系统优化 路由器优化
防不了 抓不到
可检测某些 攻击的类型 ……
?
?
1.抵抗小规模攻 击 2.牺牲正常访问
DDoS攻击 者
入侵检测
1.抗DDoS模块 2.访问控制措施 ……
1.无法有效阻断
2.基于特征的机制
?
1.缺乏检测机制 2.防护效率低下
防火墙
1.DNS轮 询 2.冗余设备 ……
3.自身成为目标
退让策略
攻击者

正常tcp connect
正常用户 不能建立正常的连接
受害者
连接耗尽攻击实例
演示和体会DoS/DDoS攻击－连接耗尽
SYNbingdun
UDP洪水攻击
因为UDP的不可靠性，通过发送大量UDP数据包而导致目标系统 的计算负载出现显著增加的事情并不那么容易发生。除了能够在 最短时间里发出尽可能多的UDP数据包以外，UDP洪水没有任何 技术方面的突出之处。然而，他确给网络带来巨大的威胁（考虑 为什么？）
攻击者
DDoS攻击介绍——Connection Flood
Connection Flood 攻击原理
大量tcp connect
正常tcp connect 正常tcp connect
正常tcp connect 正常tcp connect 正常tcp connect 这么多？

攻击表象
利用真实 IP 地址（代理服务器、广告 页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效 率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相 同的包，对于 TCP 蠕虫则表现为大范围 扫描行为 消耗骨干设备的资源，如防火墙的连接 数
分布式拒绝服务攻击（DDOS)
DDoS代理与“傀儡机”
发生在2000年的DDos攻击使得Tribe Flood Network(TFN)、Trinoo和Stacheldraht等工 具名声大噪，以它们为蓝本的后续工具包TFN2K、WinTrinoo、Shaft和mStreams。 TFN是第一个公开的Linux/UNIX分布式拒绝服务攻击工具。TFN有客户端和服务器端 组件，允许攻击者安装服务器程序至远程的被攻陷的系统上，然后在客户端上使用简单的 命令，就可发起完整的分布式拒绝服务攻击。 和TFN类似，Trinoo的工作方式也是通过一个远程控制程序和主控制进行通信来指挥 它的守护进程发动攻击的。客户端与主控之间通过TCP 27665号端口进行通信。主控端 到服务器程序的通信通过UDP 27444号端口进行，服务器到主控端的通信则通过静态 UDP 31335号端口进行。 Stacheldreht工具汇集了Trinoo和TFN的功能，而且主控端与受控端之间的Telnet会话 是加密的。 最新的DDOS变体普遍依赖IRC的“机器人”功能来管理他们的攻击活动。在各种 “机器人”软件中，流传最广的是Agobot/Gaobot系列。
随机丢包的方式虽然可以减轻服务器的负 载，但是正常连接成功率也会降低很多。
特征匹配：
ACK Flood防护
Random Drop 连接状态判断
在攻击发生时统计攻击报文的特征，定义 特征库，例如过滤不带TCP Options 的 SYN 包等。但如果攻击包完全随机生成则 无能为力。
Connection Flood防护
限制每秒钟最大连接数 无法有效防范GET Flood
针对DOS攻击的防范措施
从理论上讲，DOS攻击是永远也无法彻底防住的，DOS防范工 作的目标应该是让自己能够在任意给定时刻向数量最多的客户提供最 好水平的服务。如果能把这句话当做工作目标，再加上一些关于“服 务水平”和“最多顾客”的硬性指标，就可以为网络应用程序赢得一 个相对平稳的运行环境，同时也为自己赢得顾客的尊敬——即便是在 危机时期也会如此。 防范DOS攻击的责任必须由企业的IT团队和管理团队共同承担， 要让管理团队也参与到信息安全防线的建设工作中来，而能力/资源的 管理责任必须正确合理地落实到每一个人——不管是因为受到了DOS 的影响还是因为正常的内部调整而导致的可用性问题，都必须有人去 负担起责任。
经典DoS攻击技术
“原子弹”
这类攻击与前些年发现的一个Windows安防漏洞有关：有这 个漏洞的系统在收到OOB数据包时会发生崩溃。这类攻击在聊天和游戏网络 里很流行，它们可以让玩家把惹恼了自己的对手赶出网络。 TCP/IP协议允许发送者按照他自己的想法把数据包拆分成 一些片断。如果发送方的系统把每个数据包都拆分成非常多的片断，接受方的 系统或网络就不得不进行大量的计算才能把那些片段重新拼装起来。 微软专利的组网协议多年来一直存在着各种各样的问题， 他们的某些缓冲区溢出漏洞可以导致Dos攻击和NetBILS名字重叠攻击，遭到 攻击的Windows系统将无法接入自己所属的局域网。 因为没有耐心去一种一种地尝试哪种攻击手段可以奏效，所 以有些黑客干脆利用脚本把自己收集到的攻击工具打包在一起去攻击目标系统。
