DDoS攻击原理及防护
- 格式:ppt
- 大小:5.89 MB
- 文档页数:58
下载文档原格式
合集下载
DDoS攻击原理及防范
一、什 么 是 DD O S
D D 0 S 是英文 D i 8 t r i b u t e d D e n i a l o f S e r v i c e 的缩写 , 意 即“ 分 布式拒绝 服务” , 那么什么又是拒绝服务( D e n i a l o f S e r v i c e ) 呢?可以这么理解 , 凡 是能导致合法用户不能够访 问正常 网络服 务的行 为都算是拒绝服务攻 击。也就是 说拒绝服务攻 击的 目的非 常明确 , 就 是要阻止合法 用户对 正常 网络 资源的访 问, 从而达成攻击 者不可告人 的 目的 。虽然 同样是 拒绝服务攻击 , 但D D o S 和D O S 还是有所不 同 , D D o S 的攻击策略侧重于 通过很多“ 僵尸主机 ” ( 被攻击者 入侵 过或可间接利用的主机 ) 向受害主 机发送 大量 看似合法 的网络包 , 从 而造成 网络阻塞或服务器 资源耗尽 而导致拒绝服务 , 分布式拒绝 服务攻 击一旦被实施 , 攻击 网络包就会犹 如洪水般涌 向受害 主机 , 从 而把合法用户的网络包淹没 , 导致合法用户 无法正 常访 问服务 器的网络资源 , 因此 , 拒绝 服务攻击又被 称之为 “ 洪 水式攻 击” ; 而D O S则侧重于 通过对 主机 特定漏洞 的利用攻 击导致 网 络栈失 效 、 系统崩 溃 、 主机死机 而无法提供正 常的 网络服务 功能 , 从 而 造成拒绝服务 。就 这两种拒绝服务攻击 而言 , 危害较大的主要是 DD o S 攻击 , 原 因是很难防范 , 至 于 DO S攻击 , 通 过给主机服务器打补 丁或安 装 防火墙 软件就 可 以很 好地 防范 , 后 文会详 细介绍 怎么对 付 D D o S 攻
的话就 更好 了, 当大量 攻击发生 的时候请他们在 网络接点处做 一下流
D D 0 S 是英文 D i 8 t r i b u t e d D e n i a l o f S e r v i c e 的缩写 , 意 即“ 分 布式拒绝 服务” , 那么什么又是拒绝服务( D e n i a l o f S e r v i c e ) 呢?可以这么理解 , 凡 是能导致合法用户不能够访 问正常 网络服 务的行 为都算是拒绝服务攻 击。也就是 说拒绝服务攻 击的 目的非 常明确 , 就 是要阻止合法 用户对 正常 网络 资源的访 问, 从而达成攻击 者不可告人 的 目的 。虽然 同样是 拒绝服务攻击 , 但D D o S 和D O S 还是有所不 同 , D D o S 的攻击策略侧重于 通过很多“ 僵尸主机 ” ( 被攻击者 入侵 过或可间接利用的主机 ) 向受害主 机发送 大量 看似合法 的网络包 , 从 而造成 网络阻塞或服务器 资源耗尽 而导致拒绝服务 , 分布式拒绝 服务攻 击一旦被实施 , 攻击 网络包就会犹 如洪水般涌 向受害 主机 , 从 而把合法用户的网络包淹没 , 导致合法用户 无法正 常访 问服务 器的网络资源 , 因此 , 拒绝 服务攻击又被 称之为 “ 洪 水式攻 击” ; 而D O S则侧重于 通过对 主机 特定漏洞 的利用攻 击导致 网 络栈失 效 、 系统崩 溃 、 主机死机 而无法提供正 常的 网络服务 功能 , 从 而 造成拒绝服务 。就 这两种拒绝服务攻击 而言 , 危害较大的主要是 DD o S 攻击 , 原 因是很难防范 , 至 于 DO S攻击 , 通 过给主机服务器打补 丁或安 装 防火墙 软件就 可 以很 好地 防范 , 后 文会详 细介绍 怎么对 付 D D o S 攻
的话就 更好 了, 当大量 攻击发生 的时候请他们在 网络接点处做 一下流
网络安全中的DDoS攻击原理与防范
网络安全中的DDoS攻击原理与防范DDoS(Distributed Denial of Service)攻击是一种常见的网络安全威胁,它通过同时向目标服务器发送大量的请求,以超出其处理能力的范围,导致被攻击系统无法正常响应合法用户的请求。
