DoS与DDoS

DoS与DDoS攻击检测与防御
被DDoS攻击时的现象： * 被攻击主机上有大量等待的TCP连接 * 网络中充斥着大量的无用的数据包，源地址为假 * 制造高流量无用数据，造成网络拥塞，使受害主机 无法正常和外界通讯 * 利用受害主机提供的服务或传输协议上的缺陷，反 复高速的发出特定的服务请求，使受害主机无法及时处理 所有正常请求 * 严重时会造成系统死机
Master Server
6 目标系统被无数的伪
造的请求所淹没，从而无 法对合法用户进行响应， DDoS攻击成功。 Request Denied User
Internet
Targeted System
DoS与DDoS攻击检测与防御
攻击者
Master
Master
Master
Flooding
Flooding
DoS与DDoS攻击检测与防御
•杜绝UDP攻击的方法
关掉不必要的TCP/IP服务; 配置防火墙以阻断来自Internet的UDP服务请求
不过这可能会阻断一些正常的UDP服务请求。
DoS与DDoS攻击检测与防御
SMURF攻击 原理： Smurf是一种具有放大效果的DoS攻击，具有 很大的危害性。这种攻击形式利用了TCP/IP中的 定向广播的特性，共有三个参与角色：受害者、帮 凶（放大网络，即具有广播特性的网络）和攻击者。 攻击者向放大网络中的广播地址发送源地址（假冒） 为受害者系统的ICMP回射请求，由于广播的原因， 放大网络上的所有系统都会向受害者系统做出回应， 从而导致受害者不堪重负而崩溃 。
•
DoS与DDoS攻击检测与防御
眼泪攻击 原理： 利用在TCP/IP堆栈中实现信任IP碎片中的包的 标题头所包含的信息来实现自己的攻击。IP分段含 有指明该分段所包含的是原包的哪一段的信息，某 些TCP/IP(包括servicepack 4以前的NT)在收到含 有重叠偏移的伪造分段时将崩溃。 防御泪滴攻击的最好办法 升级服务包软件，如下载操作系统补丁或升级 操作系统等; 在设置防火墙时对分组进行重组，而不进行转 发，这样也可以防止这种攻击。
首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（ Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序 号。
服务器在收到客户端的 SYN报文后，将返回一个SYN+ACK的报文，表示客 户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement） 。
Internet
Targeted System
DoS与DDoS攻击检测与防御
Hacker Master Server 被控制计算机（代理端）
5
主机发送攻击信号给被控 制计算机开始对目标系统 发起攻击。
Internet
Targeted System
DoS与DDoS攻击检测与防御
Hacker 被控制计算机（代理端）
Flooding
Flooding
Flooding
Flooding
攻击目标
DoS与DDoS攻击检测与防御
预防DDoS攻击的措施 确保主机不被入侵且是安全的；
• •周期性审核系统； •检查文件完整性； •优化路由和网络结构； •优化对外开放访问的主机； •在网络上建立一个过滤器（filter）或侦测器
•
•
DoS与DDoS攻击检测与防御
针对拒绝服务攻击的防范措施
安装防火墙，禁止访问不该访问的服务端口，过滤不 正常的畸形数据包，使用NAT隐藏内部网络结构
安装入侵检测系统，检测拒绝服务攻击行为 安装安全评估系统，先于入侵者进行模拟攻击，以便 及早发现问题并解决 提高安全意识，经常给操作系统和应用软件打补丁
DoS与DDoS攻击检测与防御
分布式拒绝服务攻击网络结构图
客户端 客户端
主控端
主控端
主控端
主控端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
代 理 端
DoS与DDoS攻击检测与防御
分布式拒绝服务攻击步骤
Hacker 不安全的计算机
1
攻击者使用扫描工具 探测扫描大量主机以 寻找潜在入侵目标。
SYN
SYN
ACK | SYN
ACK | SYN
ACK
？？？
攻击者
其它正常用户能够得到响应
目标
DoS与DDoS攻击检测与防御
UDP-Flood攻击
•原理：
攻击者利用简单的TCP/IP服务，如Chargen和Echo来传 送毫无用处的占满带宽的数据。 通过伪造与某一主机的Chargen服务之间的一次的 UDP连接，回复地址指向开着Echo服务的一台主机，这 样就生成在两台主机之间存在很多的无用数据流，这些 无用数据流就会导致带宽的服务攻击。 **chargen:字符产生的缩写，输出一个可打印字符的 旋转序列，用于测试字符终端设备**
攻击者伪造源地址进行SYN请求 就是让 你白等
SYN （我可以和你连接吗？）
为何还 没回应
ACK | SYN（可以，请确认！）
？？？
攻击者
不能建立正常的连接 其它正常用户得不到响应 受害者
DoS与DDoS攻击检测与防御
SYN-Flooding攻击的防范措施
好像不 管用了
攻击者伪造源地址进行SYN请求
•
•
DoS与DDoS攻击检测与防御
Land攻击 原理： 用一个特别打造的SYN包，它的源地址和目标地址都被 设置成某一个服务器地址。此举将导致接收服务器向它自 己的地址发送SYN+ACK消息，结果这个地址又发回ACK消息 并创建一个空连接。被攻击的服务器每接收一个这样的连 接都将保留，直到超时，对Land攻击反应不同，许多UNIX 实现将崩溃，NT变的极其缓慢(大约持续5分钟)。 LAND攻击预防: 预防LAND攻击最好的办法是配置防火墙，对哪些在外 部接口入站的含有内部源地址的数据包过滤。
•
DoS与DDoS攻击检测与防御
DoS与DDoS攻击检测与防御
•检测：
如果在网络内检测到目标地址为广播地址的ICMP包。证明内 部有人发起了这种攻击（或者是被用作攻击，或者是内部人员所 为）；如果ICMP包的数量在短时间内上升许多(正常的ping程序 每隔一秒发一个ICMP echo请求)，证明有人在利用这种方法攻击 系统。 预防Smurf攻击 为了防止成为DoS 的帮凶，最好关闭外部路由器或防火墙 的广播地址特性； 为了防止被攻击，在防火墙上过滤掉ICMP报文，或者在服 务器上禁止Ping，并且只在必要时才打开ping服务。 Smurf 还有一个变种为 Fraggle 攻击，它利用 UDP 来代替 ICMP包。
被攻击主机上有大量等待的tcp连接网络中充斥着大量的无用的数据包源地址为假制造高流量无用数据造成网络拥塞使受害主机无法正常和外界通讯利用受害主机提供的服务或传输协议上的缺陷反复高速的发出特定的服务请求使受害主机无法及时处理所有正常请求严重时会造成系统死机dos与ddos攻击检测与防御?分布式拒绝服务攻击网络结构图客户端客户端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端dos与ddos攻击检测与防御?分布式拒绝服务攻击步骤不安全的计算机扫描程序不安全的计算机扫描程序hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标
