拒绝服务攻击内部讨论交流20040813.pptVIP

快速监测和判别DDoS攻击 异常现象3：不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议（包括基于连接的协议）通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。 快速监测和判别DDoS攻击 异常现象4：数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K（及其变种）的特征模式是在数据段中有一串A字符（AAA……），这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码，对于使用了加密算法数据包，这个连续的字符就是“\0”。 快速监测和判别DDoS攻击 异常现象5：数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件，但如果这些数据包不属于正常有效的通讯时，可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包。（如果实施这种规则，必须将20、21、80等端口上的传输排除在外。） 日常防范DDoS工作 对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。 1.及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。? 日常防范DDoS工作 2.在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。?3.利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。? 日常防范DDoS工作 4.与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。?5.当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。? 日常防范DDoS工作 6.如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。 结束 * ` 拒绝服务攻击 内部交流讨论用稿 DOS攻击事件危害性 CERT统计2003年上报的攻击事件40%属于DOS攻击 2000年4月包括YAHOO在内的多家国外著名网站受到DDOS攻击导致服务中断 2002年因特网顶级域名服务器受到DDOS攻击 DoS攻击特点 难于防范：最严重的拒绝服务攻击大都基于协议层缺陷，无法用系统升级和打补丁的方式预防 破坏力强：全球诸多大型网络服务商都曾饱受其害，包括Yahoo(雅虎)、Amazon(亚马逊)、Microsoft(微软)、Ebay、美国白宫等等，国内受害单位也不在少数。 DoS攻击特点 易于发动：攻击门槛低，攻击工具已经泛滥，具有初级安全知识的人就可以很容易策动和实施危害很大的攻击。 追查困难：多数DoS攻击很难追查。 危害面广：除了导致主机宕机外，还可能导致整个网络瘫痪 DoS概念 DoS是Denial of Service的简称，即拒绝服 务，造成DoS的攻击行为被称为DoS攻击， 其目的是使计算机或网络无法提供正常的 服务。 DoS攻击分类 从攻击手段上来分 1根据协议进行的拒绝服务攻击（Protocol Attack），如SYN-Flood等； 2利用系统漏洞进行的拒绝服务（System Weak Attack） ，如应用层程序的缓存溢出; 3带宽消耗攻击（Bandwidth/Throughput Attack），如UDP-Flood等。 DoS攻击分类 从最终攻击目标来分 1 带宽攻击 指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。 2 连通性攻击 指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 SYN FLOODING 攻击演示 黑客的远程攻击主机通过一个不断制造SYN包的工具，向被攻击主机发送SYN包 被