DDoS攻击防御方法

SYN中继（代理）
工作原理
FW Host server
SYN中继（代理）
1) H 2) H 3) H
SYN SYN/ACK
ACK
FW FW FW SYN FW FW FW SYN/ACK ACK
4)
S S S
5)
6)
SYN中继（代理）

存在问题

FW必须建立一个很大的链表来储存所有SYN请求， 当有大量的SYN攻击包到来，FW一样会崩溃。 保护了服务器，堵死了防火墙
黑客攻防案例分析与 现代网络安全技术
主讲：柯宗贵
广东天海威数码技术有限公司
内

容
黑客攻防案例分析

当前黑客与网络安全事件的特点 大规模网络安全事件回顾 网络安全事件攻防案例分析

现代网络安全技术

内网保密技术 全网防御技术 黑客侦查与追踪技术


蜜罐（攻击陷阱）技术
DDoS防御技术
DDoS攻击防御方法

SYN网关
工作原理
FW Host server
SYN网关
SYN
1） H 2） SYN/ACK 3） H ACK FW FW FW SYN S
SYN/ACK
ACK
S S
ACK
4） H
FW
RST
S
5）
FW
S
SYN网关
快速将连接试呼从S待办队列移开，避免服务器 待办队 列堵塞 定时器超时后，向S发送连接RST（复位）取消。 存在问题 A、占用服务器缓冲 B、防火墙同样要储存SYN请求链接，攻击强烈 时，同样会堵死防火墙

工作原理
防火墙中建立每条连接都有一个连接超时值Age（又 叫生命期），一般每半秒钟减一，蓝盾防火墙会监控 系统建立的连接数量，按一定算法算出（加快了）的 递减步长STEP，降低某些可疑连接的生命期，加快这 些连接超时。
恶性服务请求攻击的防御

针对性 一般SQL数据库访问会占用服务器较多资源，黑客会分析 web页面上耗费资源的分支请求，编写程序不停调用该 分支请求，造成SQL服务器响应不过来。 工作原理 蓝盾会留给管理员一个配置接口，管理员自己可以配置 一些针对性统计策略，当在一定时间内某IP使用某SQL 语句数量超过某一阀值时，防火墙会拒绝该IP的访问。
FW
FW
SYN/ACK(sn)
H
FW FW FW FW
SYN
(SN指纹验证)
H H
SYN/ACK
ACK
H
连接指纹鉴别工作原理
A、SN序列号形成算法
B、只有当主机H回答包所携带的SN号经验 证合法后，才须建立连接代理。
2、优点 由于在未确认SYN请求的合法性前，无须建立 连接队列，所以这种方法具备以下优点：
木马与“网银大盗”
“网银大盗”案例
多媒体木马
摄像头 语音设备
传送信息
Internet
种了木马的电脑
黑客
匿名电子邮件转发

漏洞名称：Exchange Server5.5匿名转发漏洞

原理
匿名电子邮件转发

案例

深圳市二十多个邮件服务器 番禺东城小学
台湾
Internet
东城小学
日本
匿名电附件传播，设定向和 发起DDoS攻击 原理
网络恐怖主义
Net Bios 漏洞与IPC入侵
Net Bios
弱口令
例如:Administrator/12345
Net Bios 漏洞与IPC入侵
攻击原理
Net use \\192.168.0.138\IPC$ “12345” /u: “ administrator” Copy wollf.exe \\192.168.0.138\Admin$

MYDOOM事件
1月27日出现，先后出现了多种变种，SCO网站受堵， 163等邮件服务器出现问题。国内10%的电脑受感染

“震荡波”事件
5月1日出现，至今仍有新变种出现，受“冲击波”的影 响，没有造成重大危害。
大规模网络安全事件回顾
DDOS事件
广州某主机托管中心受国外黑客DDoS攻击事
件 广州南沙某集团企业外网DDoS攻击事件 篡改网页事件
解决方法

关闭139,445端口 加强帐号强度
ARP 欺骗
1.
ARP 地址解析协议
ARP协议定义了两类基本的消息： 1） 请求信息：包含自己的IP地址、硬件地址和请 求解析的IP地址； 2） 应答信息：包含发来的IP地址和对应的硬件地 址。
ARP 欺骗
2、原理
ARP 欺骗
3.
防范ARP欺骗的方法
当前黑客与网络安全事件的特点
黑客可以轻易地施行跨网、跨国攻击 复合趋势 攻击往往通过一级或者多级跳板进行 大规模事件出现日益频繁 传播速度越来越快 对pc的攻击比率越来越高 攻击事件的破坏程度在增加

