【正文】 ? Thank You! 。 ? 使用軟件來幫助管理員搜索 ddos客戶端 ? find_ddos ? ZombieZapper ? ddosping 網(wǎng)絡(luò)監(jiān)聽攻擊 源 目的 sniffer 加密 解密 passwd $%amp。 ? 利用系統(tǒng)或應(yīng)用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包，導(dǎo)致目標(biāo)的癱瘓（稱之為 nuke) 拒絕服務(wù)攻擊典型舉例 ? SynFlood ? Smurf ? PingFlood ? UDP Flooder 拒絕服務(wù)攻擊 — SynFlood ? 正常的 TCP/IP三次握手 ? SynFlood攻擊 服務(wù)器 客戶端 SYN SYN+ACK ACK 握手完成，開始傳送數(shù)據(jù)，系統(tǒng)消耗很少 被攻擊主機(jī) 攻擊主機(jī) 偽造源地址 不存在的主機(jī) 不斷重試及等待，消耗系統(tǒng)資源 不響應(yīng) SYN SYN+ACK SynFlood的防御對(duì)策 ? 重新設(shè)置一些 TCP/IP協(xié)議參數(shù) ? 增加 TCP監(jiān)聽套解字未完成連接隊(duì)列的最大長(zhǎng)度 ? 減少未完成連接隊(duì)列的超時(shí)等待時(shí)間 ? 類似于 SYN Cookies的特殊措施 ? 選擇高性能的防火墻 ? SYN Threshold類 ? SYN Defender類 ? SYN Proxy類 拒絕服務(wù)攻擊 — Smurf攻擊 Attacker Target 目標(biāo)機(jī)器會(huì)接收很多來自中介網(wǎng)絡(luò)的請(qǐng)求 中介網(wǎng)絡(luò) 放大器 broadcast echo request 源地址被欺騙為被攻擊主機(jī)地址 其它拒絕服務(wù)攻擊 ? Fraggle ? Ping of Death ? UdpFlood ? TearDrop ? 電子郵件炸彈 Nuke類拒絕服務(wù)攻擊 ? Win Nuke ? RPC Nuke ? SMB Die 分布式拒絕服務(wù)攻擊 ? DDoS是 DoS攻擊的延伸，威力巨大，具體攻擊方式多種多樣。后來我們把進(jìn)入敵人內(nèi)部攻破防線的手段叫做木馬計(jì)，木馬計(jì)中使用的里應(yīng)外合的工具叫做 特洛伊木馬 來源于希臘神話中的特洛伊戰(zhàn)爭(zhēng) 遠(yuǎn)程控制技術(shù) ? 遠(yuǎn)程控制實(shí)際上是包含有服務(wù)器端和客戶端的一套程序 ? 服務(wù)器端程序駐留在目標(biāo)計(jì)算機(jī)里，隨著系統(tǒng)啟動(dòng)而自行啟動(dòng)。 ? 一個(gè)新的攻擊手段，第一批受害對(duì)象是那些 24小時(shí)在線的網(wǎng)站主機(jī)和各種網(wǎng)絡(luò)的邊界主機(jī)； ? 第二批受害對(duì)象是與 Inter聯(lián)網(wǎng)的，經(jīng)常收發(fā)郵件的個(gè)人用戶； ? 第三批受害對(duì)象是 OA網(wǎng)或其它二線內(nèi)網(wǎng)的工作站； ? 終極的受害對(duì)象可能會(huì)波及到生產(chǎn)網(wǎng)絡(luò)和關(guān)鍵資產(chǎn)主機(jī)。 ? 以這些代碼設(shè)計(jì)的多線程和繁殖速度，一個(gè)新蠕蟲在一夜之間就可以傳播到互聯(lián)網(wǎng)的各個(gè)角落。 “紅色代碼”的蔓延速度 尼姆達(dá) （ Nimda） 尼姆達(dá)是在 9希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長(zhǎng)的助手。