《网络安全动画》PPT课件.ppt

1、1,天津大学网络教育学院,2,大纲,一、概述 二、攻击原理分析DoS，DDoS， DRDoS 三、各种攻击方法的介绍 四、拒绝服务攻击的检测、防范及对策 五、结束语,3,一、概述,美伊之战惨烈异常，然而战争的暴风 雨早已在网络上铺天盖地，据美联邦调查局（FBI）的一份评估报告披露最近频繁发生的针对美国政府部门和军用计算机网络攻击可能是亲伊拉克黑客所为，而且多是使用一种叫做拒绝服务的攻击手段，那么下面我们就来研究这种近来网上极为流行的黑客攻击方法。,4,典型的网络环境,群件服务器 Exchange Lotus Notes,文件服务器 W2K Server Windows NT NetWare L

2、inux,Internet网关 SMTP FTP HTTP,客户端计算机 Windows 9x NT Wks. W2K Pro.,Internet,5,黑客入侵途径,Firewall,Client,Internet Gateway,File Server,Mail Server,6,通过资源共享入侵,HACKER,7,Internet网关入侵,Internet闸门 SMTP FTP HTTP,8,文件服务器感染途径,文件服务器 W2K Server NT Server NetWare UNIX,9,新闻,最近一段时间，国内几大安全网站遭到强烈的分布式拒绝服务攻击（DDoS），服务器连接几十小时

3、无法正常工作，造成巨大的损失。而且这种攻击方法在国外也被广泛使用，下面是几则新闻很能说明问题： 1， “2000年7，8，9，日三天，美国最著名的几大网站Yahoo!,eBay,Buy,CNN,相继遭到网络黑客狂风暴雨式的攻击，导致网站瘫痪服务中断。这次黑客攻击就采用了这种拒绝服务的变种分布式拒绝服务攻击技术。” 2，“2002年1月11日凌晨两点，被一种更先进的恶意洪水数据包攻击。这种新型攻击形式我们称之为分布式反射服务攻击。” 3，“2002年美国当地时间10月21日，全世界13台路由DNS服务器（RouteServer）同时受到了DDoS（分布式拒绝服务）攻击。值得庆幸的是并没有酿成严重

4、事故。但此事再次表明，在因特网上目前仍旧存在很多充当DDoS攻击帮凶的机器。每台机器的预防策略的不完善就有可能威胁到因特网赖以存在的基础。”,10,攻击目的,拒绝服务攻击可谓害人不利己，它采取向受害者发送海量的超常数据包的形式，造成受害主机所在网段的拥塞，受害主机被数据包淹没，使得网络中断甚至主机崩溃。 拒绝服务攻击的目的就是让被攻击目标无法正常工作，既是剥夺了合法用户享有网络用户的权利。比如： （1）用数据流淹没一个网络，从而阻止合法用户网络传输。 （2）破坏两个主机之间的连接，从而破坏用户网络服务。 （3）阻止用户得到网络服务。 （4）阻止某些服务提供给某些阻止和个人。 从攻击的角度看来，

5、目标可以很复杂因为和完全攻破一个系统相比，造成系统拒绝服务要更加容易些，因此，很多黑客新手都会以这种方法来攻击网站从而获得一种刺激和快感。但这种纯粹为了造成对方网络瘫痪而进行的拒绝服务是真正黑客高手所不屑一顾的。虽然真真的黑客很少单纯为了攻击而去攻击，但这并不是说他们就不使用拒绝服务攻击高手们所使用的拒绝服务通常是为了完成其他的攻击所必须做的，例如：,11,攻击目的,（1）在目标机上放了木马，需要让目标机重启。 （2）为了完成IP欺骗攻击，而被冒充的主机却瘫痪了。 （3）在正式攻击前，需要使目标的日志记录系统无法正常工作。 而在被攻击一方看来，当遭到攻击时，系统会出现一些异常现象，例如系统出显

