来攻就是了. 如何组织一次DDoS攻击 2. 占领傀儡机 黑客最感兴趣的是有下列情况的主机： 性能好的主机 负载轻的主机 安全管理水平差的主机 如何组织一次DDoS攻击 首先，黑客做的工作是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…，然后有针对性尝试入侵。 占领一台傀儡机后，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击傀儡机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 如何组织一次DDoS攻击 3. 实际攻击 经过前2个阶段的精心准备之后，实际攻击过程反而比较简单。 黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令； 埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。 攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。如：开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 按照攻击机制将拒绝服务攻击分为3类 第一类是风暴型（Flood Type）攻击，攻击者通过大量的无用数据包（非正常用户的正常请求，这些数据包是旨在攻击受害者，由攻击者发出的或者由攻击主机响应攻击者的指令而发出的，因此有时也称之为攻击性数据包）占用过多的资源以达到拒绝服务的目的。 这种攻击有时也称为带宽攻击（Bandwidth Attack），原因是其常常占用大量的带宽，即使有时攻击的最终目的是占用系统资源，但在客观上也会占用大量带宽。 攻击类型 攻击类型 在这类攻击中，攻击数据包可以是各种类型的（TCP, IP, UDP, ICMP等），数据包中的数据也可以是多种多样的，这些数据包与正常服务的数据包是难以区分的。 风暴攻击的效果完全依赖于数据包的数量，仅当大量的数据包传到目标系统（受害者）时，攻击方才有效。 分布式拒绝服务攻击表明，即使是拥有大量资源的网络在风暴型攻击下也难以幸免。 攻击类型 第二类是剧毒包（Killer Packet）型攻击，它主要是利用协议本身或者其软件实现中的漏洞，通过一些非正常的（畸形的）数据包使得受害者系统在处理时出现异常，导致受害