WAP服务开发计划书-幻灯片.pptVIP

DDOS 分布式拒绝服务攻击 分布式拒绝服务攻击的实施及预防措施 攻击 1) 分布式拒绝服务攻击(DDoS)的概念以及它与拒绝服务攻击的区别。 2) DDoS攻击的过程和攻击网络结构。 3) DDoS攻击所利用的协议漏洞 4) DDoS的几种攻击方式 5) 一种新的DDoS攻击方式——反弹攻击 防御 1) DDoS攻击的防范原理。 2) DDoS攻击发生时网络出现的异常情况。 3) 防范中的软硬件使用 4) 拒绝服务监控系统的设计 DDoS的诞生 1999年8月以来，出现了一种新的网络攻击方法，这就是分布式拒绝攻击（DDoS）。之后这种攻击方法开始大行其道，成为黑客攻击的主流手段。Yahoo、eBay、CNN等众多知站点相继被身份不明的黑客在短短几天内连续破坏，系统瘫痪达几个小时甚至几十个小时之久。 拒绝服务攻击 拒绝服务攻击（Denial of Service）——是一种个人或多人利用Internet协议的某些漏洞，拒绝其他用户对系统和信息的合法访问的攻击。 这类攻击使服务器充斥大量要求恢复的非法用户的信息和请求，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至瘫痪而停止提供正常的网络服务。 被DDoS攻击时的现象 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 严重时会造成系统死机  很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。 分布式拒绝服务攻击 分布式拒绝服务攻击（Distributed Denial of Service）是对拒绝服务攻击的发展。 攻击者控制大量的攻击源，然后同时向攻击目标发起的一种拒绝服务攻击。海量的信息会使得攻击目标带宽迅速消失殆尽。 相对于一般的拒绝服务攻击，分布式拒绝服务攻击有以下两个特点： 分布式拒绝服务攻击特点 由于集中了成百上千台机器同时进行攻击，其攻击力是十分巨大的。即使像Yahoo，Sina等应用了可以将负荷分摊到每个服务器的集群服务器（cluster server）技术，也难以抵挡这种攻击。 多层攻击网络结构使被攻击主机很难发现攻击者，而且大部分装有主控进程和守护进程的机器的合法用户并不知道自己是整个拒绝服务攻击网络中的一部分，即使被攻击主机监测到也无济于事。 DDoS攻击过程 攻击过程主要有两个步骤：攻占代理主机和向目标发起攻击。具体说来可分为以下几个步骤： 1探测扫描大量主机以寻找可入侵主机； 2入侵有安全漏洞的主机并获取控制权； 3在每台被入侵主机中安装攻击所用的客户进程或守护进程； 4向安装有客户进程的主控端主机发出命令，由它们来控制代理主机上的守护进程进行协同入侵。 DDoS攻击的网络结构 　DDOS的表现形式 一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机； 另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。 DDoS所利用的协议漏洞 1）利用 IP源路由信息的攻击 由于 TCP/ IP体系中对 IP数据包的源地址不进行验证，所以攻击者可以控制其众多代理端用捏造的IP地址发出攻击报文，并指明到达目标站点的传送路由，产生数据包溢出。 2）利用 RIP协议的攻击 RIP是应用最广泛的路由协议，采用 RIP的路由器会定时广播本地路由表到邻接的路由器，以刷新路由信息。通常站点接收到新路由时直接采纳，这使攻击者有机可乘。 DDoS所利用的协议漏洞（续）. 3）利用 ICMP的攻击 绝大多数监视工具不显示ICMP包的数据部分，或不解析ICMP类型字段，所以 ICMP数据包往往能直接通过防火墙。例如，从攻击软件TFN (Tribe flood network)客户端到守护程序端的通讯可直接通过 ICMP- ECHOREPLY (Type0 )数据包完成。