拒絕服務(wù)攻擊

野靜15053291What:拒絕服務(wù)攻擊是什么?內(nèi)容提要2Why:拒絕服務(wù)攻擊的動(dòng)機(jī)?3Type:拒絕服務(wù)攻擊的分類4How:DDoS攻擊過程5Examples:DDoS攻擊現(xiàn)象6Defend:如何防御拒絕服務(wù)攻擊？韓國(guó)主要網(wǎng)站同時(shí)遭黑客攻擊7月8日，一名韓國(guó)警察廳官員在位于首爾的警察廳總部介紹黑客攻擊政府網(wǎng)站的情況。

7月8日，工作人員在位于韓國(guó)首都首爾的韓國(guó)網(wǎng)絡(luò)安全中心忙碌。

這就是DDoS一、拒絕服務(wù)攻擊是什么？※服務(wù)(Service)系統(tǒng)提供的,用戶在對(duì)其使用中會(huì)受益的功能※拒絕服務(wù)(DoS:DenialofService)任何對(duì)服務(wù)的干涉如果使得其可用性降低或者失去可用性稱為拒絕服務(wù),如:計(jì)算機(jī)系統(tǒng)崩潰;帶寬耗盡;硬盤被填滿※拒絕服務(wù)攻擊攻擊者通過某種手段,有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者使服務(wù)質(zhì)量降低※攻擊方式消耗系統(tǒng)或網(wǎng)絡(luò)資源;更改系統(tǒng)配置一、拒絕服務(wù)攻擊是什么？※分布式拒絕服務(wù)攻擊（DDoS:DistributedDenialofService）如果處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或多個(gè)目標(biāo)發(fā)起拒絕服務(wù)攻擊,或者一個(gè)或多個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)受害者同時(shí)實(shí)施拒絕服務(wù)攻擊?！攸c(diǎn)攻擊來源的分散性、協(xié)同性，攻擊力度的匯聚性※事例1999年11月，在由CERT/CC組織的分布式系統(tǒng)入侵者工具研討會(huì)(DSITWorkshop)上，與會(huì)專家首次概括DDoS攻擊技術(shù)。

2000年2月7日到11日間發(fā)生的著名網(wǎng)站(包括Yahoo,Amazon,B,eBay)攻擊事件造成上百萬美元的損失。一、拒絕服務(wù)攻擊是什么？DDoS與DoS的關(guān)系：廣義上講，DDoS屬于DoS；狹義上講，DoS指的是單一攻擊者針對(duì)單一受害者的攻擊（傳統(tǒng)的DOS），而DDoS則是多個(gè)攻擊者向同一受害者的攻擊。DDoS成功的原因：1、TCP/IP協(xié)議存在漏洞，可以被攻擊者利用；2、網(wǎng)絡(luò)提供Best-Effort服務(wù)，不區(qū)分?jǐn)?shù)據(jù)流量是否是攻擊流量；3、網(wǎng)絡(luò)帶寬和系統(tǒng)資源是有限的。二、拒絕服務(wù)攻擊的動(dòng)機(jī)？※腳本小子（ScriptKiddies）：作為練習(xí)攻擊的手段※炫耀的資本※仇恨或者報(bào)復(fù)（前雇員、現(xiàn)雇員、外部人員）※惡作劇或者單純?yōu)榱似茐摹?jīng)濟(jì)原因※政治原因

2001年5月中美撞機(jī)引發(fā)的中美黑客間的網(wǎng)絡(luò)大戰(zhàn)；2003年伊拉克戰(zhàn)爭(zhēng)引發(fā)的美伊黑客大戰(zhàn)。※信息站1991年海灣戰(zhàn)爭(zhēng)期間，美特工替換了運(yùn)往伊的打印機(jī)，用帶毒的芯片破壞伊的防空系統(tǒng)?！鳛樘貦?quán)提升攻擊的輔助手段通過DoS攻擊使系統(tǒng)重啟后更改生效；通過DoS攻擊使防火墻不能工作；通過DoS攻擊使DNS癱瘓后再假冒該DNS。三、拒絕服務(wù)攻擊的分類分布式拒絕服務(wù)攻擊（DDoS）反射式拒絕服務(wù)攻擊（RDoS）三、拒絕服務(wù)攻擊分類1、分布式拒絕服務(wù)攻擊（DDos）

原理：是在傳統(tǒng)DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。也是現(xiàn)在最常用，最難以防御的一種拒絕服務(wù)攻擊。它借助于C/S技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍提高拒絕服務(wù)攻擊的威力。三、拒絕服務(wù)攻擊分類3層：攻擊者，主控端，代理端三、拒絕服務(wù)攻擊分類三者在攻擊中扮演的角色：攻擊者：操縱整個(gè)攻擊過程，它向主控端發(fā)送攻擊命令。主控端：控制代理主機(jī)，主控端安裝了特定的程序，接受攻擊者發(fā)來的特殊指令，并把這些命令發(fā)送到代理主機(jī)上。代理端：代理端是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。分布式拒絕服務(wù)攻擊DDoS優(yōu)點(diǎn)：1.攻擊力大；

