图解DoS与DDos攻击工具基本技术
DDoS攻击原理及工具介绍
新浪网相继遭到不名身份的黑客攻击,值得注意的是,在这些攻击行为中,黑客摈弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法,取而代之的是,在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手法为DDoS,即分布式拒绝服务攻击(Distributed denial of service )。
简单的讲,拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽资源,致使网络服务瘫痪的一种攻击手段。
在早期,拒绝服务攻击主要是针对处理能力比较弱的单机,如个人pc,或是窄带宽连接的网站,对拥有高带宽连接,高性能设备的网站影响不大,但在99年底,伴随着DDoS 的出现,这种高端网站高枕无忧的局面不复存在,与早期的DoS攻击由单台攻击主机发起,单兵作战相较,DDoS实现是借助数百,甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为,在这种几百,几千对一的较量中,网络服务提供商所面对的破坏力是空前巨大的。
拒绝服务攻击自问世以来,衍生了多种形式,现将两种使用较频繁的TCP-SYN flood,UDP flood 做一个介绍。
TCP-SYN flood又称半开式连接攻击,每当我们进行一次标准的TCP连接(如WWW浏览,下载文件等)会有一个一个三次握手的过程,首先是请求方向服务方发送一个SYN消息,服务方收到SYN 后,会向请求方回送一个SYN-ACK表示确认,当请求方收到SYN-ACK后则再次向服务方发送一个ACK消息,一次成功的TCP连接由此就建立,可以进行后续工作了,如图所示:而TCP-SYN flood在它的实现过程中只有前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认消息后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间处于等待接收请求方ACK消息的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器可用TCP连接队列很快将会阻塞,系统可用资源,网络可用带宽急剧下降,无法向用户提供正常的网络服务。
DoS和DDoS攻击全解
四川工程职业技术学院计算机科学系
减少危险总则
严格的网络安全政策,限定进出信息 联系网络设备商,操作系统商,安装最新补丁 联系ISP,实施防护 监测系统登录数据,网络信息流 路由器,防火墙添加过滤规则 定期进行漏洞扫描,确保系统没有“僵尸”程序 尽早实施实时监控系统
(6)Winnuke
发送特别构造的TCP包,使得Windows机器蓝屏 使得分散在因特网各处的机器共同完成对一台主机 攻击的操作,从而使主机看起来好像是遭到了不同 位置的许多主机的攻击。
(7)分布式拒绝服务攻击
四川工程职业技术学院计算机科学系
DDoS的种类
分布式拒绝服务攻击工具-- Trinoo
Trinoo守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的, 这些主机是被攻击者利用RPC服务安全漏洞“statd”、“cmsd”和 "ttdbserverd"入侵的。
分布式拒绝服务攻击工具-- Tribe Flood Network
德国著名黑客Mixter(年仅20岁)编写的分布式拒绝服务攻击工具——“Tribe Flood Network(TFN)” TFN与另一个分布式拒绝服务攻击工具"Trinoo"相似,都在互联网的大量Unix系统中开发和测试。
6.3.1 DoS工具TfGen的使用
TfGen是一个免费的流量生成的软件。它可以 向目标主机的特定端口发送TCP和UDP的数据 包,以模拟网络流量。
四川工程职业技术学院计算机科学系
6.3.2 DoS工具WAN Killer的使用
WAN Killer也是一款简单小巧的流量生成的 软件,是网络管理软件Solarwinds中的一个 组件。
DDOS攻击原理与攻击技术2
2、Land-based
IP欺骗:使得被信任的主机丧失工作 能力,同时采样目标主机发出的TCP 序 列号,猜测出它的数据序列号。然后,伪装成 被信任的主机,同时建立起与目标主机基于地址 验证的应用连接。 攻击者将一个包的源地址和目的地址都设置为目标 主机的地址,然后将该包通过IP欺骗的方式发送给被 攻击主机,这种包可以造成被攻击主机因试图与自己 建立连接而陷入死循环,从而很大程度地降低了系统 性能。