本文将介绍DDoS攻击的原理以及一些常用的防范措施。
一、DDoS攻击原理DDoS攻击的核心思想是利用大量的僵尸主机(Botnet)发起攻击请求,通过分布在不同位置、不同网络的这些主机,协同攻击目标服务器。
攻击者通过操纵和控制这些僵尸主机,将它们的流量汇集到目标服务器上。
具体而言,DDoS攻击可以分为以下几个阶段:1. 招募僵尸主机攻击者通过各种手段获取并操控大量的僵尸主机。
这些僵尸主机可能是感染了恶意软件的个人电脑,亦或是操纵了物联网设备等。
2. 命令与控制攻击者利用命令与控制(C&C)中心对僵尸主机进行远程控制。
通过C&C服务器,攻击者发送指令到各个僵尸主机,控制它们发起攻击。
3. 流量汇聚攻击者将大量的僵尸主机的流量汇集到目标服务器上,造成其网络带宽、计算资源等达到极限,无法正常服务合法用户。
4. 拒绝服务目标服务器在处理来自僵尸主机的海量请求时,无法正常处理合法用户的请求,导致服务不可用。
二、DDoS攻击的防范措施为了应对DDoS攻击,网络管理员可以采取以下一些防范措施:1. 流量过滤通过流量过滤技术,网络管理员可以实时监测网络流量,并过滤掉异常的、源自僵尸主机的请求流量。
这可以通过流量检测设备、入侵检测系统(IDS)等来实现。
2. 增加网络带宽通过提升网络带宽,服务器可以容纳更多的请求流量,从而防止因流量过大而导致服务器拒绝服务。
3. 分布式防御采用分布式防御架构可以使攻击流量在多个节点上分散处理,从而降低对单个节点造成的压力。
常见的分布式防御技术包括内容分发网络(CDN)和负载均衡等。
4. 流量清洗通过流量清洗设备,对进入服务器的流量进行实时监测和分析,快速识别和过滤掉来自攻击者的请求流量,确保合法用户的正常访问。
网络攻击原理
网络攻击原理网络攻击是指利用计算机网络进行非法入侵、破坏和获得他人信息的行为。
随着网络技术的不断发展,各种网络攻击手段也不断出现,并给网络安全带来了严重威胁。
本文将介绍网络攻击的原理和常见类型,并探讨如何提高网络安全。
一、网络攻击的原理网络攻击的原理是通过利用计算机网络的漏洞、弱点或者错误配置,对网络进行入侵、破坏和操纵。
攻击者利用各种技术手段,通过特定的代码、程序或者方法,以获取非法的利益或者对网络造成伤害。
1. 拒绝服务攻击(DDoS)拒绝服务攻击是通过向目标服务器发送大量的请求,使其超出承载能力从而导致服务不可用。
攻击者通过控制多个僵尸主机向目标服务器发送海量的请求,消耗目标服务器的网络带宽和系统资源,从而导致服务瘫痪。
2. 密码破解密码破解是指通过暴力破解、字典攻击或者社交工程等方式,获取他人的登录密码。
攻击者利用密码破解软件或者自动化脚本,尝试大量的可能密码组合,直到找到正确的密码为止。
3. 恶意软件恶意软件包括病毒、蠕虫、木马等,它们可以通过各种途径进入用户计算机系统,然后在后台执行恶意代码。
恶意软件可以窃取用户的敏感信息、监控用户的行为或者操控用户的计算机。
4. 无线网络攻击无线网络攻击是指针对无线网络进行的入侵和破坏,如Wi-Fi破解、中间人攻击、无线干扰等。
攻击者可以通过监听、篡改或者干扰无线信号来窃取用户的敏感信息或者干扰无线网络的正常运行。
二、网络攻击的常见类型1. 网络钓鱼网络钓鱼是指攻击者通过伪装成合法的机构或者网站,诱骗用户提供个人信息或者登录凭证。
常见的网络钓鱼手段包括钓鱼网站、钓鱼邮件和社交网络钓鱼等。
2. 网络蠕虫网络蠕虫是一种自我复制的恶意软件,可以通过网络传播并感染其他计算机。
蠕虫可以利用漏洞或者密码破解等方式入侵计算机系统,并通过网络传播、执行恶意操作。
3. SQL注入攻击SQL注入攻击是指攻击者通过在Web应用程序的输入框中注入恶意的SQL代码,从而绕过身份验证和访问控制,获取数据库中的敏感信息。
DDOS攻击方式和原理
DDOS攻击方式和原理DDoS(Distributed Denial of Service)攻击是一种网络安全攻击方法,旨在通过向目标服务器或网络发送大量请求和数据流量,使其无法正常响应合法用户的请求,从而使目标系统变得不可用。
