網(wǎng)絡(luò)安全-DDoS之江湖風(fēng)云錄課件

14三月2024網(wǎng)絡(luò)安全-DDoS之江湖風(fēng)云錄引言虛擬專用網(wǎng)防火墻訪問控制防病毒入侵檢測網(wǎng)絡(luò)安全整體形象圖入侵防護(hù)抗拒絕服務(wù)02DDoS江湖風(fēng)云03DDoS到底是什么011DDoS江湖傳言DDoS獨(dú)白網(wǎng)絡(luò)上有一票人，他們自稱DDoS軍團(tuán)他們具有獨(dú)特的宣言橫沖直闖，遮天蔽日，肆意妄為?。?！DDoS傳聞（1）很囂張!!!所到之處，無孔不入，毀滅一切！DDoS傳聞（2）很瘋狂!!!漫漫無源，洶涌多變！DDoS傳聞（3）很自大!!!劫匪、強(qiáng)盜、截拳道都是神馬，硬殺傷直接擊倒DDoS傳聞（4）很霸道!!!喜歡群毆，從不單挑！DDoS傳聞（5）很團(tuán)伙!!!02DDoS江湖風(fēng)云03DDoS到底是什么011DDoS江湖傳言攻擊之殤-我們身邊的DDoS攻擊（1）2009年5月19日“暴風(fēng)影音”斷網(wǎng)事件攻擊之殤-我們身邊的DDoS攻擊（2）2009年5月19日“暴風(fēng)影音”斷網(wǎng)事件游戲私服引起DNSPOD被10Gbps流量攻擊暴風(fēng)影音的在線廣告不能彈出過多暴風(fēng)用戶，導(dǎo)致運(yùn)營商主DNS服務(wù)器過高負(fù)荷，

攻擊之殤-我們身邊的DDoS攻擊（3）攻擊之殤-我們身邊的DDoS攻擊（4）2010年百度百度域名注冊商（美國的REGISTER）系統(tǒng)存在漏洞遭篡改對應(yīng)的DNS服務(wù)器解析內(nèi)容被劫持更換，主域名被解析到一個荷蘭的IP；訪問百度時頁面自動跳轉(zhuǎn)到一租用雅虎服務(wù)器的空間，會出現(xiàn)伊朗網(wǎng)軍黑客留下的“IranianCyberArmy”阿拉伯文字；同時百度旗下子網(wǎng)站也無法訪問；最終雅虎服務(wù)器由于頁面請求數(shù)量過于龐大導(dǎo)致癱瘓；攻擊之殤-我們身邊的DDoS攻擊（5）伊朗人為什么要黑百度，真相已經(jīng)揭曉，政治抗議只是表面原因，其實(shí)——由于美國的軍事打擊和政治威脅，伊朗人準(zhǔn)備大批量購買火箭筒，前段時間看了中國在世界宣傳的中國制造廣告，于是來百度搜索，但是遭遇百度的競價排名，伊朗人選購了搜索結(jié)果排名第一位的火箭筒，到手之后發(fā)現(xiàn)這些火箭筒盡然是從民間不法商販?zhǔn)种惺绽U回來的劣質(zhì)煙花爆竹上當(dāng)受騙!伊朗人出于氣憤，遂黑了百度。攻擊之殤-我們身邊的DDoS攻擊（5）DDoS技術(shù)門檻低，易發(fā)起攻擊之殤-我們身邊的DDoS攻擊（6）攻擊之殤-我們身邊的DDoS攻擊（7）攻擊之殤-我們身邊的DDoS攻擊（8）Anonymous組織揚(yáng)言13個DNS根服務(wù)器攻擊之殤-我們身邊的DDoS攻擊（9）智能手機(jī)，電子商戰(zhàn)“小三”之戰(zhàn)小結(jié)：為什么發(fā)起拒絕服務(wù)攻擊土壤條件具足Internet用戶增多接入網(wǎng)絡(luò)鏈路的帶寬增大應(yīng)用系統(tǒng)多樣化，更直接攻擊工具泛濫，技術(shù)門檻變低日益復(fù)雜化的商業(yè)競爭、網(wǎng)絡(luò)敲詐等高度集中的云計算中心個人情緒發(fā)泄化—技術(shù)炫耀、上訪、私憤等小結(jié)：為什么發(fā)起拒絕服務(wù)攻擊從發(fā)起的動機(jī)來講，分為惡意和無意兩種方式。惡意居多。政治目的商業(yè)競爭打擊報復(fù)網(wǎng)絡(luò)敲詐網(wǎng)絡(luò)競拍無心之過電子購票奧運(yùn)會售票網(wǎng)站深圳大運(yùn)會網(wǎng)站聯(lián)通iphone商城應(yīng)用型DDoS無害論？應(yīng)用層攻擊的一個特點(diǎn)是請求本身都是正常用戶發(fā)起的。通曉系統(tǒng)業(yè)務(wù)，目的性更強(qiáng)危害最大，最難以防范！四兩撥千斤其他知己知彼，百戰(zhàn)不殆……安全的避風(fēng)港在哪？什么是DDoS什么是DoSDoS（DenialofService，拒絕服務(wù)）屬于攻擊早期形態(tài)。具有一對一的攻擊特點(diǎn)。什么是DDoSDDoS（DistributedDenialofService，分布式拒絕服務(wù)），是在傳統(tǒng)的DoS攻擊的基礎(chǔ)上產(chǎn)生的一種攻擊手段，攻擊者通過遠(yuǎn)程控制多個僵尸主機(jī)，對攻擊目標(biāo)實(shí)行一種多對一的攻擊方式。大家一起上，圍攻光明頂什么是DRDoSDRDoS（DistributedReflectionDenialofService，分布式反射拒絕服務(wù)）與DoS、DDoS不同，起源smurf局域網(wǎng)廣播反射攻擊。