DDOS分布式拒絕服務(wù)攻擊講義課件

DDOS分布式拒絕服務(wù)攻擊ByHaisu分布式拒絕服務(wù)攻擊的實施及預(yù)防措施攻擊1)分布式拒絕服務(wù)攻擊(DDoS)的概念以及它與拒絕服務(wù)攻擊的區(qū)別。2)DDoS攻擊的過程和攻擊網(wǎng)絡(luò)結(jié)構(gòu)。3)DDoS攻擊所利用的協(xié)議漏洞4)DDoS的幾種攻擊方式5)一種新的DDoS攻擊方式——反彈攻擊防御1)DDoS攻擊的防范原理。2)DDoS攻擊發(fā)生時網(wǎng)絡(luò)出現(xiàn)的異常情況。3)防范中的軟硬件使用4)拒絕服務(wù)監(jiān)控系統(tǒng)的設(shè)計DDoS的誕生1999年8月以來，出現(xiàn)了一種新的網(wǎng)絡(luò)攻擊方法，這就是分布式拒絕攻擊（DDoS）。之后這種攻擊方法開始大行其道，成為黑客攻擊的主流手段。Yahoo、eBay、CNN等眾多知站點相繼被身份不明的黑客在短短幾天內(nèi)連續(xù)破壞，系統(tǒng)癱瘓達幾個小時甚至幾十個小時之久。拒絕服務(wù)攻擊拒絕服務(wù)攻擊（DenialofService）——是一種個人或多人利用Internet協(xié)議的某些漏洞，拒絕其他用戶對系統(tǒng)和信息的合法訪問的攻擊。這類攻擊使服務(wù)器充斥大量要求恢復(fù)的非法用戶的信息和請求，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。被DDoS攻擊時的現(xiàn)象被攻擊主機上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求嚴(yán)重時會造成系統(tǒng)死機

正常訪問通過普通的網(wǎng)絡(luò)連線，使用者傳送信息要求服務(wù)器予以確定。服務(wù)器于是回復(fù)用戶。用戶被確定后，就可登入服務(wù)器。TCP三次握手方式

“拒絕服務(wù)”（DoS）的攻擊方式“拒絕服務(wù)”的攻擊方式為：用戶傳送眾多要求確認(rèn)的信息到服務(wù)器，使服務(wù)器里充斥著這種無用的信息。所有的信息都有需回復(fù)的虛假地址，以至于當(dāng)服務(wù)器試圖回傳時，卻無法找到用戶。服務(wù)器于是暫時等候，有時超過一分鐘，然后再切斷連接。服務(wù)器切斷連接時，黑客再度傳送新一批需要確認(rèn)的信息，這個過程周而復(fù)始，最終導(dǎo)致服務(wù)器處于癱瘓狀態(tài)很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。DDoS攻擊過程掃描程序非安全主機黑客

黑客利用工具掃描Internet，發(fā)現(xiàn)存在漏洞的主機1Internet黑客Zombies

黑客在非安全主機上安裝類似“后門”的代理程序2InternetDDoS攻擊過程黑客

黑客選擇主控主機，用來向“僵尸”發(fā)送命令3Zombies主控主機InternetDDoS攻擊過程Hacker

通過客戶端程序，黑客發(fā)送命令給主控端，并通過主控主機啟動“僵尸”程序?qū)δ繕?biāo)系統(tǒng)發(fā)動攻擊4ZombiesTargeted目標(biāo)SystemMasterServerInternetDDoS攻擊過程目標(biāo)系統(tǒng)SystemHacker

主控端向“僵尸”發(fā)送攻擊信號，對目標(biāo)發(fā)動攻擊5MasterServerInternetZombiesDDoS攻擊過程目標(biāo)黑客

目標(biāo)主機被“淹沒”，無法提供正常服務(wù)，甚至系統(tǒng)崩潰6主控主機合法用戶服務(wù)請求被拒絕Internet僵尸DDoS攻擊過程分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊（DistributedDenialofService）是對拒絕服務(wù)攻擊的發(fā)展。攻擊者控制大量的攻擊源，然后同時向攻擊目標(biāo)發(fā)起的一種拒絕服務(wù)攻擊。海量的信息會使得攻擊目標(biāo)帶寬迅速消失殆盡。相對于一般的拒絕服務(wù)攻擊，分布式拒絕服務(wù)攻擊有以下兩個特點：分布式拒絕服務(wù)攻擊特點由于集中了成百上千臺機器同時進行攻擊，其攻擊力是十分巨大的。即使像Yahoo，Sina等應(yīng)用了可以將負(fù)荷分?jǐn)偟矫總€服務(wù)器的集群服務(wù)器（clusterserver）技術(shù)，也難以抵擋這種攻擊。多層攻擊網(wǎng)絡(luò)結(jié)構(gòu)使被攻擊主機很難發(fā)現(xiàn)攻擊者，而且大部分裝有主控進程和守護進程的機器的合法用戶并不知道自己是整個拒絕服務(wù)攻擊網(wǎng)絡(luò)中的一部分，即使被攻擊主機監(jiān)測到也無濟于事。DDoS攻擊過程攻擊過程主要有兩個步驟：攻占代理主機和向目標(biāo)發(fā)起攻擊。具體說來可分為以下幾個步驟：