DDoS攻击通常使用僵尸网络(也称为僵尸军团或僵尸机器)来发起攻击。
僵尸网络是指被攻击者或黑客控制的大量受感染的计算机和其他网络设备,这些设备通常通过恶意软件(例如:僵尸病毒、木马等)感染。
黑客可以使用命令和控制(C&C)服务器来控制并操纵这些受感染的设备,使它们同时向目标系统发送请求和数据流量。
DDoS攻击的原理是让目标系统或网络不堪重负,超出其正常处理请求和响应的能力。
攻击者通常会选择不同的攻击方式,以达到最佳的效果。
下面列举一些常见的DDoS攻击方式和原理:1. SYN Flood攻击:攻击者向目标服务器发送大量伪造的TCP连接请求。
这些请求会使服务器缓冲区满,导致合法的用户请求无法得到响应,从而造成服务不可用。
2. ICMP Flood攻击:攻击者通过发送大量的ICMP Echo请求(也称为Ping请求)来淹没目标服务器。
目标服务器会耗尽计算资源和网络带宽来响应这些请求,导致正常的流量无法被处理。
3. UDP Flood攻击:攻击者向目标服务器发送大量的UDP数据包,目标服务器会试图建立与攻击者的通信连接。
由于攻击者使用的是伪造的源IP地址,服务器无法建立连接,消耗了服务器的计算资源和网络带宽。
4. HTTP Flood攻击:攻击者通过发送大量的HTTP请求来使目标网站的服务器不可用。
这些请求通常是合法的HTTP请求,并且使用多个IP地址和用户代理进行伪装,以增加攻击的难度。
5. DNS Amplification攻击:攻击者利用DNS服务器的漏洞,发送少量的DNS查询请求,但使用了伪造的源IP地址。
由于DNS服务器会向源IP地址返回响应,目标服务器将接收到大量的DNS响应,从而导致资源耗尽。
DDoS攻击原理是什么?DDoS攻击原理及防护措施介绍
DDoS攻击原理是什么?DDoS攻击原理及防护措施介绍DDoS攻击原理是什么?随着⽹络时代的到来,⽹络安全变得越来越重要。
在互联⽹的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,⾼效性⼀直是⽹络攻击者最青睐的攻击⽅式,它严重威胁着互联⽹的安全。
接下来的⽂章中⼩编将会介绍DDoS攻击原理、表现形式以及防御策略。
希望对您有所帮助。
DDoS攻击原理及防护措施介绍⼀、DDoS攻击的⼯作原理1.1 DDoS的定义DDos的前⾝ DoS (DenialofService)攻击,其含义是拒绝服务攻击,这种攻击⾏为使⽹站服务器充斥⼤量的要求回复的信息,消耗⽹络带宽或系统资源,导致⽹络或系统不胜负荷⽽停⽌提供正常的⽹络服务。
⽽DDoS分布式拒绝服务,则主要利⽤Internet上现有机器及系统的漏洞,攻占⼤量联⽹主机,使其成为攻击者的代理。
当被控制的机器达到⼀定数量后,攻击者通过发送指令操纵这些攻击机同时向⽬标主机或⽹络发起DoS攻击,⼤量消耗其⽹络带和系统资源,导致该⽹络或系统瘫痪或停⽌提供正常的⽹络服务。
由于DDos的分布式特征,它具有了⽐Dos远为强⼤的攻击⼒和破坏性。
1.2 DDoS的攻击原理如图1所⽰,⼀个⽐较完善的DDos攻击体系分成四⼤部分,分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon,⼜可称agent)和受害着( victim)。
第2和第3部分,分别⽤做控制和实际发起攻击。
第2部分的控制机只发布令⽽不参与实际的攻击,第3部分攻击傀儡机上发出DDoS的实际攻击包。
对第2和第3部分计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序⼀样运⾏并等待来⾃攻击者的指令,通常它还会利⽤各种⼿段隐藏⾃⼰不被别⼈发现。
在平时,这些傀儡机器并没有什么异常,只是⼀旦攻击者连接到它们进⾏控制,并发出指令的时候,攻击愧儡机就成为攻击者去发起攻击了。
DDOS攻击防护的基本原理
DDOS攻击防护的基本原理DDoS攻击(分布式拒绝服务)是一种常见的网络攻击方法,旨在通过发送大量的网络请求来淹没目标服务器或网络,使其无法正常工作。
