DDOS攻击与防御讲诉.ppt

黑客主机 Data Syn Source Destination 针对land attack防护，主要通过分析判断数据包的源地址和目标地址是否相同来确认是否是Land attack。在配置安全网关时加载这一安全策略来过滤掉land attack数据报文，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的地址，从而可以有效地防范Land attack。 Land attack 受害服务器 UDP flood attack UDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。 黑客主机 53 Data UDP Destination 受害服务器 Dport UDP flood attack A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimit B. 配置相应的iptables规则 示例如下： (1)控制单个IP在一定的时间内允许指定端口UDP数量(#单个IP在60秒内只允许最多新建30个DNS请求) iptables -A INPUT -p udp --dport 53 -m recent --name webpool --rcheck --seconds 60 --hitcount 30 –j DROP (2)范围内允许通过 iptables -A INPUT -p udp --dport 53 -m recent --name webpool --set -j ACCEPT 黑客主机 53 Data UDP Destination 受害服务器 Dport 安装iptables对特定ip进行屏蔽 ping of death 死亡之Ping，（英文：ping of death, POD），是一种向目标电脑发送错误封包的或恶意的ping指令的攻击方式。通常，一次ping大小为32字节（若考虑IP标头则为84字节）。在当时，大部分电脑无法处理大于IPv4最大封包大小（65,535字节）的ping封包。因此发送这样大小的ping可以令目标电脑崩溃。 防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows 98之后的windows NT(service pack 3之后)，Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。 谢谢！ * * 防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表ACL，数据流要经过ACL的过滤才能通过。 后来的防火墙增加了NAT/PAT技术，可以隐藏内网设备的IP地址，给内部网络蒙上面纱，成为外部“看不到”的灰盒子，给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系，从而“穿透”了NAT的“防护”，很多P2P应用也采用这种方式“攻破”了防火墙。 防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马都好无办法。所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。 * 将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知。 DMZ能提供对外部入侵的防护，但不能提供内部破坏的防护，如内部通信数据包分析和欺骗。 * * * SYN Flood是当前最流行的DoS（拒绝服务攻击）之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式 。 1.客户端发送连接请求给服务器，SYN值为10； 2.服务器受到连接请求后，返回给客户端一个确认码ACK，附带一个从服务器到客户端的连接请求,SYN值为100； 3.如果正常的三次握手访问，客户端在收到服务器的连接请求后，返回给服务器一个确认码ACK，服务器接收后表明三次握手成功，一次TCP连接完成； 4.但是SYN flood攻击在服务器发送SYN+ACK应答报文以后，无法接收到客户