《网络攻防与协议分析》课件——4.DDoS攻击原理及入侵检测配置.pptxVIP

DDoS攻击原理

及入侵检测配置

1DDoS攻击原理

拒绝服务攻击拒绝服务（DenialofService）攻击是指占据大量的共享资源，使系统没有剩余的资源给其他用户，从而使服务请求被拒绝，造成系统运行迟缓或瘫痪。使用拒绝服务攻击通常不是为了获得访问权，而是为了完成其他攻击做准备。例如，在目标计算机上放木马，需要让目标计算机重启；为了完成IP欺骗攻击，需要让被冒充的主机瘫痪；在正式攻击前，需要使目标的日志记录系统无法正常工作。拒绝服务攻击主要原理带宽耗尽。资源耗竭。利用缺陷编程。路由与域名系统DNS攻击攻击方式服务过载。当大量的服务请求发向一台计算机中的服务守护进程时，就会发生服务过载。消息流。消息流发生于用户向网络上的一台目标主机发送大量的数据包，延缓目标主机的处理速度，阻止处理正常任务。信号接地。使用物理方法关闭一个网络。

DDoS攻击DDoS攻击是一种分布式的DoS攻击。DoS即拒绝服务，其利用TCP/IP协议缺陷，通过占用协议栈资源或者发起大流量拥塞，达到消耗目标机器性能或者带宽资源的目的。不同于其他的留有木马后门或劫持数据的方式，DoS攻击并不威胁敏感数据，使合法用户不能获得应有的服务。DDoS即分布式拒绝服务，在DoS攻击的基础上，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力，使目标服务器无法提供正常服务。攻击者正常用户单个攻击者发起大量连接服务器正常用户的请求无法得到响应DoS攻击攻击者1多个攻击者共同发起大量连接服务器DDoS攻击攻击者N……

SYNFlood攻击原理攻击者伪造大量的SYN请求报文发送给服务器，服务器每收到一个SYN就会响应一个SYN-ACK报文，但是攻击者并不会理会此SYN-ACK报文，所以服务器端会存在大量TCP半开连接，维护这些链接需要消耗大量的CPU及内存资源，最终导致服务器无暇处理正常的SYN请求，拒绝服务。此攻击称为SYNFlood攻击。伪造SYN报文服务器回应SYN-ACK报文并等待攻击者……伪造SYN报文服务器回应SYN-ACK报文并等待服务器维护大量TCP半开连接，浪费系统资源。客户端服务器

SYNFlood防范原理在连续一段时间内，防火墙收到的具有相同目的地址的SYN报文数如果超过阈值，则启动SYN报文源认证。防火墙拦截SYN报文，并伪造一个带有错误序列号的SYN-ACK报文回应给客户端。如果客户端是虚假源，则不会对错误的SYN-ACK报文进行回应，认证失败，防火墙丢弃后续此源地址的SYN报文；如果客户端是真实源，则会响应一个RST报文，认证通过，防火墙把此源地址加入白名单，并放行后续的SYN报文。相同目的地址的SYN报文超过阈值，启动SYN报文源认证伪造SYN报文回应带有错误序列号的SYN-ACK报文正常SYN报文源IP地址匹配白名单，信任此源地址回应带有错误序列号的SYN-ACK报文认证通过，加入白名单攻击者正常用户服务器防火墙客户端响应RST报文

HTTPFlood攻击原理攻击者通过代理或僵尸主机向目标服务器发起大量的HTTPGet/Post请求报文，这些请求报文一般都会消耗大量的服务器系统资源（如请求数据库操作），最终导致服务器系统资源耗尽，无法响应正常请求。这类攻击称为HTTPFlood攻击。HTTPGet/Post请求报文HTTP响应报文攻击者……服务器处理大量攻击者发送的HTTP请求，导致系统资源耗尽，无法响应正常HTTP请求。客户端服务器HTTPGet/Post请求报文HTTP响应报文

HTTPFlood防范原理(基本模式)在连续一段时间内，防火墙收到具有相同目的地址的HTTP请求报文数如果超过阈值，则启动HTTP报文源认证。防火墙拦截HTTP请求报文，并返回一个HTTP重定向报文给客户端：如果是虚假源，不会对HTTP重定向报文进行相应，认证失败，防火墙丢弃后续此源地址的HTTP请求报文；如果是真实源，则会正常响应HTTP重定向报文，认证通过，源地址加入防火墙白名单，后续HTTP请求报文自动放行。相同目的地址的HTTP请求报文超过阈值，启动HTTP报文源认证HTTP请求：访问HTTP重定向报文：请访问后续HTTP请求报文的源IP地址匹配白名单，自动放行认证通过，加入白名单攻击者正常用户服务器防火墙客户端响应HTTP重定向：访问HTTP重定向报文：请访问HTTP请求：访问HTTP重定向报文：请访问

HTTPFlood防范原理(增强模式)在连续一段时间内，防火墙收到的具有相同目的地址的HTTP请求报文数如果超过阈值，则启动HTTP报文源认证。防火墙拦截HTTP请求报文，并返回一个HTTP页面给客户端，并请求用户输入页面中的验证码：如果是虚假源，不会输入验证码信息，认证失败，防火墙