1探測掃描大量主機以尋找可入侵主機；

2入侵有安全漏洞的主機并獲取控制權(quán)；

3在每臺被入侵主機中安裝攻擊所用的客戶進程或守護進程；

4向安裝有客戶進程的主控端主機發(fā)出命令，由它們來控制代理主機上的守護進程進行協(xié)同入侵。DDoS攻擊的網(wǎng)絡(luò)結(jié)構(gòu)攻擊端：攻擊者在此操縱攻擊過程主控端客戶進程：被攻擊者控制的主機，并運行了DDoS主控端程序。代理端守護進程：響應(yīng)主控端攻擊命令，向攻擊目標(biāo)發(fā)送拒絕服務(wù)攻擊數(shù)據(jù)包。DDOS的表現(xiàn)形式一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。DDoS所利用的協(xié)議漏洞1）利用IP源路由信息的攻擊由于TCP/IP體系中對IP數(shù)據(jù)包的源地址不進行驗證，所以攻擊者可以控制其眾多代理端用捏造的IP地址發(fā)出攻擊報文，并指明到達目標(biāo)站點的傳送路由，產(chǎn)生數(shù)據(jù)包溢出。2）利用RIP協(xié)議的攻擊

RIP是應(yīng)用最廣泛的路由協(xié)議，采用RIP的路由器會定時廣播本地路由表到鄰接的路由器，以刷新路由信息。通常站點接收到新路由時直接采納，這使攻擊者有機可乘。DDoS所利用的協(xié)議漏洞（續(xù)）.3）利用ICMP的攻擊絕大多數(shù)監(jiān)視工具不顯示ICMP包的數(shù)據(jù)部分，或不解析ICMP類型字段，所以ICMP數(shù)據(jù)包往往能直接通過防火墻。例如，從攻擊軟件TFN(Tribefloodnetwork)客戶端到守護程序端的通訊可直接通過ICMP-ECHOREPLY(Type0)數(shù)據(jù)包完成?？芍苯佑糜诎l(fā)起攻擊的ICMP報文還有：ICMP重定向報文(Type5)、ICMP目的站點不可達報文(Type3)、數(shù)據(jù)包超時報文(Type11)。DDoS攻擊的五種常用方式至今為止，攻擊者最常使用的分布式拒絕服務(wù)攻擊程序主要包括4種：Trinoo、TFN、TFN2K和Stacheldraht。

1)Trinoo（TribeFloodNetwork）攻擊

Trinoo是一種用UDP包進行攻擊的工具軟件。與針對某特定端口的一般UDPflood攻擊相比，Trinoo攻擊隨機指向目標(biāo)端的各個UDP端口，產(chǎn)生大量ICMP不可到達報文，嚴(yán)重增加目標(biāo)主機負(fù)擔(dān)并占用帶寬，使對目標(biāo)主機的正常訪問無法進行。DDoS攻擊的五種常用方式

2)TFN攻擊

TFN是利用ICMP給主控端或分布端下命令，其來源可以做假。它可以發(fā)動SYNflood、UDPflood、ICMPflood及Smurf(利用多臺服務(wù)器發(fā)出海量數(shù)據(jù)包，實施DoS攻擊)等攻擊。