2.其隱蔽性和分布性很難被識(shí)別和防御。

三、拒絕服務(wù)攻擊分類2、RDoS(反射式拒絕服務(wù)攻擊)

之前有過百度受到拒絕服務(wù)攻擊而造成30分鐘的無法訪問事情，但問題在于百度如此的大的網(wǎng)站，如果說在技術(shù)上尋找漏洞進(jìn)入系統(tǒng)還是有可能的話，那么，使用DDOS來攻擊百度并且造成30分鐘的拒絕服務(wù)實(shí)在令人費(fèi)解，百度服務(wù)器的吞吐量巨大，并且有完善的安全機(jī)制，分布式拒絕服務(wù)攻擊對(duì)百度的威脅應(yīng)該說是很小的，那么，為什么會(huì)有無法訪問30分鐘的情況發(fā)生呢？原因就是攻擊者使用了一種新式DDOS攻擊方式，“反射式拒絕服務(wù)攻擊（RDoS）”這種新式的攻擊手段在國(guó)內(nèi)并不多見，并且這種攻擊程序在互聯(lián)網(wǎng)上也很難下載到。攻擊所需要的大量肉雞，都是服務(wù)器級(jí)別的，他們具有較大的網(wǎng)絡(luò)吞吐能力與數(shù)據(jù)處理能力。四、DDoS攻擊過程分布式拒絕服務(wù)攻擊步驟1ScanningProgram不安全的計(jì)算機(jī)Hacker攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1InternetHacker被控制的計(jì)算機(jī)(代理端)黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。2分布式拒絕服務(wù)攻擊步驟2Internet四、DDoS攻擊過程四、DDoS攻擊過程Hacker

黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。3被控制計(jì)算機(jī)（代理端）MasterServer分布式拒絕服務(wù)攻擊步驟3Internet四、DDoS攻擊過程Hacker

UsingClientprogram,

黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）TargetedSystemMasterServer分布式拒絕服務(wù)攻擊步驟4Internet四、DDoS攻擊過程InternetHacker

主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。5MasterServer分布式拒絕服務(wù)攻擊步驟5TargetedSystem被控制計(jì)算機(jī)（代理端）四、DDoS攻擊過程TargetedSystemHacker

目標(biāo)系統(tǒng)被無數(shù)的偽造的請(qǐng)求所淹沒，從而無法對(duì)合法用戶進(jìn)行響應(yīng)，DDOS攻擊成功。6MasterServerUserRequestDenied分布式拒絕服務(wù)攻擊步驟6Internet被控制計(jì)算機(jī)（代理端）五、DDoS攻擊現(xiàn)象五、DDoS攻擊現(xiàn)象DDoS攻擊的現(xiàn)象：

1、被攻擊主機(jī)上有大量等待的TCP連接；2、網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假；3、制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊；4、利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求；

5、嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。

到目前為止，進(jìn)行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個(gè)形象的比喻：DDoS就好象有1,000個(gè)人同時(shí)給你家里打電話，這時(shí)候你的朋友還打得進(jìn)來嗎？不過即使它難于防范，也不是說我們就應(yīng)該逆來順受，實(shí)際上防止DDoS并不是絕對(duì)不可行的事情。主要可以從以下幾方面入手：1、優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；

2、優(yōu)化對(duì)外開放訪問的主機(jī)；

3、確保主機(jī)不被入侵和主機(jī)的安全；

4、發(fā)現(xiàn)正在實(shí)施攻擊時(shí)，必須立刻關(guān)閉系統(tǒng)并進(jìn)行調(diào)試。

六、如何防御拒絕服務(wù)攻擊？

六、Defend:如何防御拒絕服務(wù)攻擊？

做為內(nèi)部網(wǎng)的管理者，往往也是安全員、守護(hù)神。在維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù)，因而不可避免地成為DDoS的攻擊目標(biāo)，因此可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個(gè)角度去考慮。（一）主機(jī)上的設(shè)置1、關(guān)閉不必要的服務(wù)2、限制同時(shí)打開的Syn半連接數(shù)目3、縮短Syn半連接的timeout時(shí)間4、及時(shí)更新系統(tǒng)補(bǔ)?。ǘ┚W(wǎng)絡(luò)設(shè)備上的設(shè)置１.防火墻（1）禁止對(duì)主機(jī)的非開放服務(wù)的訪問（2）限制同時(shí)打開的SYN最大連接數(shù)（3）限制特定IP地址的訪問（4）啟用防火墻的防DDoS的屬性（5）嚴(yán)格限制對(duì)外開放的服務(wù)