DDOS攻击方式原理.ppt

* * DDOS攻击方式 分布式拒绝服务攻击最基本的原理就是： 利用分布的客户端，向服务提供者发起大量看似合法的请求，消耗或长期占用大量的资源，从而达到拒绝服务的目的。 DDOS攻击原理 消耗 资源 攻击网络带宽资源 攻击系统资源 攻击应用资源 1 2 3 DDOS攻击原理 攻击网络带宽资源 DDOS攻击原理 使用大量的受控主机直接向被攻击目标发送大量的网络数据包，以占满被攻击目标的带宽，并消耗服务器和网络设备的网络数据处理能力，达到DDoS攻击的目的 UDP洪水攻击 DDOS攻击原理 UDP中文名是用户数据报协议，是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。UDP洪水攻击和ICMP洪水攻击的原理基本相同，攻击者利用UDP报文来发动洪水攻击。 ACK反射攻击 DDOS攻击原理 TCP在建立连接的时候是需要三次握手才可建立连接，ACK反射攻击便是利用了三次握手这个过程进行的攻击，是一种常见的反射攻击。 攻击者将SYN包里的源IP地址伪造成被攻击者的IP地址，通过受控主机向大量的服务器发送伪装后的SYN请求，服务器响应的大量ACK应答数据包就会发送到被攻击目标，从而占用网络带宽资源。 DNS放大攻击 DDOS攻击原理 DNS（域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库。攻击者向一系列的第三方DNS服务器发送大量的查询请求，这些查询请求数据包中的源IP地址已经被改为被攻击目标的IP地址，DNS服务器将大量的查询结果发送给被攻击目标，使被攻击目标所在的网络拥塞或拒绝服务。 DNS响应的数据包会比查询数据包大，攻击者就是利用了这一点，可以将攻击流量放大2到10倍。 攻击系统资源 DDOS攻击原理 攻击者通过系统的连接资源进行消耗的占用，阻止正常连接的建立，从而达到拒绝服务的目的。 互联网上，终端设备要与服务器进行通信，是要创立会话连接。在会话中，是需要占用服务器资源的；在会话结束之后，这些连接资源才会被释放。这些会话连接资源，一旦被占满，新进入的会话请求就必须等待前面的会话完成。 TCP连接洪水攻击 DDOS攻击原理 TCP连接洪水攻击，是攻击者利用大量受控主机，通过快速建立大量恶意的TCP连接占满给攻击目标的连接表，使目标无法接受新的TCP请求，从而达到了拒绝服务攻击的目的。 SYN洪水攻击 DDOS攻击原理 攻击者发送大量的伪造了IP地址的SYN包给服务器，服务器回应(SYN+ACK)包，但是因为对方是假冒IP，对方永远收不到包，所以也就不会回应ACK包，这样的话，服务器不知道(SYN+ACK)是否发送成功。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，默认情况下会重试5次。于是大量的半连接状态塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。造成了拒绝服务攻击的目的。 DDOS攻击原理 SSL洪水攻击 DDOS攻击原理 SSL (安全套接层)，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。 SSL协议连接握手的时候所进行的加密和解密是要消耗较多的CPU资源的，而且不论接受的数据是否有效，都要进行解密后才做检查，于是攻击者就利用这一点进行攻击。 SSL洪水攻击中，攻击者不需要完成SSL握手密钥交换的这一步，只需要在这个过程中让服务器去解密和验证，就能够大量的消耗服务器的计算资源。 攻击应用资源 DDOS攻击原理 消耗应用资源的分布式拒绝服务攻击就是通过向应用提交大量消耗资源的请求，从而达到拒绝服务攻击的目的 由于DNS和web应用的广泛，以及其在互