Smurf攻击
Smurf攻击 的作用原理就是基于 广播地址与回应请求的。该攻击 向一个子网的广播地址发一个带 有特定请求(如ICMP回应请求) 的包,并且源地址伪装成想要攻 击的主机地址,子网上所有主机 都会用广播包请求而向被攻击主 机发包,使该主机受到攻击。
Surf攻击原理图
smuf攻击的过程
一多一
多对一
DoS攻击原理(图)
3、DDOS攻击原理
实际发起攻击
上传DDoS程序 只 发 布 命 令
攻 击
控制
分析:
对第4部分的受害者来说,DDoS的实
际攻击包是从第3部分攻击傀儡机上 发出的,第2部分的控制机只发布命 令而不参与实际的攻击。
分析:
对第2和第3部分计算机,黑客有控制权或 者是部分的控制权,并把相应的DDoS程序上传 到这些平台上,这些程序与正常的程序一样运 行并等待来自黑客的指令,通常它还会利用各 种手段隐藏自己不被别人发现。 在平时,这些傀儡机器并没有什么异常,只 是一旦黑客连接到它们进行控制,并发出指令 的时候,攻击傀儡机就成为害人者去发起攻击 了。
该攻击在短时间内向目的主机发送大量ping包, 造成网络堵塞或主机资源耗尽。
5、原理介绍(surf)
一台计算机向另一台计算机发送一些特 殊的数据包如ping请求时,会接到它的 回应;如果向本网络的广播地址发送请 求包,实际上会到达网络上所有的 计 算机,这时就会得到所有计算机的回应。 这些回应是需要被接收的计算机处理的, 每处理一个就要占用一份系统资源,如 果同时接到网络上所有计算机的回应, 接收方的系统是有可能吃不消的.
DDoS攻击介绍PPT
~2分钟
无暇理睬正常的连接 请求—拒绝服务
DDoS攻击介绍——ACK Flood
ACK Flood 攻击原理
查查看表 内有没有
攻击表象
你就慢 慢查吧
ACK (你得查查我连过你没 )
ACK/RST(我没有连过你呀 )
受害者
大量ACK冲击服务器
DRDoS是英文“Distributed Reflection Denial of Servie ”的缩写, 中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同, 该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机, 然后攻击主机对IP地址源做出大量回应,形成拒绝服务攻击。 由于是利用TCP/IP服务的“三次握手”的第二步,因此攻击者 无需给被攻击者安装木马,发动DRDoS也只要花费攻击者很少 的资源。
‘Zombie ’
DNS Email
Attack Zombies:
▪ Massively distributed 大规模分布式
▪ Spoof Source IP源IP欺骗
▪ Use valid protocols 使用有效的协议
Server-level DDoS attacks
Infrastructure-level DDoS attacks
常见的DoS攻击判断方法
判断与分析方法
网络流量的明显特征 操作系统告警 单机分析 arp/Netstate/本机sniffer 输出 单机分析 抓包分析 –中小规模的网络 网络设备的输出 –中小规模的网络 Netflow分析 -骨干网级别的分析方式
DDOS攻击基础补充
DRDOS(分布式反射拒绝服务)
• 形式 – DRDoS/ACK Flood – Zombie Net/BOTNET – Proxy Connection Flood – DNS Flood
DoS、DDoS攻击防护
DoS/DDoS攻击防护拒绝服务(Denial of Service,DoS)攻击带来的最大危害是服务不可达而导致业务丢失,而且,这样的危害带来的影响,在攻击结束后的很长一段时间内都无法消弥。
最近流行的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击使得企业和组织在已经很沉重的成本负担上雪上加霜。
什么是DoS攻击?DoS攻击是一种基于网络的、阻止用户正常访问网络服务的攻击。
DoS攻击采用发起大量网络连接,使服务器或运行在服务器上的程序崩溃、耗尽服务器资源或以其它方式阻止客户访问网络服务,从而使网络服务无法正常运作甚至关闭。
DoS攻击可以是小至对服务器的单一数据包攻击,也可以是利用多台主机联合对被攻击服务器发起洪水般的数据包攻击。
在单一数据包攻击中,攻击者精心构建一个利用操作系统或应用程序漏洞的攻击包,通过网络把攻击性数据包送入被攻击服务器,以实现关闭服务器或者关闭服务器上的一些服务。
