DDoS和漏洞介紹PPT.ppt

DDoS攻擊基礎知識 DNS Email 一個DDoS攻擊過程 Zombie Server levelDDoSattacks Bandwidth levelDDoSattacks DNS Email Infrastructure levelDDoSattacks AttackZombies MassivelydistributedSpoofSourceIPUsevalidprotocols 攻擊實施代價極低 工具泛濫 Botnet 僵尸網(wǎng)絡是當前互聯(lián)網(wǎng)的首要威脅發(fā)送垃圾郵件網(wǎng)絡釣魚 盜取帳號 密碼機密信息發(fā)動拒絕服務攻擊 DDOS僵尸網(wǎng)絡正在改變網(wǎng)絡經濟犯罪經濟利益的驅動 DDoS攻擊發(fā)展趨勢 目標網(wǎng)站 網(wǎng)絡基礎設施 路由器 交換機 DNS等 流量從幾兆 幾十兆 1G甚至更高10Kpps 100Kpps 1Mpps技術真實IP地址 IP欺騙技術單一攻擊源 多個攻擊源簡單協(xié)議承載 復雜協(xié)議承載智能化 試圖繞過IDS或FW形式DRDoS ACKFloodZombieNet BOTNETProxyConnectionFloodDNSFlood DDoS技術篇 攻擊與防御技術 DoS攻擊的本質 利用木桶原理 尋找并利用系統(tǒng)應用的瓶頸阻塞和耗盡當前的問題 用戶的帶寬小于攻擊的規(guī)模 造成訪問帶寬成為木桶的短板 DoS DDoS類型的劃分 應用層垃圾郵件 病毒郵件DNSFlood網(wǎng)絡層SYNFlood ICMPFlood偽造鏈路層ARP偽造報文物理層直接線路破壞電磁干擾 攻擊類型劃分II 堆棧突破型 利用主機 設備漏洞 遠程溢出拒絕服務攻擊網(wǎng)絡流量型 利用網(wǎng)絡通訊協(xié)議 SYNFloodACKFloodICMPFloodUDPFlood UDPDNSQueryFloodConnectionFloodHTTPGetFlood 攻擊類型劃分I DoS DDoS攻擊演變 大流量 應用層混合型分布式攻擊 大流量型分布式攻擊 系統(tǒng)漏洞型 Phase1 Phase2 Phase3 以小搏大以大壓小 技術型帶寬和流量的斗爭 我沒發(fā)過請求 DDoS攻擊介紹 SYNFlood SYN RECV狀態(tài)半開連接隊列遍歷 消耗CPU和內存SYN ACK重試SYNTimeout 30秒 2分鐘無暇理睬正常的連接請求 拒絕服務 SYN 我可以連接嗎 ACK 可以 SYN 請確認 攻擊者 受害者 偽造地址進行SYN請求 不能建立正常的連接 SYNFlood攻擊原理 攻擊表象 DDoS攻擊介紹 ACKFlood 大量ACK沖擊服務器受害者資源消耗查表回應ACK RSTACKFlood流量要較大才會對服務器造成影響 ACK 你得查查我連過你沒 攻擊者 受害者 查查看表內有沒有 ACKFlood攻擊原理 攻擊表象 ACK RST 我沒有連過你呀 攻擊者 受害者 大量tcpconnect 不能建立正常的連接 DDoS攻擊介紹 ConnectionFlood 正常用戶 正常tcpconnect 攻擊表象 利用真實IP地址 代理服務器 廣告頁面 在服務器上建立大量連接服務器上殘余連接 WAIT狀態(tài) 過多 效率降低 甚至資源耗盡 無法響應蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包 對于TCP蠕蟲則表現(xiàn)為大范圍掃描行為消耗骨干設備的資源 如防火墻的連接數(shù) ConnectionFlood攻擊原理 攻擊者 受害者 WebServer 正常HTTPGet請求 不能建立正常的連接 DDoS攻擊介紹 HTTPGetFlood 正常用戶 正常HTTPGetFlood 攻擊表象 利用代理服務器向受害者發(fā)起大量HTTPGet請求主要請求動態(tài)頁面 涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負載以及數(shù)據(jù)庫連接池負載極高 無法響應正常請求 受害者 DBServer DB連接池用完啦 DB連接池 占用 占用 占用 HTTPGetFlood攻擊原理 常見的DoS攻擊判斷方法 判斷與分析方法網(wǎng)絡流量的明顯特征操作系統(tǒng)告警單機分析arp Netstate 本機sniffer輸出單機分析抓包分析 中小規(guī)模的網(wǎng)絡網(wǎng)絡設備的輸出 中小規(guī)模的網(wǎng)絡Netflow分析 骨干網(wǎng)級別的分析方式 安全漏洞相關現(xiàn)狀 有關安全漏洞的幾個問題 什么是安全漏洞在計算機安全學中 存在于一個系統(tǒng)內的弱點或缺陷 系統(tǒng)對一個特定的威脅攻擊或危險事件的敏感性 或進行攻擊的威脅作用的可能性 為什么存在安全漏洞客觀上技術實現(xiàn)技術發(fā)展局限永遠存在的編碼失誤環(huán)境帶來的動態(tài)變化主觀上未能避免默認配置對漏洞的管理缺乏人員意識 安全漏洞的特性 半衰期 在某一范圍內 某一漏洞影響到的主機的數(shù)量減少為一半的時間 流行性 50 的最流行的高危漏洞的影響力會流行一年左右 一年后這些漏洞將被一些新的流行高危漏洞所替代 持續(xù)性 4 的高危漏洞的壽命很長 其影響會持續(xù)很長一段時間 尤其是對于企業(yè)的內部網(wǎng)絡來說 某些漏洞的影響甚至是無限期的 漏洞的影響 漏洞造成的影響遠程執(zhí)行命令遠程拒絕服務遠程信息泄漏本地權限提升 2007年操作系統(tǒng)漏洞情況 我們身邊軟件的情況 漏洞 蠕蟲 其中紅色代碼和尼姆達蠕蟲的變種一直持續(xù)到03年還在爆發(fā) 實例說明系統(tǒng)高危漏洞影響 Blaster蠕蟲利用RPC漏洞的爆發(fā)過程 總體情況 99 ofsecuritybreachestargetknownvulnerabilitiesforwhichthereare