3)TFN2K攻擊

TFN2K是TFN的增強版，它增加了許多新功能：DDoS攻擊的五種常用方式

a.單向的對Master的控制通道，Master無法發(fā)現(xiàn)Attacker地址。

b.針對脆弱路由器的攻擊手段。

c.更強的加密功能，基于Base64編碼，AES加密。

d.隨機選擇目的端口。4)Stacheldraht攻擊

Stacheldraht結(jié)合了Trinoo和TFN的特點，DDoS攻擊的五種常用方式并且它將attacker和master間的通信加密，增加了master端的自動更新功能，即能夠自動更新daemon主機列表。5)SHAFT是一種獨立發(fā)展起來的DDoS攻擊方法，獨特之處在于：首先，在攻擊過程中，受控主機之間可以交換對分布端的控制和端口，這使得入侵檢測工具難以奏效。其次，SHAFT采用了“ticket”機制進行攻擊，使其攻擊命令有一定秘密性。第三，SHAFT采用了獨特的包統(tǒng)計方法使其攻擊得以順利完成。DDoS攻擊新技術(shù)——反彈技術(shù)反彈技術(shù)就是利用反彈服務(wù)器實現(xiàn)攻擊的技術(shù)。所謂反彈服務(wù)器（Reflector）是指當(dāng)收到一個請求數(shù)據(jù)報后就會產(chǎn)生一個回應(yīng)數(shù)據(jù)報的主機。例如，所有的Web服務(wù)器、DNS服務(wù)器和路由服務(wù)器都是反彈服務(wù)器。攻擊者可以利用這些回應(yīng)的數(shù)據(jù)報對目標(biāo)機器發(fā)動DDoS攻擊。反彈技術(shù)原理反彈服務(wù)器攻擊過程和傳統(tǒng)的DDoS攻擊過程相似，如前面所述的4個步驟中，只是第4步改為：攻擊者鎖定大量的可以作為反彈服務(wù)器的服務(wù)器群，攻擊命令發(fā)出后，代理守護進程向已鎖定的反彈服務(wù)器群發(fā)送大量的欺騙請求數(shù)據(jù)包，其原地址為受害服務(wù)器或目標(biāo)服務(wù)器。反彈技術(shù)實現(xiàn)DDoS攻擊與傳統(tǒng)DDoS攻擊的區(qū)別：

1．反彈技術(shù)實現(xiàn)DDoS攻擊比傳統(tǒng)DDoS攻擊更加難以抵御。實際上它的攻擊網(wǎng)絡(luò)結(jié)構(gòu)和傳統(tǒng)的相比多了第四層——被鎖定的反彈服務(wù)器層。反彈服務(wù)器的數(shù)量可以遠比駐有守護進程的代理服務(wù)器多，故反彈技術(shù)可以使攻擊時的洪水流量變?nèi)?，最終才在目標(biāo)機匯合為大量的洪水，其攻擊規(guī)模也比傳統(tǒng)DDoS攻擊大得多。

2．目標(biāo)機更難追查到攻擊來源。目標(biāo)機接收到的攻擊數(shù)據(jù)報的源IP是真實的，反彈服務(wù)器追查到的數(shù)據(jù)報源IP是假的。又由于反彈服務(wù)器上收發(fā)數(shù)據(jù)報的流量較?。ㄟh小于代理服務(wù)器發(fā)送的數(shù)量），所以，服務(wù)器根據(jù)網(wǎng)絡(luò)流量來自動檢測是否為DDoS攻擊源的這種機制將不起作用。DDoS攻擊下的防御對DDoS攻擊體系的檢測與防范是一個整體行為，必須從主控端、代理端、目標(biāo)端分別進行。總體上包括兩個方面：一是主控端與代理端主機應(yīng)防止被攻擊者侵入并加以利用。二是在目標(biāo)端建立監(jiān)控機制及時檢測網(wǎng)絡(luò)流量變化判斷是否發(fā)生DDoS攻擊以便采取適當(dāng)措施。DDoS的防御(主機上的設(shè)置)幾乎所有的主機平臺都有抵御DoS的設(shè)置，總結(jié)一下，基本的有幾種：

a.關(guān)閉不必要的服務(wù)