DDoS由DoS攻击演变而来,这种攻击是黑客利用在已经侵入并已控制(可能是数百,甚至成千上万台)的机器上安装DoS服务程序,这些被控制机器即是所谓的“傀儡计算机”(zombie)。
它们等待来自中央攻击控制中心的命令。
中央攻击控制中心在适时启动全体受控主机的DoS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DoS洪流冲击目标系统,猛烈的DoS攻击同一个网站。
H3C IPS的解决方案为应对愈来愈猖獗的DoS和DDoS攻击,H3C研发了一整套防护机制来对付攻击者所使用的各种手法。
H3C的工作在线内(in-line)方式的系列入侵防御系统(Intrusion Prevention System,IPS),检查经过的进出流量中每个比特并过滤掉不想要的流量,在线保护与之连接的网络和主机。
H3C防护可分为两类:标准DoS防护和高级DDoS防护。
标准DoS防护为针对漏洞、攻击工具及异常流量提供基础的防护。
第七章DOS和DDOS攻击
(2)按病毒破坏程度分: • 良性病毒 • 恶性病毒
7.2.1
(3)按病毒寄生方式分: • 引导型病毒 • 文件型病毒 • 宏病毒 • 网页脚本病毒 • 蠕虫病毒
计算机病毒概述
7.2.1
计算机病毒概述
4.计算机病毒的主要来源 (1)引进的计算机系统和软件中带有病毒。 (2)各类出国人员带回的机器和软件染有病毒。 (3)一些游戏软件染有病毒。 (4)非法复制中毒。 (5)计算机生产、经营单位销售的机器和软件染有病毒。 (6)维修部门交叉感染。 (7)有人研制、改造病毒。 (8)敌对分子以病毒进行宣传和破坏。 (9)通过Internet传入。
•
ARP欺骗与防御
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域 网内所有的主机和路由器,让所有的流量必须经过病毒主机。其 他用户原来直接通过路由器上网现在转由通过病毒主机上网,切 换时用户会断一次线。切换到病毒主机上网后,如果用户已经登 录了游戏服务器,那么病毒主机就会经常伪造断线的假象,用户 就得重新登录游戏服务器,这样病毒主机就可以盗号了。 • 由于进行ARP欺骗的木马程序发作时会发出大量的数据包,导 致局域网通信拥塞,并且由于局域网自身处理能力有限,用户会 感觉上网速度越来越慢。当进行ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网,切换过程中用户会再断一次线。
7.3.2
ARP欺骗与防御
ARP病毒攻击的防御方法有: • (1)在网络所有结点计算机上安装ARP防火墙。 • (2)设置静态的MAC地址与IP地址对应表,不要让主机刷新设定 好的转换表。
7.3.3
特洛伊木马攻击与防御
•
特洛伊木马(trojan horse)简称“木马”。木马程序是目前比较 流行的病毒,与一般的病毒不同,它不会自我繁殖,也并不刻意 地去感染其他文件,它通过将自身伪装而吸引用户下载执行,向 施种木马者提供打开被种者计算机的门户,使施种者可以任意毁 坏、窃取被种者的文件,甚至远程操控被种者的计算机。
ddos攻击的基本原理和方法
ddos攻击的基本原理和方法DDoS(分布式拒绝服务)攻击是一种常见的网络安全威胁,它旨在通过向目标服务器发送大量的请求,以使其超负荷运行或完全瘫痪。
本文将详细介绍DDoS攻击的基本原理和方法。
一、DDoS攻击的基本原理DDoS攻击的基本原理是利用大量的计算机或设备同时向目标服务器发送请求,从而占用其带宽、处理能力和资源,导致服务不可用。
这些计算机或设备被称为“僵尸”或“肉鸡”,通常是通过恶意软件感染而成为攻击者控制的一部分。
攻击者通常使用以下几种方法来发动DDoS攻击:1. 带宽洪泛:攻击者利用多个计算机或设备同时向目标服务器发送大量数据包,占据目标服务器的带宽资源,导致其他合法用户无法正常访问。
2. 连接洪泛:攻击者利用多个计算机或设备同时建立大量TCP连接到目标服务器,耗尽其连接资源,使其无法处理新的连接请求。
3. 应用层洪泛:攻击者针对目标服务器上的特定应用程序发动高频率请求,消耗目标服务器的处理能力,导致应用程序无法正常工作。
二、DDoS攻击的方法1. 分布式反射放大攻击(DRDoS):攻击者通过伪造目标服务器的IP 地址向多个具有放大效应的服务器发送请求。
这些服务器将响应发送回目标服务器,从而使攻击流量增加数倍。
常见的反射放大协议包括DNS(域名系统),NTP(网络时间协议)和SSDP(简单服务发现协议)。