6、蓝屏、CPU占用率达到100%等。,12,二、攻击原理分析DoS、DDoS、DRDoS,众所周知，现在网络互连是基于TCP/IP协议的，在TCP/IP协议在制定时并没有考虑安全因素，因此存在很多安全漏洞。这些漏洞包括如下一些： 源IP地址可以任意改变、无限制的SYN连接、采用错误的数据包（包头偏址或其他坏包）对IP栈的攻击、流地址及故意丢失认证信息的数据、缺乏对信息源的有效认证，通常只依靠数据包的IP地址，而IP地址有可以伪造，当数据包在INTERNET上传输时，中间的路由器通常只关注数据包的目的地址，而数据包的源地址通常被忽略，这是导致服务拒绝攻击的一个关键因素。,13,综述,通常,DoS攻

7、击的目标是你网络的TCP/IP内层结构。这些攻击分为三种:第一种是利用给定的TCP/IP协议栈软件的弱点;第二种是利用TCP/IP协议的漏洞;第三种是不断尝试的野蛮攻击.然而攻击的最多种类是利用TCP/IP协议上的漏洞造成拒绝服务，例如曾经一度流行甚至于让网管闻之色变的Land攻击，就是利用了IP协议中源地址容易被欺骗的弱点发动的攻击，使用欺骗性的SYN（使用伪装的IP地址向计算机主机发送网络请求）数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。所以它并不是针对某一特殊系统，而是对凡是运行于TCP/IP协议上的

8、所有系统均可造成拒绝服务攻击，这也是这种攻击如此普遍的原因之一。常见的 Outlook，e-mail,蠕虫病毒,Melissa及其同类可以被看作是DoS攻击的代理者,因为它们驱使Outlook程序的客户端向服务器不停的发出充满了蠕虫病毒的信件直到服务器在重压之下瘫痪.。,14,1.DoS,所谓拒绝服务的攻击是指利用系统与程序本身的设计缺陷占用系统资源，从而造成系统的运行迟缓或瘫痪，它的英文名是：Denial of Service,可不要认为是十年前我们用的那种操作系统Dos，Disk Operation System。 从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很 有

9、效的进攻方式。 图1DoS攻击的原理 从图1中我们可以 看出DoS攻击的基本过程：首先攻击者向 服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。,15,DoS,通常,DoS攻击的目标是你网络的TCP/IP内层结构。这些攻击分为三种:第一种是利用给定的TCP/IP协议栈软件的弱点;第二种是利用TCP/IP协议的漏洞;第三种是不断尝试的野蛮攻击.然而攻击的

10、最多种类是利用TCP/IP协议上的漏洞造成拒绝服务，例如曾经一度流行甚至于让网管闻之色变的Land攻击，就是利用了IP协议中源地址容易被欺骗的弱点发动的攻击，使用欺骗性的SYN（使用伪装的IP地址向计算机主机发送网络请求）数据包,它带有一个伪装的IP地址,使得它看起来像是来自你自己的网络。现在,SYN攻击就像是来自于你防火墙的内部,这使得问题更加严重。所以它并不是针对某一特殊系统，而是对凡是运行于TCP/IP协议上的所有系统均可造成拒绝服务攻击，这也是这种攻击如此普遍的原因之一。常见的 Outlook，e-mail,蠕虫病毒,Melissa及其同类可以被看作是DoS攻击的代理者,因为它们驱使O

11、utlook程序的客户端向服务器不停的发出充满了蠕虫病毒的信件直到服务器在重压之下瘫痪.。,16,2.DDoS,DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击,或者说是一种它的变种和增强版，具体就是一种分布、协作的大规模攻击方式，这种攻击主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现。 而要理解DDoS的原理，首先应该搞清楚分布式的意思。“分布”是指把较大的计算量或工作量有多个处理器或多个接点共同协作完成。所以不难理解D

12、DoS攻击就是攻击者利用一批受控制的机器（主控端和代理端）向同一台机器（受害者）发起攻击，每个攻击端也是一台已被入侵并运行特定程序的系统主机，攻击端的程序由主控端的攻击程序来控制。当攻击者向主控端发出攻击命令后，在由攻击端向被攻击目标送出发出拒绝服务攻击的数据包，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。,17,客户端感染途径,客户端计算机 Windows 9x NT Wks.,18,Internet,DDoS攻击原理图,HACKER,Create,感染, 潜伏, 扩散,攻击 破坏,拒绝服务,利用系统后门感染,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,DDOS,A

