DDOS攻击原理与攻击技术2

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,welcome,1,DDOS攻击原理及其攻击方法,2,讲演成员：,杨彩霞,刘龙,王钰文,张尚飞,3,讲演内容：,DOS的概念,DDOS的概念,DDOS攻击原理,DDOS攻击方法,4,DOS的概念,DOS（Denial of Service）即拒绝服务,拒绝服务，就相当于必胜客在客满的时候不再让人进去一样，呵呵，你想吃馅饼，就必须在门口等吧。DOS攻击即让目标机器停止提供服务或资源访问。,5,DDOS的概念,DDoS( distribute denial of service),拒绝式服务攻击,利用肉机（僵尸主机）,6,2、DOS攻击原理,DOS攻击,DDOS攻击,-就是用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段。,-多,DOS,攻击源一起攻击某台,服务器,就组成了,DDOS,攻击。,一多一,多对一,7,DoS攻击原理（图）,8,3、DDOS攻击原理,实际发起攻击,控制,上传DDoS程序,攻击,只,发布命令,9,分析：,对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只,发布命令,而不参与实际的攻击。,10,分析：,对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的,DDoS程序,上传,到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段,隐藏,自己不被别人发现。,在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。,11,12,DDOS攻击方法,1、SYN flood,2、Land-based,3、Ping of Death,4、Pingflood,5、Smurf,13,1、SYN flood,它利用TCP缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。 TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。,14,B,A,SYN,SYN/ACK,ACK,客户端,服务器端,三次握手原理,15,SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会 把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃，甚至会导致服务器的系统崩溃。,Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节， 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。,16,2、Land-based,IP欺骗：使得被信任的主机丧失工作,能力，同时采样目标主机发出的TCP 序,列号，猜测出它的数据序列号。然后，伪装成,被信任的主机，同时建立起与目标主机基于地址,验证的应用连接。,攻击者将一个包的源地址和目的地址都设置为目标,主机的地址，然后将该包通过,IP欺骗,的方式发送给被,攻击主机，这种包可以造成被攻击主机因试图与自己,建立连接而陷入,死循环,，从而很大程度地降低了系统,性能。,17,3、Ping of Death,根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的,多个,片段的叠加,却能做到。当一个主机,收到了长度大于65536字节的包时，,就是受到了Ping of Death攻,击，该攻击会造成主机的宕机。,18,4、Pingflood,该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。,19,5、原理介绍（surf）,一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的 计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的.,20,Smurf攻击,Smurf攻击 的作用原理就是基于广播地址与回应请求的。该攻击向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且源地址伪装成想要攻击的主机地址，子网上所有主机都会用广播包请求而向被攻击主机发包，使该主机受到攻击。,21,Surf攻击原理图,22,smuf攻击的过程,1黑客锁定一个被攻击的主机（通常是一些Web服务器）；2黑客寻找可做为中间代理的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）；3黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；4中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；5中间代理主机对被攻击的网络进行响应。,23,总结,这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。,24,谢谢,25,