2. SYN洪泛攻击:攻击者向目标服务器发送大量TCP连接请求,并在建立连接后不发送确认信号,从而使目标服务器耗尽连接资源并无法响应合法用户的请求。
3. HTTP洪泛攻击:攻击者利用多个计算机或设备向目标服务器发送大量HTTP请求,以消耗其处理能力和带宽资源。
这种攻击方式通常会模拟合法用户的行为,使其更难被检测和防御。
4. DNS洪泛攻击:攻击者利用大量感染了恶意软件的计算机或设备向DNS服务器发送大量查询请求,导致DNS服务器超负荷运行或崩溃。
这将导致无法解析域名,从而使受害者无法访问其网站或服务。
dos与ddos攻击与防范措施
毕业设计(论文)题目:Dos与DDos攻击与防范措施论文题目:Dos与DDos攻击与防范措施摘要::通过专业防火墙+入侵检测系统,建立网络级的检测和防范屏障。
在企业网内部通过加强安全教育,提高安全意识,结合简单易行的检测方法,安装杀毒软件和最新系统补丁,能有效地将DoS和DDoS攻击造成的损失降到最小。
关键词::DoS;DDoS;攻击;防范毕业设计(论文)原创性声明和使用授权说明原创性声明本人郑重承诺:所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。
尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历而使用过的材料。
对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。
作者签名:日期:指导教师签名:日期:使用授权说明本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即:按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。
作者签名:日期:学位论文原创性声明本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
作者签名:日期:年月日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
DDoS攻击介绍PPT(共24张)
占领傀儡机
1、链路状态好的主机 2、性能不好的主机 3、安全管理水平差的主机
实施攻击
1、向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。
2、一般会以远远超出受害方处理能力的速度进行攻击,他们不会"怜香惜玉"。 3、老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进
DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击主机 BGP,然后在根据TCP三次握手的规则,这些攻击主机BGP会向源IP (受害者IP)发出SYN+ACK包来响应这些请求,造成受害者主机忙 于处理这些回应而被拒绝服务攻击。
第18页,共24页。
被DDoS攻击(gōngjī)时的现象
8.限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽, 这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是 有骇客入侵。
第22页,共24页。
DDoS防御(fángyù)的方法:
1.采用高性能的网络设备 2.尽量避免NAT的使用 3.充足的网络带宽保证
能瞬间造成对方电脑死机或者假死,有人曾经 测试过,攻击不到1秒钟,电脑就已经死机和 假死,鼠标图标不动了,系统发出滴滴滴滴的 声音。还有CPU使用率高等现象。
第19页,共24页。
DDoS攻击一般(yībān)步骤:
搜集了解目标的情况
1、被攻击目标主机数目、地址情况 2、目标主机的配置、性能
DNS Flood
第7页,共24页。
攻击与防御技术
DDoS技术(jìshù)篇
8
第8页,共24页。
DDoS攻防详解
Байду номын сангаасDOS 攻击方式
DNS NXDOMAIN 洪水攻击
是DNS QUERY的一种变种攻击方式,区别在于后者是向DNS服务器查 询一个真实存在的域名系统,而NXDOMAIN 是查询一个不存在的域 名。
HTTP 洪水攻击