靠的是將受害者IP地址作為源地址的數(shù)據(jù)包發(fā)給反射服務(wù)器，然后反射服務(wù)器對源IP地址（受害者）做出大量數(shù)據(jù)包回應(yīng)，形成DoS攻擊。多對一的攻擊方式。套牌讓真車主蒙冤受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團(tuán)DDoS攻擊模型拒絕服務(wù)攻擊的常見類型從影響的對象范圍看，分為如下二類流量型這類DDoS攻擊通過發(fā)出海量數(shù)據(jù)包，造成設(shè)備負(fù)載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬耗盡。通常，被攻擊的路由器、服務(wù)器和防火墻的處理資源都是有限的，攻擊負(fù)載之下它們就無法處理正常的合法訪問，導(dǎo)致服務(wù)拒絕。應(yīng)用型拒絕服務(wù)攻擊的常見類型從影響的對象范圍看，分為如下二類流量型應(yīng)用型利用諸如TCP或是HTTP協(xié)議的某些特征，通過持續(xù)占用有限的資源，從而達(dá)到阻止目標(biāo)設(shè)備無法處理正常訪問請求的目的，比如HttpGet攻擊和DNS欺騙就是該類型的攻擊。SYNFLOOD原理：TCP連接是通過三次握手完成的。當(dāng)網(wǎng)絡(luò)中充滿了會發(fā)出無法完成的連接請求的SYN封包，以至于網(wǎng)絡(luò)無法再處理合法的連接請求，從而導(dǎo)致拒絕服務(wù)(DoS)時，就發(fā)生了SYN泛濫攻擊。攻擊者通過不完全的握手過程消耗服務(wù)器的半開連接數(shù)目達(dá)到拒絕服務(wù)攻擊的目的。攻擊者向服務(wù)器發(fā)送含SYN包，其中源IP地址已被改為偽造的不可達(dá)的IP地址。服務(wù)器向偽造的IP地址發(fā)出回應(yīng)，并等待連接已建立的確認(rèn)信息。但由于該IP地址是偽造的，服務(wù)器無法等到確認(rèn)信息，只有保持半開連接狀態(tài)直至超時。由于服務(wù)器允許的半開連接數(shù)目有限，如果攻擊者發(fā)送大量這樣的連接請求，服務(wù)器的半開連接資源很快就會消耗完畢，無法再接受來自正常用戶的TCP連接請求。攻擊類型用netstat–na命令查看SYN_RECV狀態(tài)半開連接隊(duì)列遍歷，消耗CPU和內(nèi)存SYN|ACK重試（3-5次）SYNTimeout：30秒~2分鐘無暇理睬正常的連接請求—拒絕服務(wù)攻擊者受害者偽造地址進(jìn)行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接！SYNFlood攻擊原理攻擊表象我怎么連不上SYN-Flood-經(jīng)典的攻擊現(xiàn)象被攻擊服務(wù)器上netstat–an:大量UDP沖擊服務(wù)器受害者帶寬消耗UDPFlood流量不僅僅影響服務(wù)器，還會對整個傳輸鏈路造成阻塞UDP（非業(yè)務(wù)數(shù)據(jù)）攻擊者受害者查查看表內(nèi)有沒有占用帶寬UDPFlood攻擊原理攻擊表象丟棄UDP（大包/負(fù)載）UDP-Flood數(shù)據(jù)包分析WEBCC概念原意是challengecollapsar(挑戰(zhàn)黑洞)。通過模擬多個用戶(多少線程就是多少用戶)不停的進(jìn)行訪問(訪問那些需要大量數(shù)據(jù)操作,就是需要大量CPU時間的頁面)或者模擬大量用戶登陸服務(wù)器（最常見的是登陸游戲服務(wù)器）。WEBCC攻擊攻擊者受害者(WebServer)大量HTTPGet請求不能得到服務(wù)器響應(yīng)HTTPGetFlood正常用戶正常HTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFlood受害者(DBServer)DB連接池用完啦！！DB連接池/CPU資源占用占用占用Cache代理服務(wù)器WEBCC防護(hù)攻擊者(WebServer)正常用戶正常HTTPGet請求(DBServer)你是假的?。?！我擋……DB連接池占用占用占用Cache代理服務(wù)器HTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodWEBCC防護(hù)手段閾值統(tǒng)計單個源連接整個源請求單個目的連接整個目的連接動態(tài)平滑曲線倍數(shù)CC防護(hù)重定向驗(yàn)證URL回探ETag標(biāo)簽Cookies標(biāo)簽ASCII碼AdvanceURL回探（url與syncookie的組合）白名單白名單關(guān)鍵URL保護(hù)拒絕服務(wù)的攻擊趨勢攻