攻击表象
利用代理服务器向受害者发起大量HTTP Get请求 主要请求动态页面，涉及到数据库访问 操作 数据库负载以及数据库连接池负载极高， 无法响应正常请求
攻击者
受害者(Web Server)
占 用
占 用
占 用
正常用户
DB连接池 用完啦！！
DB连接池
HTTP Get Flood 攻击原理 受介绍——ACK Flood
ACK Flood 攻击原理
查查看表 内有没有
攻击表象
大量ACK冲击服务器
ACK （你得查查我连过你没）
受害者资源消耗 查表
你就慢 慢查吧
ACK/RST（我没有连过你呀） 受害者
回应ACK/RST ACK Flood流量要较大才会对 服务器造成影响
Server-level DDoS attacks
Infrastructure-level DDoS attacks
Bandwidth-level DDoS attacks
DNS
Email
安全设备面对DDoS的尴尬
1.ACL 2.RPF 3.QoS ……
?
1.牺牲正常访问 2.需上级ISP支 持
1.参数配置 2.协议禁止 ……
早期的Dos攻击技术
20世纪90年代中期的Dos攻击活动差不多都是基于利用操作系统里的 各种软件缺陷。这些缺陷大都属于会导致软件或硬件无法处理例外情 况的程序设计失误。这些“早期的”Dos攻击技术当中，最具危害性 的是以某种操作系统的TCP/IP协议栈作为攻击目标的“发送异常数据 包”手段。
经典DoS攻击技术
超长数据包 这是最早出现的Dos攻击技术之一，攻击者在一台 Windows系统上发出“Ping of death ”（运行“ ping -1 65510 192.168.2.3”命令，其中“192.168.2.3”是被攻击者的IP地址）是这种攻 击技术的典型运用之一。Jolt程序也属于这类攻击工具，攻击者可以利用 这个简单的C程序在操作系统自带的Ping命令无法生成超长数据包时发动 这种攻击。 数据包片断重叠 这种攻击技术的要点是迫使目标系统的操作系统去处 理彼此有重叠的TCP/IP数据包片断，而这将导致很多系统发生崩溃或出 现资源耗尽问题。这类工具主要有:teardrop、bonk和nestea。 自反馈洪水 这类攻击的早期经典实现之一是利用UNIX系统上的 Chargen服务生成一个数据流并把这个数据流的目的地设置为同一个系统 上echo服务，这样就形成一个无限循环，而那台系统将被他自己生成的 数据“冲”垮。
UDP DNS FLOOD
特点： 影响范围广 处理难度大 Eg:2007年1月,“杭州网通遭受DNS攻击” 2006年11月，“新网DNS服务器被攻击”
DNS FLOOD 攻击实例
DNS FLOOD实例
DDoS攻击介绍——HTTP Get Flood
正常HTTP Get请求
正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood
半开连接队列 遍历，消耗CPU和内存
就是让 你白等
不能建立正常的连接！
受害者
SYN|ACK 重试 SYN Timeout：30秒~2分钟 无暇理睬正常的连接请求—拒 绝服务
攻击者
SYN FLOOD 攻击实例
SYN FLOOD 攻击实例
演示和体会DoS/DDoS攻击-SYN FLOOD
SnakDos Hgod SYNbingdun
针对DOS攻击的防范措施
因为DOS攻击具有难以追查其根源（思考为什么难于追查）的特点， 所以DOS要比其他任何攻击手段都应该采用有抵御、监测和响应等多种 机制相结合的多重防线来加以防范。单独使用这些机制中的任何一种都 不能保证百分之百的安全，但如果把它们结合起来，就可以把网络财产 所面临的风险控制在一个适当的水平。
“超级碎片”
NETBIOS/SMB
DOS工具包
近期DDOS攻击方式
目前网络上能真正构成威胁的现代DoS技术：能力消耗 （capacity depletion）攻击；也有人称之为带宽耗用攻击。 早期的DOS攻击技术主要通过耗尽攻击目标的某种资源来达到目 的，但它们所利用的安防漏洞现在差不多都被修好了。在可供利用的 安防漏洞越来越少的情况下，现代DOS攻击技术采取了一个更直接的 战术:设法耗尽目标系统的全部带宽，让它无法向合法用户提供服务。 两类最重要的能力消耗DOS：通信层和应用层。
1.大量资金投入 2.抗击能力有限
?
现有攻击防护手段的不足
SYN Flood防护

UDP Flood防护
Random Drop 没有通用的解决办法，只是针对特定应用