常见的HTTP请求有GET和POST请求两种,通常,GET请求用于从 WEB服务器获取数据和资源,POST请求用于向WEB服务器提交 数据和资源。在处理这些请求过程中,WEB服务器通常需要解 析请求、处理和执行服务端脚本、验证用户权限并多次访问数 据库,这会消耗大量的计算资源和IO访问资源。 方法: 攻击者利用大量受控主机不断地向WEB服务器恶意发送大量的 HTTP请求,要求WEB服务器处理,就会完全占用服务器的资源, 造成其它正常用户的WEB访问请求处理缓慢甚至得不到处理, 导致拒绝服务。 总结: HTTP洪水攻击的目前对WEB服务威胁最大的攻击之一,有大量 的攻击工具支持http洪水攻击,发动简单其效果明显,已经成 为攻击者使用的主要攻击方式之一。
Slowloris攻击
DDOS防护措施
DDOS protective measures
安恒DDOS防护设备
DDOS攻击防护
1、连接跟踪:他会对针对进出的连接均进行连接跟踪,并在跟踪的同时进 行防护,彻底解决针对 TCP 协议的各种攻击。
DDOS攻击防护
2、报文规则过滤:明御抗 DDOS 网关提供了面向报文的通用规则匹配功 能,可设置的域包括地址、端口、标志位, 关键字等, 极大的提高了通用 性及防护力度。 同时, 内置了若干预定义规则,涉及局域网防护、漏洞检 测等多项功能。
DDOS 攻击方式
DNS QUERY洪水攻击
DNS QUERY洪水攻击是指向DNS服务器发送大量查询请求已达到拒绝 服务效果的一种攻击方法。 进行DNS QUERY洪水攻击的要点是在于每一个DNS解析请求所查询的 域名应用是不同的,这样可以比较有效的避开DNS服务器缓存中的 解析记录,达到更好的资源消耗效果。
DDoS攻击基础教程
DDoS攻击基础教程简介TFN被认为是当今功能最强性能最好的DoS攻击工具,几乎不可能被察觉。
每一个人都应该意识到假如他不足够关心他的安全问题,最坏的情形就会发生。
因此这个程序被设计成大多数的操作系统可以编译,以表明现在的操作系统没有特别安全的,包括Windows,Solaris,Linux及其他各种unix.术语客户端——用于通过发动攻击的应用程序,攻击者通过它来发送各种命令。
守护程序——在代理端主机运行的进程,接收和响应来自客户端的命令。
主控端——运行客户端程序的主机。
代理端——运行守护程序的主机。
目标主机——分布式攻击的目标(主机或网络)。
什么是TFN2KTFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。
当前互联网中的UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击,而且这个工具非常容易被移植到其它系统平台上。
&TFN2K由两部分组成:在主控端主机上的客户端和在代理端主机上的守护进程。
主控端向其代理端发送攻击指定的目标主机列表。
代理端据此对目标进行拒绝服务攻击。
由一个主控端控制的多个代理端主机,能够在攻击过程中相互协同,保证攻击的连续性。
主控央和代理端的网络通讯是经过加密的,还可能混杂了许多虚假数据包。
整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。
而且主控端还能伪造其IP地址。
所有这些特性都使发展防御TFN2K攻击的策略和技术都非常困难或效率低下。
TFN2K的技术内幕◆主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据包向代理端主机发送命令。
对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING (SMURF)数据包flood等。
◆主控端与代理端之间数据包的头信息也是随机的,除了ICMP总是使用ICMP_ECHOREPLY类型数据包。
◆与其上一代版本TFN不同,TFN2K的守护程序是完全沉默的,它不会对接收到的命令有任何回应。
2012版04(DoS与DDoS攻击) 网络安全课件
攻击运行原理
DDoS攻击体系结构
攻击运行原理
被DoS/DDoS攻击时的现象
网络中充斥着大量的无用的数据包,源地址为 假。
制造高流量无用数据,造成网络拥塞,使受害 主机无法正常和外界通讯。
受害主机无法及时处理所有正常请求。 受害主机响应缓慢,严重时会造成系统死机。
如何组织一次DDoS攻击
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报:
被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽
如何组织一次DDoS攻击
对于DDoS攻击者来说,攻击互联网上的某个站点,首 先要确定到底有多少台主机在支持这个站点,一个大的 网站一般有很多台主机利用负载均衡技术提供同一个网 站的www服务。