（sniffer），在攻击信息到达网站服务器之前阻挡攻 击信息。
DoS与DDoS攻击检测与防御
对付DDoS的攻击的方法
•定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出
现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽， 是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重 要的。 在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDoS 攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一 些牺牲主机，这样保护真正的主机不被瘫痪。 用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如 果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用 户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户 被攻死，黑客已无力支招儿。 使用Inexpress、Express Forwarding过滤不必要的服务和端口， 即在路由器上过滤假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以针对封包 Source IP 和 Routing Table 做比较， 并加以过滤。
Internet
扫描程序
DoS与DDoS攻击检测与防御
Hacker 被控制的计算机(代理端)
2
黑客设法入侵有安全漏洞 的主机并获取控制权。这 些主机将被用于放置后门、 sniffer或守护程序甚至是 客户程序。
Internet
DoS与DDoS攻击检测与防御
Hacker
Master Server
被控制计算机（代理端）
DoS与DDoS攻击检测与防御
常见的拒绝服务攻击
SYN Flood攻击
•是利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽 (CPU满负荷或内存不足)的攻击方式。 •SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)， 而SYN Flood拒绝服务攻击就是通过三次握手而实现的。 •三次握手简介：
DoS与DDoS攻击检测与防御
DDoS攻击分类
•带Байду номын сангаас耗尽型
•
是堵塞目标网络的出口，导致带宽消耗不能提供正常的上网服务。例如常 见的Smurf攻击、UDP Flood攻击、MStream Flood攻击等。 针对此类攻击一般采取的措施就是QoS，在路由器或防火墙上针对此类数 据流限制流量，从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别， 并被丢弃。 资源耗尽型 攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如CPU、内 存等，导致无法提供正常服务。例如常见的Syn Flood攻击、NAPTHA攻击 等。 资源耗尽型攻击利用系统对正常网络协议处理的缺陷，使系统难于分辨正 常流和攻击流，导致防范难度较大，是目前业界最关注的焦点问题，例如方 正SynGate产品就是专门防范此类的产品。
最后，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加1 ，到此一个TCP连接完成。
DoS与DDoS攻击检测与防御
•SYN-Flooding攻击演示
正常的三次握手建立通讯的过程
SYN （我可以和你连接吗？）
ACK | SYN（可以，请确认！）
ACK （确认连接）
发起方
应答方
DoS与DDoS攻击检测与防御
DoS与DDoS攻击检测与防御
拒绝服务攻击(DoS) 分布式拒绝服务攻击(DDoS)
DoS与DDoS攻击检测与防御
1.拒绝服务攻击（DoS） DoS（Denial of Service）是一种利用合理的服务请求占用
过多的服务资源，从而使合法用户无法得到服务响应的网络攻 击行为。 被DoS攻击时的现象大致有： * 被攻击主机上有大量等待的TCP连接； * 被攻击主机的系统资源被大量占用，造成系统停顿； * 网络中充斥着大量的无用的数据包，源地址为假地址； * 高流量无用数据使得网络拥塞，受害主机无法正常与外 界通讯； * 利用受害主机提供的服务或传输协议上的缺陷，反复高 速地发出特定的服务请求，使受害主机无法及时处理所有正常 请求； * 严重时会造成系统死机。
DoS与DDoS攻击检测与防御
2.分布式拒绝服务攻击(DDoS) DDoS则是利用多台计算机，采用了分布式对单个或者多 个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”， 而不是传统的破坏和窃密;利用国际互联网遍布全球的计算 机发起攻击，难于追踪。 DDoS攻击由三部分组成 客户端程序（黑客主机） 控制点（Master） 代理程序（Zombie），或者称为攻击点（daemon）
• • •
DoS与DDoS攻击检测与防御
•充分利用网络设备保护网络资源。所谓网络设备是指路由器、防
火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻 击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重 启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服 务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过 程。 使用Unicast Reverse Path Forwarding检查访问者的来源。它 通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是 假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户， 很难查出它来自何处，因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。 限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量 来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的 超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有 黑客入侵。
黑客在得到入侵计算机 清单后，从中选出满足建 立网络所需要的主机，放 置已编译好的守护程序， 并对被控制的计算机发送 命令。
3
Internet
DoS与DDoS攻击检测与防御
Hacker 被控制计算机（代理端） Master Server
黑客发送控制命令给主机， 准备启动对目标系统的攻击
4 Using Client program,