13、ctivate 100, 300 or 600 threads to attack random IP address servers,19,DDoS,从图2可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。 为了提高分布式拒绝服务攻击的成功率,攻击者一般需要先控制大量的主机来作为主控端和攻击端。这些主机一般需要是UNIX主机。但让，这些攻击工具也能够移植到其他平台上运行，但是要麻烦一些了。这些工具入侵主机和安装程序的过程都是自动化的。这个过程可分为以下几个步骤： （1）入侵并控制大量主机从而获取控制权。 （2）在这些被入侵的主机中安装DDoS攻击程序。 （

14、3）利用这些被控制的主机对攻击目标发起DDo S攻击。 它的精髓在于用许多台计算机同时向目标网站发送大量信息；一个黑客只有1台计算机，即使他夜以继日的黑别人的网站，一年也只能控制1000台计算机，要命令这些计算机同时向目标网站进攻，不可能手动完成。因此如果要实施DDOS，首先要做一个软件出来，这个软件必须能够像病毒一样能够传染，在网上扩散；还必须能够像病毒一样潜伏，不让别人发现；更重要的是它必须能接收你发布的指令，在某一时刻向某个网站发动,20,DDoS,攻击。所以对于DDOS来说，战争早在几个月之前就已经静悄悄地打响，默默地蔓延。等到攻击的一刻，就是它落幕的一刻了。 由于整个过程是自动化的，

15、攻击者能在5秒中之内入侵一台主机并安装攻击工具。可想而知，在短短的一小时内就可以入侵数千台主机。而且由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。,21,文件服务器感染途径,文件服务器 W2K Server NT Server NetWare UNIX,22,服务器感染途径,群件服务器 Exchange Lotus Notes,23,3.DRDoS,DRDoS是Distributed Reflection Denial of Service Attack的缩写直意为分布式反射拒绝服务它是在2002年1月11日第一次现身更确切地说是第一次被我们所重视。我们通常以前遭

16、受UDP和ICMP洪水攻击，这些攻击其实都可以由被攻击者入侵的主机、zombie工具及windows系统简单的实现，但这次（上文新闻中提到的受害公司）受的攻击有所不同。由攻击的数据包显示这次是被SYN/ACK数据攻击，而通常只是SYN包。但这些洪水般的数据包几乎都是合法的SYN/ACK连接回应包。换句话说，就是一个恶意的入侵者在其他的Internet角落里利用带有连接请求的SYN数据包对网络路由器进行洪水攻击，这些数据包带有虚假的IP地址而这些地址就是。这样一来路由器就认为这些SYN是从发送出来的，所以他们便对他们发送SYN/ACK数据包作为3次握手过程的第二次握手。,24,DRDoS,恶意的

17、数据包其实就是那些被利用的主机反射到受害者主机 上。这些被反射 的数据包返 回到受害者主机 上后就形成了 洪水攻击。攻击 中最经典最核 心的就是“R” (reflection)了 ，也就是说我们 的任何一个 合法的TCP连接 请求都会得 到返回数据包 （SYN/ACK）， 而攻击的办法就是如何将这个返回包直接返回到被攻击主机上。利用 数据包的IP欺骗方法，来欺骗那些被利用的TCP主机认为TCP请求连 接是从被攻击主机上发出来的，这样就可以导致DRDoS。,25,三、攻击方法介绍1DoS攻击方法,1.TCP-SYN-FLOOD攻击 这种攻击中，攻击这发送大量的半连接，且连接的源地址是伪造的，造成