当前黑客与网络安全事件的特点

黑客可以轻易地施行跨网、跨国攻击
攻击、入侵工具和工具包数量大量增加，可轻易从互
蓝盾内网保密审计系统
全网防御技术
Host A
联防中心
Internet Host B
Host C
NIDS
黑客侦查与追踪技术

蓝盾黑客侦查与追踪系统
蓝盾黑客侦查与追踪系统
系统组成
1、现场勘查分析 2、服务器监控 3、远程追踪
分析控制软件
服务监控软件
远程追踪探头
蓝盾黑客侦查与追踪系统

原理
蓝盾黑客侦查与追踪系统

远程追踪
蜜罐（陷阱）技术
一、蜜罐取证和反向拍照 1、黑客攻击三步曲
扫 描
攻 击
破
坏
试探性攻击
留后门
扫描和试探性攻击阶段黑客一般用自身IP进行。 而在进攻和破坏阶段黑客一般都会通过傀垒机进行
蜜罐（陷阱）技术
2、蜜罐取证原理
虚拟服务
记录
报警
黑客主机
反向扫描拍照
蜜罐（陷阱）技术
A、记录模块
记录所有攻击信息、攻击流程、黑客IP和使用的工具。

攻击事件的破坏程度在增加
大规模网络安全事件回顾

SQL SLAMMER蠕虫
2003年1月25日爆发，我国境内受感染两万多台

口令蠕虫事件
2003年3月8日出现，部分大学网络瘫痪

红色代码F变种
2003年3月11日发作，在我国网络中扩撒超过12万次
大规模网络安全事件回顾

冲击波蠕虫事件
2003年8月11日发现，至12月31日，150万台以上中招
木马与“网银大盗”

网银大盗II(Troj_Dingxa.A )
原理
木马程序 ，非主动传播，主要通过用户在浏览某些网 页或点击一些不明连接及打开不明邮件附件等操作时， 间接感染用户电脑 解决办法 1、终止病毒进程"svch0st.exe" 2、注册表修复 3、删除病毒释放的文件"svch0st.exe" 4、配置防火墙和边界路由器

造成危害
网络堵塞 给利用于反动宣传

解决方法
打补丁 关闭该服务或端口25
, 110
溢出攻击与DCOM RPC漏洞

溢出攻击原理
溢出攻击与DCOM RPC漏洞

DCOM RPC 漏洞原理
溢出攻击与DCOM RPC漏洞

造成的危害---冲击波
MY DOOM案例分析

邮件蠕虫:MY DOOM

其它措施

对于一些固定IP的恶性攻击蓝盾防火墙会对该IP 进行自动锁定，超过一定时间，一般为180秒后 再进行开锁。
某集团内网
蓝盾DDOS网关
FW 黑客
server
谢谢！
谢谢！！
B、报警模块
向管理机发出警报信息。
C、反向扫描拍照模快 对黑客主机进行反向扫描得出该主机的一些信息，如： 主机名、 用户名 操作平台、 版本号 启用的服务端口、 应用程序版本 信息 其它该主机存在一些漏洞信息。
DDoS攻击防御技术

当前DDoS防御技术
SYN代理 SYN网关

蓝盾DDoS防御网关

常用DDoS攻击工具
Thankgod SYN Flooder 独裁者 Trinoo TFN2K Stacheldraht

DDoS攻击案例
某市信息中心网站受DDoS攻击事件
广州南沙某集团企业外网DDoS攻击事件
现代网络安全技术
内网安全保密技术
全网防御技术
黑客侦查与追踪技术
蜜罐（攻击陷阱）技术
DDoS防御技术
内网安全保密技术

为什么需要内网保密审计系统？
1.内网信息泄漏问题 2.重要数据的保护问题 3.蠕虫病毒对边界防御体系的冲击问题
内网安全保密技术

为什么需要内网保密审计系统？
蓝盾内网保密审计系统

内网保密审计系统的作用
1.防信息泄漏和非法外联 2.重要数据的保护和监控 3.构建一个全网防御体系 4.各种网络行为的记录、审计 5.对各种攻击的检测（入侵检测功能）
蓝盾内网保密审计系统

蓝盾内网保密审计系统组成 系统由以下三部分组成： 1.网络安全监控器
2.主机代理客户端
3.控制中心
蓝盾内网保密审计系统功能
1.
2.
3. 4.
5.
6. 7. 8. 9. 10. 11.