DDoS攻击防御.pptVIP

DDoS攻击防御 冯超防DDoS攻击 DDoS攻击原理 攻击报文构造 3 DDoS简介 1 2 总结 4 DDoS简介 什么是DDOS？ DDOS是英文Distributed Denial of Service的缩写，意即分布式拒绝服务,DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。首先，我们来了解一下相关定义。 服务：系统提供的，用户在对其使用中会受益的功能。 拒绝服务：任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。 拒绝服务攻击：是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或 者使得服务质量降低 分布式拒绝服务攻击：处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。 DDoS攻击原理 如图所示，DDOS攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。这种攻击大多数是由黑客非法控制的电脑实施的。黑客非法控制一些电脑之后，把这些电脑转变为由地下网络远程控制的bots”，然后用这些电脑实施DDOS攻击。黑客还以每台为单位，低价出租这些用于攻击的电脑，真正拥有这些电脑的主人并不知道自己的计算机已经被用来攻击别人。由于有数百万台电脑现在已经被黑客变成了“bots”，因此这种攻击将非常猛烈。被DoS攻击时的现象： 1、网络中充斥着大量的无用的数据包； 2、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯； 3、利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求； 4、严重时会造成系统死机。 由于网络层的拒绝服务攻击有的利用了网络协议的漏洞，有的则抢占网络或者设备有限的处理能力，使得对拒绝服务攻击的防治成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备，在发生DDoS攻击的时候往往成为整个网络的瓶颈，造成全网的瘫痪。 报文构造 sumrf攻击 该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包而向被攻击主机发包，使该主机受到攻击。 报文构造 smurf报文构造 构造报文时注意目的IP为广播地址。 报文构造 右图为land攻击报文 注： land：源IP和目的IP相同。 daeqsa：目的MAC和源MAC地址相同。 tcpblat：源端口和目的端口相同。 udpblat：源端口和目的端口相同。 这四者报文构造类似，比较简单，以land攻击报文为例，其他攻击报文仿照即可。 报文构造 TCP类攻击报文介绍 XMA - XMAS scans send a packet with the FIN, URG, and PSH flags set. If the port is open, there is no response? but if the port is closed, the target responds with a RST/ACK packet. XMAS scans work only on target systems that follow the RFC 793 implementation of TCP/IP and don’t work against any version of Windows.Xmascan: sequence number is zero and the fin, urg and psh bit set. FIN - A FIN scan is similar to an XMAS scan but sends a packet with just the FIN flag set. FIN scans receive the same response and have the same limitations as XMAS scans. FIN A FIN scan is similar to an XMAS scan but sends a packet with just the FIN flag set. FIN scans receive the same response and have the same limitations as XMAS scans.