18、服务器过载而不能提供服务。 我们知道在正常的TCP/IP连接中，用户想访问的网站服务器发出一条连接请求（SYN），服务器接受请求后，确认该请求，并发出确认信息（ACK）,从而通过这样三次交流，通常称为为三次握手，完成一次完整的TCP连接，以后用户就可以和网站进行交流了。而在TCP-SYN-FLOOD攻击中，攻击者向服务器发出大量的连接请求，使其满负荷，并且所有请求的返回地址都是伪造的，当服务器企图将确认信息返回给用户时它将无法找到这些用户，这种情况下服务器只好等待，并不断给该用户发请求确认信息，直到该信息超过时才能关闭这种办连接。当服务器关闭连接后，攻击者又发送一批虚假请求，以上过程又重复发生

19、，指导服务器因过载而拒绝服务。,26,Dos攻击方法,2.ICMP广播风暴攻击 在这种攻击中，攻击者通过发送大量的目的地址指向广播地址且源地址为受害者主机地址的ICMP ECHO请求包，从而引起大量的广播包发向受害者主机，是受害者主机被数据包淹没，引起网络拥塞。 ICMP 是在网络中用来交流网络状态和差错控制包括网络拥塞及其它网络传输问题的协议。ICMP还可以用来确定某一主机是否在线。ICMP是网络中进行网络故障诊断的有效工具。在TCP/IP网络中，网络中主机的数据包可以发给任意的主机或广播整个网络。如果数据包的目的地址是一局域网的广播地址，则局域网中的每一主机都可以收到。在ICMP 广播攻击

20、过程中，攻击者通过发送大量的伪造ICMP ECHO 请求包，通常目的地址指向一个高速局域网的广播地址，如果该局域网没有禁止这种ICMP ECHO请求包，则该局域网上的主机就回复这种请求包，从而引起受害主机的网络拥塞，攻击者制造了许多工具，用来侵入很多网络同时发起这种攻击，造成受害主机被汹涌而至的数据包淹没。,27,DoS攻击方法,3.“流（stream）”攻击 流攻击发送带有ACK标记集或同时带有SYN和ACK标记集的TCP包。因为他们并不是连接的组成部分，因此他们将“困扰”目标计算机并且需要操作系统花一定的时间去处理 。如果这种记忆攻击以分布式方式进行，那么攻击者只需要较少的主机就能使目标主

21、机计算机超载。 4.多点广播攻击 目前还未实现的特征是多点传送地址（multicast addresses）。多点传送地址由路由器转发，它可以将一个数据包倍增成多个数据包。其基本概念是从一个多点传送源（224.xxx）发送数据包，目标计算机将给该多点传送源回送一条错误信息，并成倍的占用网络带宽。 5.UDP服务攻击 由于UDP不提供流量控制，UDP按发送方的发送的速率发送数据，不管接收方的缓冲区是否装的下，因此提供UDP服务的主机已遭受来自UDP数据风暴的攻击，攻击者向受害者主机发送海量的数据，使得受害主机被淹没。,28,DoS攻击方法,6.攻击入侵监测系统 故意发送特殊的字符串，是入侵监测系

22、统（IDS，Intrusion Detection Systems）将他们误认为是非法登陆，由此造成误报，最终使IDS过载或崩溃。 7.Smurf攻击 Smurf攻击的威胁性在于，它是一种具有放大效果的攻击方式，这种放大效果的原理是这样的：攻击者冒充被攻击者向某个网络上的广播设备发送请求，然后广播设备将请求转发给该网络上的大量设备，于是所有的这些设备都向被攻击者进行回应，这样就达到了使用很小的代价来进行大量攻击的目的。 例如，攻击者冒充被攻击者的IP，使用ping来对一个C类网络的广播地址进行发送ICMP包，这样，该网络上的254台主机都会对被攻击者的IP发送ICMP回应包，那么，攻击者每发一

