DDoS和漏洞介绍PPT.ppt

DDoS攻击基础知识 DNS Email 一个DDoS攻击过程 Zombie Server levelDDoSattacks Bandwidth levelDDoSattacks DNS Email Infrastructure levelDDoSattacks AttackZombies MassivelydistributedSpoofSourceIPUsevalidprotocols 攻击实施代价极低 工具泛滥 Botnet 僵尸网络是当前互联网的首要威胁发送垃圾邮件网络钓鱼 盗取帐号 密码机密信息发动拒绝服务攻击 DDOS僵尸网络正在改变网络经济犯罪经济利益的驱动 DDoS攻击发展趋势 目标网站 网络基础设施 路由器 交换机 DNS等 流量从几兆 几十兆 1G甚至更高10Kpps 100Kpps 1Mpps技术真实IP地址 IP欺骗技术单一攻击源 多个攻击源简单协议承载 复杂协议承载智能化 试图绕过IDS或FW形式DRDoS ACKFloodZombieNet BOTNETProxyConnectionFloodDNSFlood DDoS技术篇 攻击与防御技术 DoS攻击的本质 利用木桶原理 寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题 用户的带宽小于攻击的规模 造成访问带宽成为木桶的短板 DoS DDoS类型的划分 应用层垃圾邮件 病毒邮件DNSFlood网络层SYNFlood ICMPFlood伪造链路层ARP伪造报文物理层直接线路破坏电磁干扰 攻击类型划分II 堆栈突破型 利用主机 设备漏洞 远程溢出拒绝服务攻击网络流量型 利用网络通讯协议 SYNFloodACKFloodICMPFloodUDPFlood UDPDNSQueryFloodConnectionFloodHTTPGetFlood 攻击类型划分I DoS DDoS攻击演变 大流量 应用层混合型分布式攻击 大流量型分布式攻击 系统漏洞型 Phase1 Phase2 Phase3 以小搏大以大压小 技术型带宽和流量的斗争 我没发过请求 DDoS攻击介绍 SYNFlood SYN RECV状态半开连接队列遍历 消耗CPU和内存SYN ACK重试SYNTimeout 30秒 2分钟无暇理睬正常的连接请求 拒绝服务 SYN 我可以连接吗 ACK 可以 SYN 请确认 攻击者 受害者 伪造地址进行SYN请求 不能建立正常的连接 SYNFlood攻击原理 攻击表象 DDoS攻击介绍 ACKFlood 大量ACK冲击服务器受害者资源消耗查表回应ACK RSTACKFlood流量要较大才会对服务器造成影响 ACK 你得查查我连过你没 攻击者 受害者 查查看表内有没有 ACKFlood攻击原理 攻击表象 ACK RST 我没有连过你呀 攻击者 受害者 大量tcpconnect 不能建立正常的连接 DDoS攻击介绍 ConnectionFlood 正常用户 正常tcpconnect 攻击表象 利用真实IP地址 代理服务器 广告页面 在服务器上建立大量连接服务器上残余连接 WAIT状态 过多 效率降低 甚至资源耗尽 无法响应蠕虫传播过程中会出现大量源IP地址相同的包 对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源 如防火墙的连接数 ConnectionFlood攻击原理 攻击者 受害者 WebServer 正常HTTPGet请求 不能建立正常的连接 DDoS攻击介绍 HTTPGetFlood 正常用户 正常HTTPGetFlood 攻击表象 利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面 涉及到数据库访问操作数据库负载以及数据库连接池负载极高 无法响应正常请求 受害者 DBServer DB连接池用完啦 DB连接池 占用 占用 占用 HTTPGetFlood攻击原理 常见的DoS攻击判断方法 判断与分析方法网络流量的明显特征操作系统告警单机分析arp Netstate 本机sniffer输出单机分析抓包分析 中小规模的网络网络设备的输出 中小规模的网络Netflow分析 骨干网级别的分析方式 安全漏洞相关现状 有关安全漏洞的几个问题 什么是安全漏洞在计算机安全学中 存在于一个系统内的弱点或缺陷 系统对一个特定的威胁攻击或危险事件的敏感性 或进行攻击的威胁作用的可能性 为什么存在安全漏洞客观上技术实现技术发展局限永远存在的编码失误环境带来的动态变化主观上未能避免默认配置对漏洞的管理缺乏人员意识 安全漏洞的特性 半衰期 在某一范围内 某一漏洞影响到的主机的数量减少为一半的时间 流行性 50 的最流行的高危漏洞的影响力会流行一年左右 一年后这些漏洞将被一些新的流行高危漏洞所替代 持续性 4 的高危漏洞的寿命很长 其影响会持续很长一段时间 尤其是对于企业的内部网络来说 某些漏洞的影响甚至是无限期的 漏洞的影响 漏洞造成的影响远程执行命令远程拒绝服务远程信息泄漏本地权限提升 2007年操作系统漏洞情况 我们身边软件的情况 漏洞 蠕虫 其中红色代码和尼姆达蠕虫的变种一直持续到03年还在爆发 实例说明系统高危漏洞影响 Blaster蠕虫利用RPC漏洞的爆发过程 总体情况 99 ofsecuritybreachestargetknownvulnerabilitiesforwhichthereare