DDoS攻击的目的是使目标服务器的资源(带宽、计算能力等)耗尽,从而导致服务中断或延迟,对目标系统造成严重影响。
DDoS攻击通常利用了Internet的分布式特点,攻击者通过控制大量的分布在全球各地的“僵尸”计算机(也称为“僵尸网络”或“僵尸群”),向目标服务器发送大量的数据包。
这些“僵尸”计算机在没有被用户察觉的情况下被远程控制,攻击者可以通过操纵它们来发动集中的攻击。
为了抵御DDoS攻击,防护系统需要具备以下基本原理:1.流量分析和监测:防护系统通过监测网络流量并分析其特征,能够实时识别来自攻击者的流量。
这一步通常涉及使用各种流量分析技术来确定正常流量和恶意攻击流量之间的差异。
2.过滤和阻挡攻击流量:确定恶意攻击流量之后,防护系统需要将其过滤并阻挡在网络之外。
这可以通过使用各种过滤技术来实现,例如基于规则的过滤、黑名单或白名单过滤等。
过滤的目标是确保只有合法的流量能够到达目标服务器,而攻击流量则被阻挡在外。
3.负载平衡和流量分发:为了应对大规模的DDoS攻击,防护系统需要在各个服务器之间均衡分配流量。
这可以通过使用负载均衡器来实现,负载均衡器会将流量分发到多台服务器上,从而分散流量压力。
4.增加带宽和资源弹性:防护系统可以通过增加网络带宽和资源弹性来提高抗DDoS攻击的能力。
增加带宽能够容纳更多的流量,而资源弹性则可以在攻击发生时动态分配更多的计算和存储资源。
5.攻击流量清洗:在防护系统中,一种常见的做法是使用DDoS清洗中心。
DDoS清洗中心是一个专门用于清理来自DDoS攻击的流量的设备或服务。
当攻击流量被发现后,它们被重定向到清洗中心进行进一步分析和处理。
清洗中心利用各种技术(例如流量分析、机器学习等)来过滤出攻击流量,并只将正常的流量传递给目标服务器。
拒绝服务攻击及预防措施
拒绝服务攻击及预防措施拒绝服务攻击(Denial-of-Service Attack,简称DoS攻击)是一种常见的网络攻击方式,它以意图使目标系统无法正常提供服务的方式进行攻击,给网络安全带来了严重的威胁。
本文将介绍拒绝服务攻击的原理和常见类型,并提供一些预防措施以保护系统免受此类攻击的影响。
一、拒绝服务攻击的原理拒绝服务攻击的核心原理是通过向目标系统发送大量的请求,耗尽其处理能力或网络带宽,从而使其无法对合法用户提供正常服务。
攻击者可以利用多种方式进行DoS攻击,下面是一些常见的攻击类型:1. 集中式DoS攻击(Conventional DoS Attack)集中式DoS攻击是指通过一个或多个源(攻击者)向目标服务器发送大量请求。
这种攻击利用了网络协议本身的设计漏洞或系统资源限制,例如TCP/IP握手过程中的资源消耗问题,使得目标服务器无法正常处理合法用户请求。
2. 分布式拒绝服务攻击(Distributed Denial-of-Service Attack,简称DDoS攻击)分布式拒绝服务攻击是由多个不同的源(攻击者)同时向目标系统发起攻击,通过同时攻击的规模和多样性来超过目标系统的处理能力。
攻击者通常通过僵尸网络(Botnet)来执行此类攻击。
二、拒绝服务攻击的预防措施为了有效地应对拒绝服务攻击,以下是一些常见的预防措施:1. 增加网络带宽网络带宽是系统处理大量请求的关键资源之一。
增加网络带宽可以提高系统的处理能力,减轻拒绝服务攻击带来的影响。
同时,合理使用流量限制等机制可以控制并阻止一些恶意流量对系统的影响。
2. 强化网络设备和操作系统的安全性网络设备和操作系统的安全性是防范拒绝服务攻击的重要环节。
更新并及时修补设备和操作系统的安全漏洞,使用最新的防火墙、入侵检测系统和安全软件等网络安全工具来检测和阻止攻击流量。
3. 流量过滤和负载均衡通过使用流量过滤和负载均衡等技术,可以识别和过滤掉来自攻击者的恶意流量,将合法用户的请求分配到不同的服务器中进行处理,从而防止拒绝服务攻击对目标系统造成影响。
ddos攻击原理
ddos攻击原理DDoS攻击原理。
DDoS(Distributed Denial of Service)攻击是一种通过利用大量计算机或者网络设备对目标系统进行攻击的方式。