利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國 CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從 CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取 1100萬美元 ? 96年 8月 17日，美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“ 美國司法部” 的主頁改為“ 美國不公正部” ，將司法部部長(zhǎng)的照片換成了阿道夫 中國黑客在這幾個(gè)重大的紀(jì)念日期間對(duì)美國網(wǎng)站發(fā)起了大規(guī)模的攻擊 ? 美國部分被黑網(wǎng)站 ? 美國加利福尼亞能源部 ? 日美社會(huì)文化交流會(huì) ? 白宮歷史協(xié)會(huì) ? UPI新聞服務(wù)網(wǎng) ? 華盛頓海軍通信站 其它12%網(wǎng)絡(luò)服務(wù)6%軍事網(wǎng)站2%教育網(wǎng)站4%機(jī)構(gòu)網(wǎng)站6%商業(yè)網(wǎng)站65%政府網(wǎng)站5%國內(nèi)網(wǎng)站遭攻擊的分布 紅色代碼 –2022年 7月 19日，全球的入侵檢測(cè)系統(tǒng) (IDS)幾乎同時(shí)報(bào)告遭到不名蠕蟲攻擊 –在紅色代碼首次爆發(fā)的短短 9小時(shí)內(nèi)，以迅雷不及掩耳之勢(shì)迅速感染了 250,000臺(tái)服務(wù)器 –最初發(fā)現(xiàn)的紅色代碼蠕蟲只是篡改英文站點(diǎn)主頁，顯示“ Wele to Hacked by Chinese!” –隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網(wǎng)上泛濫，發(fā)動(dòng)拒絕服務(wù) (DoS)攻擊以及格式化目標(biāo)系統(tǒng)硬盤，并會(huì)在每月 20日～ 28日對(duì)白宮的 WWW站點(diǎn)的 IP地址發(fā)動(dòng) DoS攻擊，使白宮的 WWW站點(diǎn)不得不全部更改自己的 IP地址。 ? 這些惡意代碼不僅能實(shí)現(xiàn)自我復(fù)制，還能自動(dòng)攻擊內(nèi)外網(wǎng)上的其它主機(jī)，并以受害者為攻擊源繼續(xù)攻擊其它網(wǎng)絡(luò)和主機(jī)。 ? 穿透深度 ? 蠕蟲和黑客越來越不滿足于攻擊在線的網(wǎng)站，各種致力于突破各種邊界防線的攻擊方式層出不窮。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。 ? 利用網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標(biāo)主機(jī)處理能力的服務(wù)請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)喪失對(duì)其他正常服務(wù)請(qǐng)求的相應(yīng)能力。 分布式拒絕服務(wù)攻擊示意圖 分布式拒絕服務(wù)攻擊步驟 ? 探測(cè)掃描大量主機(jī)以尋找可入侵的目標(biāo)； ? 入侵有安全漏洞的主機(jī)并獲取控制權(quán)，在每臺(tái)入侵主機(jī)中安裝攻擊程序； ? 構(gòu)造龐大的、分布式攻擊網(wǎng)絡(luò)； ? 在同一時(shí)刻，由分布的成千上萬臺(tái)主機(jī)向同一目標(biāo)地址發(fā)出攻擊，目標(biāo)系統(tǒng)全線崩潰； 典型的分布式拒絕服務(wù)攻擊工具 ? Trinoo ? TFN ? Stacheldraht ? TFN2K 分布式拒絕服務(wù)攻擊防御對(duì)策 ? 對(duì)于分布式攻擊，目前仍無非常有效的方法來防御 ? 基本的防御對(duì)策 ? 做好各種基本的拒絕服務(wù)攻擊防御措施，打好補(bǔ)??； ? 聯(lián)系 ISP對(duì)主干路由器進(jìn)行限流措施 ； ? 利用各種安全防御系統(tǒng)進(jìn)行輔助記