DDoS攻击原理和防护.pptVIP

DDOS攻击与防范 绿盟科技 马林平 1 DDoS攻击的历史 4 常见DDoS工具 3 DDoS防护思路及防护算法 2 DDoS攻击方式 目录 DDoS攻击历史 01 探索期 02 03 04 工具化 武器化 普及化 DDoS攻击历史 事件 ：第一次拒绝服务攻击（Panic attack） 时间：1996年 后果：至少6000名用户无法接受邮件 探索期---个人黑客的攻击 事件 ：第一次分布式拒绝服务攻击（Trinoo） 时间：1999年 后果：连续多天的服务终止 探索期---个人黑客的攻击 工具化---有组织攻击 事件 ：燕子行动 时间：2012年 后果：大部分美国金融机构的在线银行业务遭到攻击 工具化---有组织攻击 事件 ：史上最大规模的DDoS 时间：2013年 后果：300Gbit/s的攻击流量 武器化---网络战 事件 ：爱沙尼亚战争 时间：2007年 后果：一个国家从互联网上消失 武器化---网络战 事件 ：格鲁吉亚战争 时间：2008年 后果：格鲁吉亚网络全面瘫痪 武器化---网络战 事件 ：韩国网站遭受攻击 时间：2009年~至今 后果：攻击持续进行 事件 : 匿名者挑战山达基教会 时间：2008年 后果：LOIC的大范围使用 普及化---黑客行动主义 事件 : 海康威视后门 时间：2014年 后果：DNS大面积不能解析 普及化---黑客行动主义 “5·19”断网事件 —— 背景 根域服务器 顶级域服务器 授权域服务器 “5·19”断网事件 —— 前奏 根域服务器 顶级域服务器 授权域服务器 “5·19”断网事件 —— 断网 根域服务器 顶级域服务器 授权域服务器 DDOS形势---智能设备发起的DDoS攻击增多 DDoS攻击的动机 技术炫耀、报复心理 针对系统漏洞 捣乱行为 商业利益驱使 不正当竞争间接获利 商业敲诈 政治因素 名族主义 意识形态差别 DDOS攻击地下产业化 漏洞研究、目标破解 漏洞研究 我们在同一个地下产业体系对抗 地下黑客攻击网络 上述现象的背后 – 原始的经济驱动力 工具编写者- “研发人员”？ 魔高一尺，道高一丈 1. DDoS攻击峰值流量将再创新高； 2. 反射式DDoS攻击技术会继续演进； 3. DNS服务将迎来更多的DDoS攻击； 4. 针对行业的DDoS攻击将持续存在。 预测未来 1 DDoS攻击的历史 4 常见DDoS工具 3 DDoS防护思路及防护算法 2 DDoS攻击方式 目录 DDoS攻击本质 利用木桶原理，寻找并利用系统应用的瓶颈 阻塞和耗尽 当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板 好比减肥药，一直在治疗，从未见疗效 真正海量的DDoS可以直接阻塞互联网 不要以为可以防住真正的DDoS 如果没被DDoS过，说明确实没啥值得攻击的 DDoS是攻击者的资源，这个资源不是拿来乱用的 DDoS攻击只针对有意义的目标 无效的攻击持续的时间越久，被追踪反查的概率越大 被消灭掉一个CC服务器，相当于被打掉了一个Botnet 如果攻击没有效果，持续的时间不会很长 DDoS基本常识 闷声发大财，显得挣钱不容易 很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS 低调行事，被攻击者盯上的概率小 成功的DDoS伴随着攻击者对攻击目标的深入调研 利用漏洞，应用脆弱点，一击定乾坤 能防住的攻击通常简单，简单的未必防得住 防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段 小股多段脉冲攻击试探，海量流量一举攻瘫 攻击是动态的过程，攻防双方都需要不断调整 DDoS基本常识 DDoS是典型的事件触发型市场 应急，演练，预案在遭受攻击之前，很少受重视 安全服务总是在攻击防不住的时候才被想起来 攻击者会选择最合适的时间，比如某个业务盛大上线那一刻 我防住家门口，他堵住你上游，上游防护比下游效果好 对于安全事件，需要有安全组织，安全人员，安全制度 DDoS防护也是讲天时、地利、人和的 免费攻击工具的普及降低了门槛，也使得很多攻击非常业余 攻击成本的降低，导致了攻击水平的降低 DDoS防御基本常识 传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的，数百万计受感染机器在用户不知情中参与攻击 方式 路由器，交换机，防火墙，Web服务器，应用服务器，DNS服务器，邮件服务器，甚至数据中心 目标 直接导致攻击目标CPU高，内存满，应用忙，系统瘫，带宽拥堵，转发困难，并发耗尽等等，结果是网络应用甚至基础设施不可用 后果 什么是DDoS 以力取胜，拥塞链路，典型代表为ICMP Flood和UDP Flood 1、流量D；2、流速D 以巧取胜，攻击于无形，每隔几十秒发一个包甚至只要发一个包，就可以让业务服务器不再响应。此类攻击主要是利用协议或应