攻击者通过控制大量的主机,向目标服务器发送大量的请求,从而使得目标服务器无法正常响应合法用户的请求,导致服务不可用。
DDoS攻击是一种非常常见的网络攻击方式,也是网络安全领域的一个重要问题。
DDoS攻击的原理主要包括三个方面,攻击者、僵尸网络和目标系统。
攻击者通常是具有一定技术水平的黑客或者攻击团队,他们通过各种手段控制了大量的计算机或者网络设备,这些被攻击的设备组成了一个庞大的僵尸网络。
攻击者通过命令控制这些设备,让它们向目标系统发起大量的请求,从而使得目标系统无法正常处理这些请求,导致服务不可用。
僵尸网络是DDoS攻击的重要组成部分,它是攻击者进行攻击的工具。
攻击者可以通过各种方式控制这些设备,比如利用漏洞、恶意软件、僵尸网络等手段。
一旦攻击者控制了足够数量的设备,就可以发起规模庞大的攻击,从而造成目标系统的服务不可用。
目标系统是DDoS攻击的受害者,它可以是任何一个联网的系统,比如网站、服务器、网络设备等。
一旦目标系统遭受到大规模的DDoS攻击,就会导致其无法正常提供服务,给用户和企业带来严重的损失。
因此,保护目标系统免受DDoS攻击是网络安全领域的一个重要问题。
为了应对DDoS攻击,人们提出了各种防御手段。
比如利用防火墙、入侵检测系统、负载均衡器等技术手段来减轻攻击的影响。
另外,一些云安全服务商也提供了专门的DDoS防护服务,帮助用户抵御DDoS攻击。
总的来说,DDoS攻击是一种通过利用大量计算机或者网络设备对目标系统进行攻击的方式。
攻击者通过控制大量的主机,向目标服务器发送大量的请求,从而使得目标服务器无法正常响应合法用户的请求,导致服务不可用。
为了应对DDoS 攻击,人们提出了各种防御手段,以保护目标系统的安全。
希望随着技术的发展,人们能够更好地应对DDoS攻击,保障网络安全。
网络安全中的DDoS攻击与防御技术研究
网络安全中的DDoS攻击与防御技术研究第一章:引言网络安全已经成为关乎企业以及用户切身利益的前沿话题,而DDoS攻击则是其中最为严重的一种攻击手段之一。
DDoS攻击也被称为分布式拒绝服务攻击,其手段在于对一个目标系统进行频繁而大量的请求,从而导致系统瘫痪,服务不可用的情况。
为了保障网络的稳定,防御DDoS攻击已经成为网络安全方向学习者以及实践者需要深入了解的一个技术领域。
第二章:DDoS攻击原理DDoS攻击是一种利用分布式机器网络,以数据包洪流的方式对目标主机进行攻击的手段。
众所周知,一台主机的处理能力是有限的,当不断有大量的请求发向该主机时,由于处理不及时而引发服务不可用的情况。
DDoS攻击可通过发放假冒的数据包,使得主机消耗大量的处理能力,从而导致正常请求无法处理,服务中断的情况。
DDoS攻击的主要原理在于提高了攻击的强度与范围,分布式攻击可以同时进行对多个终端主机进行攻击,从而加大攻击的威力并困扰安全系统自身。
第三章:DDoS攻击形式DDoS攻击并不单一,在网络领域中它有多种变体与形式。
以下是一些常见的DDoS攻击形式:1. ICMP Flood:利用伪造IP地址的数据包大量攻击目标主机,发出请求后,袭击目标主机,使目标主机目标服务无法可用。
2. UDP Flood:利用UDP协议向目标主机发送大量的数据包,以占用目标主机的内存与cpu时间,从而达到消耗目标主机资源,使得服务不可用的目的。
3. SYN Flood:利用TCP连接请求影响目标主机,与端口扫描类似,SYN Flood攻击会向目标服务器发送大量的TCP SYN连接请求,在目标服务器响应之前就关闭连接,使得目标主机资源被大量消耗。
第四章:DDoS攻击防御技术DDoS攻击是一种可以被防范的攻击,从攻击手段引入的防御方案,正规的IT安全公司与中小企业都在寻找新的网络安全防范技术,如下提供几种防御DDoS攻击的技术方案:1. 流量监测与过滤:利用一些现代网络设备来检测流量数据的来源,对流量进行分类,并利用防火墙等技术对被过滤的数据进行隔离或者拒绝,从而达到防范DDoS攻击的目的。
DoS 攻击及解决方案