SYN Flood攻击 Smurf攻击 ACK Flood攻击 Connection Flood攻击 HTTP Get攻击 UDP DNS Query Flood攻击
毒包型(Killer Packet)攻击
Teardrop攻击 小片段攻击 重叠分片攻击 重组攻击 Land攻击
当防火墙中代理连接的队列被填满时,防火墙拒绝来自相同区 域中所有地址的新SYN片段,避免网络主机遭受不完整的三次 握手的攻击。
这种方法在攻击流量较大的时候,连接出现较大的延迟,网络 的负载较高,很多情况下反而成为整个网络的瓶颈。
SYN Flood防护策略
防护算法
SYN proxy算法:这种算法对所有的SYN包均主动回应, 探测发起SYN包的源IP地址是否真实存在;如果该IP地 址真实存在,则该IP会回应防护设备的探测包,从而建 立TCP连接;大多数的国内外抗拒绝服务产品采用此类 算法。
攻击实例1-- SYN Flood攻击
DDOS攻击方式和原理 ppt课件
DDOS攻击原理
SYN洪水攻击
攻击者发送大量的伪造了IP地址的SYN包给服务器, 服务器回应(SYN+ACK)包,但是因为对方是假冒IP,对方 永远收不到包,所以也就不会回应ACK包,这样的话, 服务器不知道(SYN+ACK)是否发送成功。导致被攻击服务 器保持大量SYN_RECV状态的“半连接”,默认情况下会 重试5次。于是大量的半连接状态塞满TCP等待连接队列, 资源耗尽(CPU满负荷或内存不足),让正常的业务请 求连接不进来。造成了拒绝服务攻击的目的。
消耗应用资源的分布式拒绝服务攻击就是通过向应 用提交大量消耗资源的请求,从而达到拒绝服务攻 击的目的 由于DNS和web应用的广泛,以及其在互联网上的 重要性,成为了消耗应用资源攻击的主要攻击目标。
15
DDOS攻击原理
DNS QUERY洪水攻击
攻击者向被攻击的服务器发送大量的域名解析请求, 通常请求解析的域名是随机生成或者是网络世界上根本 不存在的域名,被攻击的DNS服务器在接收到域名解析 请求的在服务器上查找不到,并且该域名无法直接由服 务器解析的时候,DNS服务器会向其上层DNS服务器递归 查询域名信息。域名解析的过程给服务器带来了很大的 负载,每秒钟域名解析请求超过一定的数量就会造成 DNS域名服务解析域名超时。
18
end
谢 谢!
19
16
DDOS攻击原理
HTTP洪水攻击
超文本传输协议(HTTP)是互联网上应用最为广泛的 一种网络协议。Web服务通常使用HTTP进行请求和响应 数据的传输。
HTTP洪水攻击,也被称之为CC攻击。攻击者利用大 量的受控主机不断向Web服务器发送大量HTTP请求,那 么Web服务器要处理这些请求就会完全占用服务器资源, 造成其他正常用户访问Web服务的请求无法处理,造成 拒绝服务攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DoS (Denial of Service)攻击其中文含义是拒绝服务攻击,这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
黑客不正当地采用标准协议或连接方法,向攻击的服务发出大量的讯息,占用及超越受攻击服务器所能处理的能力,使它当(Down)机或不能正常地为用户服务。
“拒绝服务”是如何攻击的通过普通的网络连线,使用者传送信息要求服务器予以确定。
服务器于是回复用户。
用户被确定后,就可登入服务器。
“拒绝服务”的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。
所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。
服务器于是暂时等候,有时超过一分钟,然后再切断连接。
服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器无法动弹,瘫痪在地。
在这些 DoS 攻击方法中,又可以分为下列几种:TCP SYN FloodingSmurfFraggle1.TCP Syn Flooding由于TCP协议连接三次握手的需要,在每个TCP建立连接时,都要发送一个带SYN标记的数据包,如果在服务器端发送应答包后,客户端不发出确认,服务器会等待到数据超时,如果大量的带SYN标记的数据包发到服务器端后都没有应答,会使服务器端的TCP资源迅速枯竭,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。
