全国银行系统计算机安全信息交流会分布式拒绝服务攻击.ppt

全国银行系统计算机平安信息交流会

分布式拒绝效劳攻击〔DDoS〕研讨;目录;

分布式拒绝效劳攻击(DDoS)

震惊世界

;近期黑客事件回忆;剖析DDoS攻击;什么是DoS攻击?;“三次握手〞：(SYNrequest;SYN/ACK;ACK)用户传送信息要求效劳器予以确认,效劳器接收到客户请求后回复用户，用户被确认后，建立连接，登录效劳器。;“拒绝效劳〞的攻击方式为：用户传送众多要求确认的信息到效劳器，使效劳器里充满着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当效劳器试图回传时，却无法找到用户。效劳器于是暂时等候，有时超过一分钟，然后再切断连接。效劳器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致效劳器处于瘫痪状态;DDoS攻击的动机;Mixter对DDoS的看法：

DDoS不是黑客工具。

CapacityManagement〔性能测试〕

Internet本身平安问题：

地址欺骗，SYNflooding,IPstackattackswithbad fragmentation,thestreamvulnerability,本地验证，允 许connection-less和stateless

StreamAttack

ACK/ACK,SYNflagsets;;SYNFlood

目标主机被TCP连接请求淹没。请求连接的IP源地址和TCP端口随机任意，迫使目标主机保持等候，耗用资源。

通常目标主机〔HTTP和SMTP主机〕效劳进程缓慢，甚至宕机。路由器“OutofMemory〞。

属于第二级攻击。;DDoS的种类;;DDoS组成局部;明尼苏达大学案

1999年8月17日

Trinoo网络(227hosts,114Internet2)

CERT讨论稿

1999年11月2-4日

ISS,Cisco,DavidDittrich

平安建议FOR

管理层

系统管理员

ISPs

紧急事件响应小组(IRTs);Master;DDoS攻击过程;黑客;黑客;Hacker;目标系统

System;目标;DDoS攻击的系统;如何防范DoS/DDoS?;;能否抓到黑客，如何处分DoS/DDoS攻击者?;减少危险总那么;1使用ipverifyunicastreverse-path命令

对所有数据包，在CEF(CiscoExpressForwarding)表中没有源IP地址路由，Dropit!.用于防止SMURF和其他基于IP地址伪装的攻击。

2使用访问控制列表〔ACL〕过滤RFC1918列出的地址。

interfacexy

ipaccess-group101in

access-list101denyip55any

access-list101denyip55any

access-list101denyip55any

access-list101permitipanyany

3参照RFC2267，使用ACL过滤进，出报文。(ingress/egressfiltering)

ISP边界路由只接受源地址属于客户网络的通信；客户网络只接受源地址未被过滤的通信。

4使用CAR〔controlaccessrate〕限制ICMP数据包

5配置SYN数据包流量，安装IP过滤工具包;攻击者在发动DDoS攻击之前必须解析目标系统的hostname(gethostbyname())。BIND域名效劳器可以记录这些请求。你可以通过发送“WINCH〞或在BIND配置中启动“解析请求日志〞来跟踪这些活动。通过反向域名解析PTR记录分析，发现有主机大量请求自己网络机器的域名解析，就应该疑心有攻击者试图利用你的系统和网络来进行DDoS攻击。

发现网络带宽的使用大大超过平日正常水平。通过和正常情况下网络流量，网络源地址的分析，发现有大量数据包来自未知IP地址时，应该通过在主干路由器上设置ACL规那么，来过滤数据包，保证ingress的平安。

检测超大ICMP和UDP包。Stateful的UDP对话通常使用小UDP包，PAYLOAD不大于10字节。正常的ICMP信息在64-128字节。如果这些包远远超过这个量级，就应该疑心包含控制数据，通常是DDoS代理的一些内容。一旦发现控制数据，就可以判定一个DDoS代理的地址。;;用专业工具如ISSRealSecure，TripWire建立一致性检查镜象系统，定期检测后门程序

用漏洞扫描工具定期检查网络漏洞

运行基于网络/主机的IDS监测漏洞和入侵

利用各种工具，