DoS 攻击及解决方案简介:DoS(Denial of Service)攻击是一种旨在使网络服务不可用的恶意行为。
攻击者通过向目标服务器发送大量请求或者占用大量资源,导致服务器无法正常响应合法用户的请求,从而使网络服务瘫痪。
本文将详细介绍DoS攻击的原理、类型,以及常见的解决方案。
一、DoS 攻击原理:DoS攻击的原理是通过消耗目标服务器的资源或者干扰其正常运作,使其无法响应合法用户的请求。
攻击者通常利用以下几种方式进行攻击:1. 带宽耗尽攻击:攻击者通过向目标服务器发送大量的数据包,占用其带宽资源,导致服务器无法处理合法用户的请求。
2. 连接耗尽攻击:攻击者通过建立大量的连接请求,占用服务器的连接资源,导致服务器无法处理新的连接请求。
3. 资源耗尽攻击:攻击者利用服务器的漏洞或者弱点,发送恶意请求或者占用服务器的资源,使其耗尽,导致服务器无法正常运行。
二、DoS 攻击类型:DoS攻击可以分为以下几种类型:1. SYN Flood 攻击:攻击者发送大量的TCP连接请求(SYN包),但不完成三次握手过程,导致服务器资源被占用,无法处理新的连接请求。
2. UDP Flood 攻击:攻击者发送大量的UDP数据包到目标服务器上的随机端口,占用服务器的带宽和处理能力,导致服务器无法正常工作。
3. ICMP Flood 攻击:攻击者发送大量的ICMP Echo请求(Ping请求),使目标服务器不断回复响应,占用其带宽和处理能力。
4. HTTP Flood 攻击:攻击者发送大量的HTTP请求到目标服务器,占用服务器的带宽和处理能力,导致服务器无法正常响应合法用户的请求。
5. Slowloris 攻击:攻击者通过发送大量的半连接请求,占用服务器的连接资源,使其无法处理新的连接请求。
三、DoS 攻击解决方案:为了有效应对DoS攻击,以下是几种常见的解决方案:1. 流量过滤:通过使用防火墙或者入侵检测系统(IDS)等工具,对传入的流量进行过滤和检测,识别并阻挠恶意流量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
• 利用木桶原理,寻找并利用 系统应用的瓶颈
• 阻塞和耗尽
• 当前的问题:用户的带宽小 于攻击的规模,造成访问带 宽成为木桶的短板
DDoS攻击本质
DDoS基本常识
不要以为可以防住真正的DDoS • 好比减肥药,一直在治疗,从未见疗效 • 真正海量的DDoS可以直接阻塞互联网
DDoS攻击只针对有意义的目标 • 如果没被DDoS过,说明确实没啥值得攻击的 • DDoS是攻击者的资源,这个资源不是拿来乱用的
流量大 频次高
2015年全年DDoS攻击数量为 179,298次,平均20+次/小时。
复杂化 产业化
预测未来
• 1. DDoS攻击峰值流量将再创新高; • 2. 反射式DDoS攻击技术会继续演进; • 3. DNS服务将迎来更多的DDoS攻击; • 4. 针对行业的DDoS攻击将持续存在。
1 DDoS攻击的历史 2 DDoS攻击方式 3 DDoS防护思路及防护算法 4 常见DDoS工具
DNSPOD
.org
.com
.net
顶级域服务器
授权域服务器
“5·19”断网事件 —— 前奏
客户端
ISP
缓存服务器 解析服务器
攻击是动态的过程,攻防双方都需要不断调整 • 防住了攻击千万不能掉以轻心,可能攻方正在调整攻击手段 • 小股多段脉冲攻击试探,海量流量一举攻瘫
DDoS防御基本常识
安全服务总是在攻击防不住的时候才被想起来 • DDoS是典型的事件触发型市场 • 应急,演练,预案在遭受攻击之前,很少受重视
武器化---网络战
事件 : 匿名者挑战山达基教会 时间:2008年 后果:LOIC的大范围使用
普及化---黑客行动主义
事件 : 海康威视后门 时间:2014年 后果:DNS大面积不能解析
普及化---黑客行动主义
“5·19”断网事件 —— 背景
客户端
ISP
缓存服务器 解析服务器
电信运营商
root 根域服务器
Sensitive information
leakage
真正的攻击者“用户与合作者”?
