DDOS攻擊原理與攻擊技術(shù)2

welcome1DDOS攻擊原理及其攻擊方法2講演成員：楊彩霞劉龍王鈺文張尚飛3講演內(nèi)容：DOS的概念DDOS的概念DDOS攻擊原理DDOS攻擊方法4DOS的概念DOS（DenialofService）即拒絕服務(wù)拒絕服務(wù)，就相當(dāng)于必勝客在客滿的時候不再讓人進(jìn)去一樣，呵呵，你想吃餡餅，就必須在門口等吧。DOS攻擊即讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問。5DDOS的概念DDoS(distributedenialofservice)拒絕式服務(wù)攻擊利用肉機(jī)（僵尸主機(jī)）62、DOS攻擊原理DOS攻擊DDOS攻擊---就是用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)，帶寬資源，致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。---多DOS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊。

一多一多對一7DoS攻擊原理（圖）83、DDOS攻擊原理實際發(fā)起攻擊

控制

上傳DDoS程序攻擊只發(fā)布命令9分析：對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制機(jī)只發(fā)布命令而不參與實際的攻擊。10分析：對第2和第3部分計算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機(jī)器并沒有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。1112DDOS攻擊方法1、SYNflood2、Land-based3、PingofDeath4、Pingflood5、Smurf131、SYNflood 它利用TCP缺陷，通過發(fā)送大量的半連接請求，耗費CPU和內(nèi)存資源。TCP協(xié)議建立連接的時候需要雙方相互確認(rèn)信息,來防止連接被偽造和精確控制整個數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效。所以TCP協(xié)議采用三次握手建立一個連接。14BA①SYN②SYN/ACK③ACK客戶端服務(wù)器端三次握手原理15 SYN攻擊利用TCP協(xié)議三次握手的原理，大量發(fā)送偽造源IP的SYN包也就是偽造第一次握手?jǐn)?shù)據(jù)包，服務(wù)器每接收到一個SYN包就會為這個連接信息分配核心內(nèi)存并放入半連接隊列，如果短時間內(nèi)接收到的SYN太多，半連接隊列就會溢出，操作系統(tǒng)會把這個連接信息丟棄造成不能連接，當(dāng)攻擊的SYN包超過半連接隊列的最大值時，正常的客戶發(fā)送SYN數(shù)據(jù)包請求連接就會被服務(wù)器丟棄，甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。 Windows2003默認(rèn)安裝情況下，WEBSERVER的80端口每秒鐘接收5000個SYN數(shù)據(jù)包一分鐘后網(wǎng)站就打不開了。標(biāo)準(zhǔn)SYN數(shù)據(jù)包64字節(jié)，5000個等于5000*64*8(換算成bit)/1024=2500K也就是2.5M帶寬，如此小的帶寬就可以讓服務(wù)器的端口癱瘓，由于攻擊包的源IP是偽造的很難追查到攻擊源,，所以這種攻擊非常多。162、Land-based

IP欺騙：使得被信任的主機(jī)喪失工作能力，同時采樣目標(biāo)主機(jī)發(fā)出的TCP序列號，猜測出它的數(shù)據(jù)序列號。然后，偽裝成被信任的主機(jī)，同時建立起與目標(biāo)主機(jī)基于地址驗證的應(yīng)用連接。 攻擊者將一個包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。173、PingofDeath

根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當(dāng)一個主機(jī)收到了長度大于65536字節(jié)的包時，就是受到了PingofDeath攻擊，該攻擊會造成主機(jī)的宕機(jī)。184、Pingflood

該攻擊在短時間內(nèi)向目的主機(jī)發(fā)送大量ping包，造成網(wǎng)絡(luò)堵塞或主機(jī)資源耗盡。195、原理介紹（surf）一臺計算機(jī)向另一臺計算機(jī)發(fā)送一些特殊的數(shù)據(jù)包如ping請求時，會接到它的回應(yīng);如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請求包，實際上會到達(dá)網(wǎng)絡(luò)上所有的計算機(jī)，這時就會得到所有計算機(jī)的回應(yīng)。這些回應(yīng)是需要被接收的計算機(jī)處理的，每處理一個就要占用一份系統(tǒng)資源，如果同時接到網(wǎng)絡(luò)上所有計算機(jī)的回應(yīng)，接收方的系統(tǒng)是有可能吃不消的.20Smurf攻擊Smurf攻擊的作用原理就是基于廣播地址與回應(yīng)請求的。該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求（如ICMP回應(yīng)請求）的包，并且源地址偽裝成想要攻擊的主機(jī)地址，子網(wǎng)上所有主機(jī)都會用廣播包請求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。21Surf攻擊原理圖22smuf攻擊的過程

1>黑客鎖定一個被攻擊的主機(jī)（通常是一些Web服務(wù)器）；

2>黑客尋找可做為中間代理的站點，用來對攻擊實施放大（通常會選擇多個，以便更好地隱藏自己，偽裝攻擊）；

3>黑客給中間代理站點的廣播地址發(fā)送大量的ICMP包（主要是指Ping命令的回應(yīng)包）。這些數(shù)據(jù)包全都以被攻擊的主機(jī)的IP地址做為IP包的源地址；

4>中間代理向其所在的子網(wǎng)上的所有主機(jī)發(fā)送源IP地址欺騙的數(shù)據(jù)包；

5>中間代理主機(jī)對被攻擊的網(wǎng)絡(luò)進(jìn)行響應(yīng)。

23總結(jié) 這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充