23、个包就会给被攻击者带来254个包的攻击效果。当然，普通的ping命令是不允许对广播地址发包的，但是攻击者完全可以使用编程的方法来达到这种效果。,29,DoS攻击方法,不仅是ICMP包可以用来进行这种攻击，现在还有一种称为Fraggle的攻击工具利用UDP包对某一网络的广播地址发送对号端口（echo）包的攻击方式，这样，开放7号端口的主机会回应UDP包，而没有开放号端口的主机也会发送ICMP不可达消息包，同样可以达到很好的效果。 8.Land攻击 Land也是因特网上最常见的拒绝服务国际类型之一，它是由著名黑客组织rootshell发现的，原理很简单：利用向目标机发送大量的源地址和目标地址相同的

24、包，造成目标机解析Land包时占用大量的系统资源，从而使网络功能完全瘫痪。 由于这种攻击是利用TCP/IP协议本身的漏洞，所以几乎所有连在因特网上的系统都会受到它的影响，尤其是对路由器进行的Land攻击威胁更大，会造成整个网络的瘫痪。,30,DoS攻击方法,9.死亡之Ping “死亡之Ping”攻击是通过向目标端口发送大量的超大尺寸的ICMP包来实现的。当目标收到这些ICMP碎片包后，会在缓冲区里重新组合它们，由于这些包的尺寸实在太大以致于造成缓冲区溢出，从而导致系统崩溃。 这种攻击实现起来非常简单，不需要任何其他的程序，只要在Windows9x、Windows NT或Linux的命令行上输入

25、如下命令即可完成攻击： ping 165527 s 1 ,31,2.DDoS,DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。他们主要使用的攻击方法是利用TCP/IP协议中的漏洞，如允许碎片包、大数据包、IP路由选择、半公开TCP连接、数据包flood等等，这些都会降低系统性能，甚至使系统崩溃。 每个一致的拒绝服务漏洞一般都会有相应的攻击程序公布出来，每个供给程序都是独立的。一个特定的漏洞攻击程序往往只影响某一版本的TCP/IP协议。发

26、动DDoS的工具就是用各种语言将多种拒绝服务攻击结合起来。这样就提高了攻击的成功率但是这类分布式拒绝服务攻击的结合工具，一般只允许一个攻击者在同一时间内攻击一个IP地址。 为了增加攻击的效率，多个攻击者可以通过IRC或电话保持联系，并每个人负责攻击不同的系统，以实现团队攻击。这种方法在探测漏洞、入侵系统、安装后门和rootkit的行动中经常被使用。,32,2.DDoS,虽然存在一些使用上的限制，但这类集合工具仍然在不断的增加各种攻击程序，并形成一个叫“拒绝服务集群”的软件包其中就有: 1、Trinoo Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其

27、处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是： 攻击者主机到主控端主机：27665/TCP 主控端主机到代理端主机：27444/UDP 代理端主机到主服务器主机：31335/UDP 2、TFN TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。,33,2.DDoS,3、TFN2000 TFN2000是由TFN发展而来的，在TFN所具有的特性上，TFN2000又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能

28、混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2000可配置的代理端进程端口。 4、Stacheldraht Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。 5、SYN-Flood SYN-Flood是目前最流行的DDoS攻击手段，早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程。SYN-Flood的攻击效果最好，

29、应该是众黑客不约而同选择它的原因吧。那么我们一起来看看SYN-Flood的详细情况。,34,2.DDoS,SYN Flood原理 - 三次握手 SYN Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手SYN-Flood存在的基础。 TCP连接的三次握手 ： 如右图，在第一步中， 客户端向服务端提出连接请 求。这时TCP SYN标志置位。 客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认

30、收到服务端的ISN(ACK标志置位)。到此为止建立完整 的TCP 连接，开始全双工模式的数据传输过程。,35,2.DDoS,假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维

31、护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）,36,3.DRDoS,在smurf攻击的中向一个广播地址发送一个合法的ping请求，可想而知，广播地址

32、就会对本地网段中的所有主机进行广播，这样网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息，经过把数据包截下来，然后修改包中的源IP的值，改成被攻击主机的IP，把包修复后再循环大量发送，也就导致了数据阻塞或系统资源被占用。这个攻击方法也利用了“R”和数据包的IP欺骗。,37,四、拒绝服务攻击的检测、防范及对策,1、攻击检测方法 检测DDoS攻击的主要方法有以下几种： 根据异常情况分析 异常现象1：虽然这不是真正的“DDoS”通讯，但却能够用来确定DDoS攻击的来源。 根据分析，攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域 名服务器能够记录这些请求。由于每台攻击服务器在