这就是TCPSYN Flooding攻击的过程。
图1 TCP Syn攻击TCP Syn 攻击是由受控制的大量客户发出 TCP 请求但不作回复,使服务器资源被占用,再也无法正常为用户服务。
服务器要等待超时(Time Out)才能断开已分配的资源。
2.Smurf 黑客采用 ICMP(Internet Control Message Protocol RFC792)技术进行攻击。
常用的ICMP有 PING 。
首先黑客找出网络上有哪些路由器会回应 ICMP 请求。
然后用一个虚假的 IP 源地址向路由器的广播地址发出讯息,路由器会把这讯息广播到网络上所连接的每一台设备。
这些设备又马上回应,这样会产生大量讯息流量,从而占用所有设备的资源及网络带宽,而回应的地址就是受攻击的目标。
例如用500K bit/sec 流量的 ICMP echo (PING)包广播到100 台设备,产生 100 个 PING 回应,便产生 50M bit/sec流量。
这些流量流向被攻击的服务器,便会使这服务器瘫痪。
ICMP Smurf 的袭击加深了ICMP的泛滥程度,导致了在一个数据包产生成千的ICMP数据包发送到一个根本不需要它们的主机中去,传输多重信息包的服务器用作Smurf 的放大器。
图2 Smurf 攻击图3.Fraggle:Fraggle基本概念及做法像 Smurf, 但它是采用UDP echo 讯息。
如何阻挡“拒绝服务”的攻击阻挡“拒绝服务”的攻击的常用方法之一是:在网络上建立一个过滤器(filter)或侦测器(sniffer),在信息到达网站服务器之前阻挡信息。
过滤器会侦察可疑的攻击行动。
如果某种可疑行动经常出现,过滤器能接受指示,阻挡包含那种信息,让网站服务器的对外连接线路保持畅通。
DDoS:DDoS(Distributed Denial of Service)其中文含义为分布式拒绝服务攻击。
Distributed DoS 是黑客控制一些数量的PC 机或路由器,用这些 PC 机或路由器发动 DoS 攻击。
因为黑客自己的 PC 机可能不足够产生出大量的讯息,使遭受攻击的网络服务器处理能力全部被占用。
黑客采用 IP Spoofing 技术,令他自己的 IP 地址隐藏,所以很难追查。
如果是在Distributed DoS 情况下,被追查出来的都是被黑客控制的用户的 IP 地址;他们本身也是受害者。
黑客一般采用一些远程控制软件,好像Trinoo, Tribal Flood Network, Stacheldraht 及其他DoS 程序。
美国政府资助的cERT (Computer Emergency Response Team) 及 FBI都有免费软件如 find_dosv31,给企业检查自己的网络有没有被黑客安装这些远程控制软件。
但黑客亦同时在修改软件以逃避这些检查软件。
这是一场持久的网上战争。
图3 黑客图攻击者在Client(客户端)操纵攻击过程。
每个Handler(主控端)是一台已被入侵并运行了特定程序的系统主机。
每个主控端主机能够控制多个Agent(代理端)。
每个代理端也是一台已被入侵并运行某种特定程序的系统主机。
每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包。
为了提高分布式拒绝服务攻击的成功率,攻击者需要控制成百上千的被入侵主机。
这些主机通常是Linux和SUN机器,但这些攻击工具也能够移植到其它平台上运行。
这些攻击工具入侵主机和安装程序的过程都是自动化的。
这个过程可分为以下几个步骤:1、探测扫描大量主机以寻找可入侵主机目标。
2、入侵有安全漏洞的主机并获取控制权。
3、在每台入侵主机中安装攻击程序。
4、利用已入侵主机继续进行扫描和入侵。
由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。
也就是说,在短短的一小时内可以入侵数千台主机。
几种常见分布式拒绝服务攻击工具的特征至今为止,攻击者最常使用的分布式拒绝服务攻击程序包括4种:Trinoo、TFN、TFN2K和Stacheldraht。
以下是攻击者常用的分布式拒绝服务攻击工具:Trinoo客户端、主控端和代理端主机相互间通讯时使用如下端口:1524 tcp27665 tcp27444 udp31335 udp重要提示:以上所列出的只是该工具的缺省端口,仅作参考。
这些端口可以轻易被修改。
