CIW-03(拒绝服务攻击DDOS).pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * DNS FLOOD 攻击实例 DNS FLOOD实例 攻击者 受害者(Web Server) 不能建立正常的连接 DDoS攻击介绍——HTTP Get Flood 正常HTTP Get Flood 正常用户 正常HTTP Get Flood 攻击表象 利用代理服务器向受害者发起大量HTTP Get请求 主要请求动态页面，涉及到数据库访问操作 数据库负载以及数据库连接池负载极高，无法响应正常请求 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 受害者(DB Server) DB连接池 用完啦！！ DB连接池 占用 占用 占用 HTTP Get Flood 攻击原理 实验3-4 DoS/DDoS攻击－CC 传奇克星 分布式拒绝服务攻击（DDOS) 　　 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了－ 目标对恶意攻击包的消化能力加强了不少。 　　这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 分布式拒绝服务攻击（DDOS) DDoS代理与“傀儡机” 　　发生在2000年的DDos攻击使得Tribe Flood Network(TFN)、Trinoo和Stacheldraht等工具名声大噪，以它们为蓝本的后续工具包TFN2K、WinTrinoo、Shaft和mStreams。 　　 TFN是第一个公开的Linux/UNIX分布式拒绝服务攻击工具。TFN有客户端和服务器端组件，允许攻击者安装服务器程序至远程的被攻陷的系统上，然后在客户端上使用简单的命令，就可发起完整的分布式拒绝服务攻击。 　　和TFN类似，Trinoo的工作方式也是通过一个远程控制程序和主控制进行通信来指挥它的守护进程发动攻击的。客户端与主控之间通过TCP 27665号端口进行通信。主控端到服务器程序的通信通过UDP 27444号端口进行，服务器到主控端的通信则通过静态UDP 31335号端口进行。 　　Stacheldreht工具汇集了Trinoo和TFN的功能，而且主控端与受控端之间的Telnet会话是加密的。 　 　最新的DDOS变体普遍依赖IRC的“机器人”功能来管理他们的攻击活动。在各种“机器人”软件中，流传最广的是Agobot/Gaobot系列。 DNS Email ‘Zombies’ ‘Zombies’ Innocent PCs Servers turn into ‘Zombies’ DDoS 是怎么开始的？ Server-level DDoS attacks Bandwidth-level DDoS attacks DNS Email Infrastructure-level DDoS attacks Attack Zombies: Massively distributed Spoof Source IP Use valid protocols 实验3-5 DDOS攻击 阿拉丁DDOS攻击 CC攻击与DDOS的区别 一个好的DDOS攻击必须是通过自己极少资源的消耗带来对方较大的资源消耗，否则比如ICMP-FLOOD和UDP-FLOOD都必须和别人一样大的带宽，对方服务器消耗多少资源自己也得赔上多少资源，效率极其低下，又很容易被人发现，现在基本没有什么人用了。攻击原理 CC主要是用来攻击页面的。模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面）。很多朋友问到，为什么要使用代理呢？因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。  针对DOS攻击的防范措施 从理论上讲，DOS攻击是永远也无法彻底防住的，DOS防范工作的目标应