b.限制同時打開的Syn半連接數(shù)目c.縮短Syn半連接的timeout時間

d.及時更新系統(tǒng)補丁DDoS的防御(網(wǎng)絡(luò)設(shè)備上的設(shè)置)a.禁止對主機的非開放服務(wù)的訪問

b.限制同時打開的SYN最大連接數(shù)c.限制特定IP地址的訪問

d.啟用防火墻的防DDoS的屬性e.嚴(yán)格限制對外開放的服務(wù)器的向外訪問

1、最孤獨的時光，會塑造最堅強的自己。

2、把臉一直向著陽光，這樣就不會見到陰影。

3、永遠不要埋怨你已經(jīng)發(fā)生的事情，要么就改變它，要么就安靜的接受它。

4、不論你在什么時候開始，重要的是開始之后就不要停止。

5、通往光明的道路是平坦的，為了成功，為了奮斗的渴望，我們不得不努力。

6、付出了不一定有回報，但不付出永遠沒有回報。

7、成功就是你被擊落到失望的深淵之后反彈得有多高。

8、為了照亮夜空，星星才站在天空的高處。

9、我們的人生必須勵志，不勵志就仿佛沒有靈魂。

10、拼盡全力，逼自己優(yōu)秀一把，青春已所剩不多。

11、一個人如果不能從內(nèi)心去原諒別人，那他就永遠不會心安理得。

12、每個人心里都有一段傷痕，時間才是最好的療劑。

13、如果我不堅強，那就等著別人來嘲笑。

14、早晨給自己一個微笑，種下一天旳陽光。

15、沒有愛不會死，不過有了愛會活過來。

16、失敗的定義：什么都要做，什么都在做，卻從未做完過，也未做好過。

17、當(dāng)我微笑著說我很好的時候，你應(yīng)該對我說，安好就好。

18、人不僅要做好事，更要以準(zhǔn)確的方式做好事。

19、我們并不需要用太華麗的語言來包裹自己，因為我們要做最真實的自己。

20、一個人除非自己有信心，否則無法帶給別人信心。

21、為別人鼓掌的人也是在給自己的生命加油。

22、失去金錢的人損失甚少，失去健康的人損失極多，失去勇氣的人損失一切。

23、相信就是強大，懷疑只會抑制能力，而信仰就是力量。

24、那些嘗試去做某事卻失敗的人，比那些什么也不嘗試做卻成功的人不知要好上多少。

25、自己打敗自己是最可悲的失敗，自己戰(zhàn)勝自己是最可貴的勝利。

26、沒有熱忱，世間便無進步。

27、失敗并不意味你浪費了時間和生命，失敗表明你有理由重新開始。

28、青春如此華美，卻在煙火在散場。

29、生命的道路上永遠沒有捷徑可言，只有腳踏實地走下去。

30、只要還有明天，今天就永遠是起跑線。

31、認(rèn)真可以把事情做對，而用心卻可以做到完美。

32、如果上帝沒有幫助你那他一定相信你可以。

33、只要有信心，人永遠不會挫敗。

34、珍惜今天的美好就是為了讓明天的回憶更美好。

35、只要你在路上，就不要放棄前進的勇氣，走走停停的生活會一直繼續(xù)。

36、大起大落誰都有拍拍灰塵繼續(xù)走。

37、孤獨并不可怕，每個人都是孤獨的，可怕的是害怕孤獨。

38、寧可失敗在你喜歡的事情上，也不要成功在你所憎惡的事情上。

39、我很平凡，但骨子里的我卻很勇敢。

40、眼中閃爍的淚光，也將化作永不妥協(xié)的堅強。

41、我不去想是否能夠成功，既然選了遠方，便只顧風(fēng)雨兼程。

42、寧可自己去原諒別人，莫等別人來原諒自己。

43、踩著垃圾到達的高度和踩著金子到達的高度是一樣的。

44、每天告訴自己一次：我真的很不錯。

45、人生最大的挑戰(zhàn)沒過于戰(zhàn)勝自己！

46、愚癡的人，一直想要別人了解他。有智慧的人，卻努力的了解自己。

47、現(xiàn)實的壓力壓的我們喘不過氣也壓的我們走向成功。

48、心若有陽光，你便會看見這個世界有那么多美好值得期待和向往。

49、相信自己，你能作繭自縛，就能破繭成蝶。

50、不能強迫別人來愛自己，只能努力讓自己成為值得愛的人。

51、不要拿過去的記憶，來折磨現(xiàn)在的自己。

52、汗水是成功的潤滑劑。

53、人必須有自信，這是成功的秘密。

54、成功的秘密在于始終如一地忠于目標(biāo)。

55、只有一條路不能選擇――那就是放棄。

56、最后的措手不及是因為當(dāng)初游刃有余的自己

57、現(xiàn)實很近又很冷，夢想很遠卻很溫暖。

58、沒有人能替你承受痛苦，也沒有人能搶走你的堅強。

59、不要拿我跟任何人比，我不是誰的影子，更不是誰的替代品，我不知道年少輕狂，我只懂得勝者為。

60、如果你看到面前的陰影，別怕，那是因為你的背后有陽光。

61、寧可笑著流淚，絕不哭著后悔。

62、覺得自己做得到和做不到，只在一念之間。

63、跌倒，撞墻，一敗涂地，都不用害怕，年輕叫你勇敢。

64、做最好的今天，回顧最好的昨天，迎接最美好的明天。

65、每件事情都必須有一個期限，否則，大多數(shù)人都會有多少時間就花掉多少時間。

66、當(dāng)你被壓力壓得透不過氣來的時候，記住，碳正是因為壓力而變成閃耀的鉆石。

67、現(xiàn)實會告訴你，不努力就會被生活給踩死。無需找什么借口，一無所有，就是拼的理由。

68、人生道路，絕大多數(shù)人，絕大多數(shù)時候，人都只能靠自己。

69、不是某人使你煩惱，而是你拿某人的言行來煩惱自己。

70、當(dāng)一個人真正覺悟的一刻，他放棄追尋外在世界的財富，而開始追尋他內(nèi)心世界的真正財富。

71、失敗并不意味你浪費了時間和生命，失敗表明你有理由重新開始。

72、人生應(yīng)該樹立目標(biāo)，否則你的精力會白白浪費。

73、山澗的泉水經(jīng)過一路曲折，才唱出一支美妙的歌。

74、時間告訴我，無理取鬧的年齡過了，該懂事了。

75、命運