ddos攻擊的原理與防御_第1頁
ddos攻擊的原理與防御_第2頁
ddos攻擊的原理與防御_第3頁
ddos攻擊的原理與防御_第4頁
ddos攻擊的原理與防御_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、DDos的攻擊原理與防御檢測機(jī)制Theory, Defense and Detection of DDos小組成員:陽健 龐孟 王薈雯目 錄DDos研究背景及原理DDos的主要攻擊方式實(shí)驗(yàn)DDos檢測防御機(jī)制美國幾個(gè)著名的商業(yè)網(wǎng)站(例如Yahoo、eBay、CNN、Amazon、 )遭受DDos攻擊。國內(nèi)諸多網(wǎng)站,如暴風(fēng)影音、百度等也屢遭攻擊。2013年3月,歐洲的反垃圾郵件公司Spamhaus網(wǎng)站遭遇史上最大流量DDos攻擊,攻擊流量峰值高達(dá)300Gbps。DDos分布式拒絕服務(wù)單個(gè)攻擊者的Dos攻擊模型多攻擊者的DDos攻擊模型DDos攻擊模型準(zhǔn)備階段:收集了解目標(biāo)信息占領(lǐng)傀儡機(jī)和控制臺實(shí)

2、施攻擊DDos攻擊過程DDos攻擊現(xiàn)象:網(wǎng)絡(luò)擁塞、無法正常處理請求、無法正常通訊、死機(jī)常用DDos攻擊類型直接洪流攻擊反彈式攻擊攻擊者向被攻擊的主機(jī)發(fā)送大流量的攻擊數(shù)據(jù)流以達(dá)到擁塞其網(wǎng)絡(luò)帶寬的目的。eg:TCP、UDP、ICMP攻擊者向網(wǎng)絡(luò)廣播源IP地址為被攻擊者IP地址的請求響應(yīng)報(bào)文。eg:ICMP ECHODDos攻擊分類代表性的DDos攻擊程序主要有4種: Trinoo、TFN、TFN2K和Stacheldrant.攻擊工具-TFN2KTFN2K德國黑客Mixter編寫應(yīng)該算是DDos攻擊中的代表作,其所能實(shí)現(xiàn)的功能讓人瞠目結(jié)舌,嘆為觀止.(對它的敬畏有如滔滔江水,連綿不絕.)Victi

3、ms:YahooAmazonCNNe-bayUs攻擊工具-TFN2K主控端-tfn代理端-tdanyhost這個(gè)程序被設(shè)計(jì)成大多數(shù)的操作系統(tǒng)可以編譯,以表明現(xiàn)在的操作系統(tǒng)沒有特別安全的,包括Windows,Solaris,Linux及其他各種unix。加密icmptcpudp隨機(jī)單向通信多達(dá)10種指令指令code自由配置偽造源地址端口SYN/ UDP/ ICMP/ SMURF/ TARGA3 / MIXC實(shí)驗(yàn)環(huán)境教學(xué)樓C106實(shí)驗(yàn)過程192.168.1.152Before實(shí)驗(yàn)過程192.168.1.121What I do實(shí)驗(yàn)過程192.168.1.152After 1min實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)過程A

4、312192.168.2.120頭腦風(fēng)暴攻擊開始后,各實(shí)驗(yàn)室都明顯出現(xiàn)了網(wǎng)絡(luò)擁塞。5、6分鐘后,C106已經(jīng)不能從外部訪問。路由器,使用NAT穿透技術(shù),使局域網(wǎng)電腦能夠訪問廣域網(wǎng)。路由器的處理能力較大,但是,NAT table是有限的。主控端-tfn代理端-tdanyhost頭腦風(fēng)暴在廣域網(wǎng)中攻擊的時(shí)候,代理端均處在廣域網(wǎng),不會出現(xiàn)上述問題。新思路:如果要攻擊局域網(wǎng),無需使用DDos,只要在局域網(wǎng)內(nèi)部安裝木馬程序,使路由器NAT table無法承載即可攻陷一個(gè)局域網(wǎng)。頭腦風(fēng)暴Normal Socket原理DataApplicationTransport LayerNetwork LayerRa

5、w Socket原理DataApplicationTransport LayerNetwork Layer目前DDos攻擊檢測主要有兩種策略,基于誤用的檢測和基于異常的檢測?;谡`用的檢測:根據(jù)已知的DDos攻擊流特征進(jìn)行檢測,依賴于收集的DDos攻擊的特征庫?;诋惓5臋z測:通過對網(wǎng)絡(luò)流量的正常情況進(jìn)行建模來檢測網(wǎng)絡(luò)中的異常狀況,目前大多數(shù)檢測方法屬于此類。DDos檢測策略檢測時(shí)間:從攻擊發(fā)起時(shí)刻到發(fā)現(xiàn)攻擊的時(shí)間差檢測率:檢測攻擊次數(shù)與實(shí)際發(fā)生攻擊次數(shù)的比率誤報(bào)率:正常網(wǎng)絡(luò)行為誤認(rèn)為攻擊次數(shù)與實(shí)際發(fā)生攻擊次數(shù)的比率漏報(bào)率:有攻擊情況下未檢測到攻擊的次數(shù)實(shí)際發(fā)生攻擊次數(shù)的比率自適應(yīng)性:根據(jù)不同

6、的攻擊情況,能否自動進(jìn)行自適應(yīng)調(diào)整。DDos攻擊檢測技術(shù)的性能指標(biāo)針對TCP協(xié)議層DDos攻擊,我們知道,TCP協(xié)議是面向連接的,TCP協(xié)議的三次握手過程是通信雙方互動和互相確認(rèn)的過程,這使得TCP數(shù)據(jù)具有對稱性和一定的穩(wěn)定性。理想情況下,TCP數(shù)據(jù)流頭部的標(biāo)識位有如下統(tǒng)計(jì)特征:基于標(biāo)志位與IP熵的檢測算法當(dāng)有DDos攻擊發(fā)生時(shí),以SYNFlooding為例,短時(shí)間來看網(wǎng)絡(luò)中會涌現(xiàn)出大量的SYN和SYN+ACK數(shù)據(jù)報(bào)文,從而數(shù)據(jù)流頭部的標(biāo)識位會產(chǎn)生如下變化:基于標(biāo)志位與IP熵的檢測算法基于上述分析,我們可以為M1、M2設(shè)定合理的閾值參數(shù),并作為衡量服務(wù)器是否收到DDos攻擊的參考標(biāo)準(zhǔn):當(dāng)M1達(dá)到閾值,且M2為負(fù)數(shù)并達(dá)到給定閾值范圍內(nèi),則進(jìn)行入侵攻擊警報(bào)。否則,轉(zhuǎn)入下一個(gè)判定階段:IP熵值計(jì)算判定?;跇?biāo)志位與IP熵的檢測算法DDos攻擊一般利用大量的傀儡機(jī)來發(fā)起攻擊,攻擊發(fā)生的時(shí)間窗口內(nèi)統(tǒng)計(jì)得到的源IP地址跟正常情況相比會多出很多,而且大多在之前都沒有與目的IP進(jìn)行通信,導(dǎo)致源IP分布的分散度大幅增大,也即IP熵值增大。我們可以采取信息熵對源IP地址的分散度進(jìn)行度量,并合理設(shè)定IP熵的上限閾值,從而進(jìn)一步判定服務(wù)器是否收到攻擊?;跇?biāo)志位與IP熵的檢測算法其中,IP為時(shí)間窗口T內(nèi)獲取

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論