分布式拒绝服务攻击DDOS.ppt

分布式拒绝服务攻击DDOS
DDOS产生的背景
(Distributed Denial of Service)是对拒绝服务攻击的发展。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的“消化能力”加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。

这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。
DDOS攻击过程
攻击过程主要有两个步骤:攻占代理主机和向目标发起攻击。
具体说来可分为以下几个步骤:
;
;
;
,由它们来控制代理主机上的守护进程进行协同入侵。
攻击运行原理
1、被攻击主机上有大量等待的TCP连接
2、网络中充斥着大量的无用的数据包,源地址为假
3、制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
4、利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
5、严重时会造成系统死机
被DDoS攻击时的现象
DDoS所利用的协议漏洞
1)利用IP源路由信息的攻击
由于TCP/ IP体系中对IP数据包的源地址不进行验证,所以攻击者可以控制其众多代理端用捏造的IP地址发出攻击报文,并指明到达目标站点的传送路由,产生数据包溢出。
2)利用RIP协议的攻击
RIP是应用最广泛的路由协议,采用RIP的路由器会定时广播本地路由表到邻接的路由器,以刷新路由信息。通常站点接收到新路由时直接采纳,这使攻击者有机可乘。
3)利用ICMP的攻击
DDoS攻击的五种常用方式
至今为止,攻击者最常使用的分布式拒绝服务攻击程序主要包括4种:Trinoo、TFN、TFN2K和Stacheldraht。
1) Trinoo(Tribe work)攻击
Trinoo是一种用UDP包进行攻击的工具软件。与针对某特定端口的一般UDP flood攻击相比,Trinoo攻击随机指向目标端的各个UDP端口,产生大量ICMP不可到达报文,严重增加目标主机负担并占用带宽,使对目标主机的正常访问无法进行。
2)TFN攻击
TFN是利用ICMP给主控端或分布端下命令,其来源可以做假。它可以发动SYN flood 、UDP flood 、ICMP flood及Smurf(利用多台服务器发出海量数据包,实施DoS攻击)等攻击。
3)TFN2K攻击
TFN2K是TFN的增强版,它增加了许多新功能:
,Master无法发现Attacker地址。
。
,基于Base64编码,AES加密。
。
4)Stacheldraht攻击
Stacheldraht结合了Trinoo和TFN的特点,并且它将attacker和master间的通信加密,增加了master端的自动更新功能,即能够自动更新daemon主机列表。
5) SHAFT是一种独立发展起来的DDoS攻击方法,独特之处在于:
首先,在攻击过程中,受控主机之间可以交换对分布端的控制和端口,这使得入侵检测工具难以奏效。
其次,SHAFT采用了“ticket”机制进行攻击,使其攻击命令有一定秘密性。
第三,SHAFT采用了独特的包统计方法使其攻击得以顺利完成。
DDoS攻击新技术——反弹技术
反弹技术就是利用反弹服务器实现攻击的技术。
所谓反弹服务器(Reflector)是指当收到一个请求数据报后就会产生一个回应数据报的主机。例如,所有的Web服务器、DNS服务器和路由服务器都是反弹服务器。攻击者可以利用这些回应的数据报对目标机器发动DDoS攻击。