DDoS Spamming
Phishing
Identity theft Social
engineering
最终价值
非法/恶意竞争 偷窃
间谍活动 企业/政府 勒索盈利 商业销售 欺诈销售
点击率 金融欺诈
魔高一尺,道高一丈
顶级域服务器
10G
授权域服务器
DDOS形势---智能设备发起的DDoS攻击增多
DDoS攻击的动机
• 技术炫耀、报复心理
– 针对系统漏洞 – 捣乱行为
• 商业利益驱使
– 不正当竞争间接获利 – 商业敲诈
• 政治因素
– 名族主义 – 意识形态差别
DDOS攻击地下产业化
需求方、 服务获取者、 资金注入者
攻击实施者
我们在同一个地 下产业体系对抗 地下黑客攻击网络
攻击工具
传播销售
漏洞研究
工具、病毒 制作
漏洞研究、 目标破解
僵尸网络
制造、控制, 培训、租售
学习、 赚钱
培训 广告 经纪人
上述现象的背后 – 原始的经济驱动力
.org ຫໍສະໝຸດ 电信运营商5 月 18 日 DNSPOD 遭拒绝服 务攻击,主站无法
访问
root 根域服务器
.com
.net
DNSPOD
顶级域服务器
10G
授权域服务器
事件 :史上最大规模的DDoS 时间:2013年 后果:300Gbit/s的攻击流量
工具化---有组织攻击
事件 :爱沙尼亚战争 时间:2007年 后果:一个国家从互联网上消失
武器化---网络战
事件 :格鲁吉亚战争 时间:2008年 后果:格鲁吉亚网络全面瘫痪
武器化---网络战
事件 :韩国网站遭受攻击 时间:2009年~至今 后果:攻击持续进行
“5·19”断网事件 —— 断网
客户端 大量 DNS 查询
ISP
缓存服务器 解析服务器
baofeng. com
缓存过期
超时重试
.org
电信运营商
5 月 19 日 DNSPOD 更大流量 拒绝服务攻击,整
体瘫痪
root 根域服务器
.com
.net
DNSPOD
工具编写者“研发人员”?
Toolkit Developer
Malware Developer
工具滥用者“市场与销售”?
Direct Attack
Building Botnets
Virus Worm Spyware Trojan
Botnets: Rent / Sale /
Blackmail
Information theft
如果攻击没有效果,持续的时间不会很长 • 无效的攻击持续的时间越久,被追踪反查的概率越大 • 被消灭掉一个C&C服务器,相当于被打掉了一个Botnet
DDoS基本常识
低调行事,被攻击者盯上的概率小 • 闷声发大财,显得挣钱不容易 • 很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS
能防住的攻击通常简单,简单的未必防得住 • 成功的DDoS伴随着攻击者对攻击目标的深入调研 • 利用漏洞,应用脆弱点,一击定乾坤
DDOS攻击与防范
绿盟科技 马林平
© 2016 绿盟科技
1 DDoS攻击的历史 2 DDoS攻击方式 3 DDoS防护思路及防护算法 4 常见DDoS工具
目录
DDoS攻击历史
01
02
03
04
探索期 工具化 武器化 普及化
DDoS攻击历史
探索期---个人黑客的攻击
事件 :第一次拒绝服务攻击(Panic attack) 时间:1996年 后果:至少6000名用户无法接受邮件
探索期---个人黑客的攻击
事件 :第一次分布式拒绝服务攻击(Trinoo) 时间:1999年 后果:连续多天的服务终止
工具化---有组织攻击
事件 :燕子行动 时间:2012年 后果:大部分美国金融机构的在线银行业务遭到攻击