33、进行一个攻击前 会发出PTR反向查询请求，也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。 异常现象2：当DDoS攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极 限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。,38,1.检测方法,异常现象3：特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包，通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128 字节。那些大小明显大得多的数据

34、包很有可能就是控制信息通讯用的 ，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通讯，DDoS服务器的位置就无所遁形了，因为控制信息通讯数据包的目标地址是没有伪造的。 异常现象4：不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议（包括基于连接的协议）通过基于无连接通道发送数据 。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。,39,1.检测方法,异常现象5：数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。这往往是数据经过B

35、ASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K（及其变种）的特征模式是在数据段中有一串A字符（AAA ），这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码，对于使用了加密算法数据包，这个连续的字符就是“ 0”。 异常现象6：数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件，但如果这些数据包不属于正常有效的通讯时，可以怀疑正在传输的是没有BASE64编码但经过加密的控制信息通讯数据包。（如果实施这种规则，必须将20、21、80等端口上的传输排除） 总之，当你的机器出现异

36、常情况时，你最好分析这些情况，防患于未然。,40,1.检测方法,总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。 使用DDoS检测工具 当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。,41,2.防范措施及对策,由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种： A个人用户 （1）用户应该时常留意自己的网络通信量。这对

37、于个人用户和小型网络尤为重要。在这些环境中，对“正常”的出站通信量是什么样子用户已经有了一定的认识如果你的电缆调制解调器正常情况下每分钟都会闪烁几次，但忽然有一天“传输”指示灯突然亮起来而且不熄灭，这就是一个发生了不正常事件的信号。 （2）对于一般用户差不多都用的是微软的windows操作系统，所以访问Microsoft的安全站点，下载所有尚未安装的适合补丁，这样可以有效防止被黑客入侵并作为发动拒绝服务攻击的傀儡；同时也可以避免被某些有系统漏洞而导致的拒绝服务攻击方式攻击。,42,整体的防护,Firewall,File Server,Client,Internet Gateway,杀毒软件,邮

38、件内容管理,访问网站管理,OfficeScan Server,Central Control,中央控管,Mail Server,防火墙,43,防黑不可以有漏洞,Firewall,Client,Mail Server,STOP!,Internet Gateway,STOP!,STOP!,STOP!,File Server,防毒墙,邮件防护,服务器防护,网络型防护,44,A个人用户,（3）配置防火墙，阻止任何实际不需要的端口通信（或者最好忽略）。在个人计算机上使用防火墙，如windows Xp 上的ICF，而且其他公司的个人优秀防火墙如金山、瑞星、江民、诺顿、ZoneAlarm和Symantec等

39、都可以很快将无害通信量（如，从Internet Explorer 发出的Http 请求）与可疑通信量（例如，自称从winword.exe产生的IRC通信量）区别开来。 （4）当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其它节点，从而阻挡从已知攻击节点的流量。 （5）当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端或代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把

40、它清除，以免留下后患。,45,个人用户网络型防护阻止黑客入侵,网络防护服务器,邮件服务器,配置防火墙,控制流量 下载补丁 配置防火墙 及时发现漏洞,流量控制,用户应该时常 留意自己 的网络通信量,46,PC/Clients,ftp Proxy Server,HTTP Proxy Server,mail Server,Router,Firewall,Internet,防火墙系统架构,47,防火墙的作用,防火墙,STOP!,阻绝非法进出,1. 验明正身 2. 检查权限,黑客及非法IP,48,防火墙办不到的事,防火墙,木马及病毒等恶性程序可利用 email 夹带闯关,49,防火墙和杀毒软件的作用,防火墙,杀毒软件 阻绝所有恶性程序,杀毒软件,STOP!,50,B网络系统防范,（1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最低。 （2）确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。 （3）确保从服务器相应的目录或文件数据库中删除未