DDoS攻击基础知识什么是DOS/DDOS攻击?DoS即DenialOfService,拒绝服务的缩写。DDOS全名是DistributedDenialofservice(分布式拒绝服务)。DNSEmail‘Zombie’Innocentpc&serverTurninto‘Zombie’一个DDoS攻击过程‘Zombie’Server-levelDDoSattacksBandwidth-levelDDoSattacksDNSEmailInfrastructure-levelDDoSattacksAttackZombies:Massivelydistributed大规模分布式SpoofSourceIP源IP欺骗Usevalidprotocols使用有效的协议攻击实施代价极低工具泛滥Botnet僵尸网络是当前互联网的首要威胁发送垃圾邮件网络钓鱼,盗取帐号/密码机密信息发动拒绝服务攻击--DDOS僵尸网络正在改变网络经济犯罪经济利益的驱动DDoS攻击发展趋势行为特征攻击规模承载协议•目标–网站-〉网络基础设施(路由器/交换机/DNS等)•流量–从几兆-〉几十兆-〉1G甚至更高–10Kpps--〉100Kpps-〉1Mpps•技术–真实IP地址-〉IP欺骗技术–单一攻击源-〉多个攻击源–简单协议承载-〉复杂协议承载–智能化,试图绕过IDS或FW•形式–DRDoS/ACKFlood–ZombieNet/BOTNET–ProxyConnectionFlood–DNSFloodDDoS技术篇攻击与防御技术DoS攻击的本质利用木桶原理,寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板DoS/DDoS类型的划分•应用层–垃圾邮件、病毒邮件–DNSFlood•网络层–SYNFlood、ICMPFlood–伪造•链路层–ARP伪造报文•物理层–直接线路破坏–电磁干扰攻击类型划分II•堆栈突破型(利用主机/设备漏洞)–远程溢出拒绝服务攻击•网络流量型(利用网络通讯协议)–SYNFlood–ACKFlood–ICMPFlood–UDPFlood、UDPDNSQueryFlood–ConnectionFlood–HTTPGetFlood攻击类型划分IDoS/DDoS攻击演变大流量&应用层混合型分布式攻击大流量型分布式攻击系统漏洞型Phase1Phase2Phase3以小搏大以大压小技术型带宽和流量的斗争我没发过请求DDoS攻击介绍——SYNFloodSYN_RECV状态半开连接队列遍历,消耗CPU和内存SYN|ACK重试SYNTimeout:30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN(我可以连接吗?)ACK(可以)/SYN(请确认!)攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接!SYNFlood攻击原理攻击表象DDoS攻击介绍——ACKFlood大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACKFlood流量要较大才会对服务器造成影响ACK(你得查查我连过你没)攻击者受害者查查看表内有没有你就慢慢查吧ACKFlood攻击原理攻击表象ACK/RST(我没有连过你呀)攻击者受害者大量tcpconnect这么多?不能建立正常的连接DDoS攻击介绍——ConnectionFlood正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect•利用真实IP地址(代理服务器、广告页面)在服务器上建立大量连接•服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应•蠕虫传播过程中会出现大量源IP地址相同的包,对于TCP蠕虫则表现为大范围扫描行为•消耗骨干设备的资源,如防火墙的连接数ConnectionFlood攻击原理攻击者受害者(WebServer)正常HTTPGet请求不能建立正常的连接DDoS攻击介绍——HTTPGetFlood正常HTTPGetFlood正常用户正常HTTPGetFlood攻击表象•利用代理服务器向受害者发起大量HTTPGet请求•主要请求动态页面,涉及到数据库访问操作•数据库负载以及数据库连接池负载极高,无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦!!DB连接池占用占用占用HTTPGetFlood攻击原理常见的DoS攻击判断方法判断与分析方法网络流量的明显特征操作系统告警单机分析arp/Netstate/本机sniffer输出单机分析抓包分析–中小规模的网络网络设备的输出–中小规模的网络Netflow分析-骨干网级别的分析方式DDOS攻击基础补充DRDOS(分布式反射拒绝服务)DRDoS是英文“DistributedReflectionDenialofServie”的缩写,中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同,该方式靠的是发送大量带有被害者IP地址的数据包给攻击...