TFN(Tribal Flood Network)客户端、主控端和代理端主机相互间通讯时使用ICMP ECHO和ICMP ECHO REPLY数据包Stacheldraht客户端、主控端和代理端主机相互间通讯时使用如下端口和数据包:16660 tcp65000 tcpICMP ECHOICMP ECHO REPLY重要提示:以上所列出的只是该工具的缺省端口,仅作参考。
这些端口可以轻易被修改。
TFN2K客户端、主控端和代理端主机相互间通讯时并没有使用任何指定端口(在运行时指定或由程序随机选择),但结合了UDP、ICMP和TCP数据包进行通讯。
拒绝服务攻击工具"进化"过程最容易的攻击方法之一是拒绝服务(Denial of Service)攻击。
在TCP/IP堆栈中存在许多漏洞,如允许碎片包、大数据包、IP路由选择、半公开TCP连接、数据包flood等等,这些都能够降低系统性能,甚至使系统崩溃。
每发现一个漏洞,相应的攻击程序往往很快就会出现。
每一个攻击程序都是独立的。
一个特定的漏洞攻击程序往往只影响某一版本的TCP/IP协议(虽然 Mircosoft拥有非常庞大的个人计算机市场,大多数的家庭用户几乎完全没有意识到这些漏洞的存在,也不知道如何得到和使用安全漏洞的补丁程序,多种漏洞攻击方法导致目标系统崩溃的机率相当高。
)拒绝服务攻击程序可从互联网上下载得到,如以下网址:接着就是用Unix shell脚本将多种的拒绝服务攻击程序组合到一个工具里。
"rape"就是这样一种工具:这种工具的优点是允许一个攻击者使用多种攻击方法同时攻击单个IP地址(这增加了攻击成功的概率),但也意味着必须将所有编译好的攻击程序打包好(如Unix的"tar"文件),以方便传输和进行攻击。
在允许使用多种拒绝服务攻击方法的情况下,同时又是一个单一的、更易于保存/传输/和使用的已编译程序,就是类似于Mixter编写的"targa.c"这种程序。
Targa程序在一个C源程序中结合了以下多种攻击方法:但是,即使是象"targa"这类多种拒绝服务攻击组合工具,一个攻击者在同一时间内也只能攻击一个IP地址。
为了增加攻击的效率,一群攻击者们需要通过IRC频道或电话来保持联系,每一个人攻击不同的系统,实现团体攻击。
这种方法在探测漏洞、入侵系统、安装后门和rootkit的行动中也经常被使用。
即使存在一些使用限制,但至少在两年内,这个工具不断地增加各种攻击程序,形成了一个名为 "Denial of Service Cluster"(拒绝服务集群)软件包。
"trinoo"工具就是这样一个例子。
而在计算机黑客界中也有一个由Mixter编写的类似工具"Tribe Flood Network"(TFN)。
与trinoo只实现UDP攻击相比,TFN支持ICMP flood、UDP flood、SYN flood和Smurf攻击等。
这些攻击通过发送ICMP_ECHOREPLY(ICMP Type 0)包命令控制。
TFN也使用了与trinoo 一样的Blowfish加密算法。
在今后的日子里,这些拒绝服务工具包将会得到进一步的发展与完善,功能更强大,隐蔽性更强,关键字符串和控制命令口令将使用更强壮加密算法,甚至对自身进行数字签名,或在被非攻击者自己使用时自行消毁,使用加密通讯通道,使用象ICMP这种令防火墙更难监测或防御的协议进行数据包传输,等等。
常见的DoS攻击拒绝服务攻击是一种对网络危害巨大的恶意攻击。
今天,DoS具有代表性的攻击手段包括Ping of Death、TearDrop、UDP flood 、SYN flood、Land Attack、IP Spoofing DoS等。
我们看看它们又是怎么实现的。
死亡之ping ( ping of death ) :ICMP (Internet Control Message Protocol,Internet控制信息协议)在Internet上用于错误处理和传递控制信息。
它的功能之一是与主机联系,通过发送一个"回音请求"(echo request)信息包看看主机是否"活着"。
最普通的ping程序就是这个功能。
而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定,许多操作系统的TCP/IP协议栈都规定ICMP 包大小为64KB,且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。
"Ping of Death " 就是故意产生畸形的测试Ping (Packet Internet Groper)包,声称自己的尺寸超过ICMP 上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP 协议栈崩溃,最终接收方荡机。