《网络与通信安全解读课件.ppt》由会员分享,可在线阅读,更多相关《网络与通信安全解读课件.ppt(100页珍藏版)》请在三一办公上搜索。
1、网络与通信安全,绿盟科技,议题,网络基础概述网络体系结构网络协议安全分析网络中面临的威胁针对网络设备的攻击拒绝服务(DoS)攻击欺骗攻击网络嗅探网络设备安全网络服务的安全拒绝服务攻击(DoS)的防御策略,OSI参考模型,ISOOSI网络体系结构 网络体系结构分层的目的 OSI参考模型的层次划分 应用层表示层 会话层 传输层网络层 数据链路层物理层,TCP/IP协议层次模型,TCP/IP协议分层并不完全对应OSI模型应用层 Telnet FTP DNS SMTP传输层TCP UDP 网络层IP ICMP ARP RARP网络接口层X.25 ARPanet,常见黑客攻击方式,应用层:应用程序和操作
2、系统的攻击与破坏网络层:拒绝服务攻击和数据窃听风险传输层:拒绝服务攻击硬件设备与数据链路:物理窃听与破坏,TCP/IP模型与潜在风险,Internet 的安全问题的产生,Internet起于研究项目,安全不是主要的考虑少量的用户,多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全网络协议的开放性与系统的通用性目标可访问性,行为可知性攻击工具易用性Internet 没有集中的管理权威和统一的政策安全政策、计费政策、路由政策,网络安全的语义范围,保密性(Confidentiality)完整性(Integrity)可用性(Availability),局域网的特性,局域网典型特性高数
3、据传输率短距离低误码率常用的局域网介质访问控制技术载波监听多路访问/冲突检测(CSMA/CD)技术令牌控制技术令牌总线控制技术光纤分布数据接口(FDDI)技术,局域网安全管理,良好的网络拓扑规划对网络设备进行基本安全配置合理的划分VLAN分离数据广播域绑定IP地址与Mac地址配置防火墙和IDS设备使用内容监控与病毒过滤,良好的网络规划,网络安全规划原则合理的分配地址合理的网络逻辑结构通过VLAN分隔逻辑网络通过域或工作组确定用户权限建立良好的网络安全制度,网络设备安全配置,关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数
4、据包类型,广域网的概念和特性,广域网是覆盖地理范围相对较广的数据通信网络。网络的规模和分类:局域网(LAN,local area network)可覆盖一个建筑物或一所学校;城域网(MAN,metropolitan area network)可覆盖一座城市;(WAN,wide area network)可覆盖多座城市、多个国家或洲。,广域网的构成和种类,广域网的参考模型广域网的构成广域网的种类X.25 帧中继 ATM,广域网安全管理,良好的网络拓扑规划对网络设备进行基本安全配置确保路由协议安全使用ACL进行数据过滤使用AAA加强访问控制和认证,概念:网络协议按结构化层次方式组织,每层完成一定的
5、功能,每层都建在其下层之上,并通过层间接口向上层提供服务,将服务实现的细节对上层隐蔽。优点:减少复杂性,维护、修改相对容易、不同节点之间的对等层可以通过共享数据格式来进行通信.网络分层连同其相应协议叫网络体系架构,如TCP/IP,OSI等,分层模型,国际标准组织ISO(International Organization for Standardization)提出了开放式系统互联网络体结架构(Open System Interconnection/Reference Model)OSI定义了异种机互连的标准框架,为连接分散的“开放”系统提供了基础任何两个遵守OSI标准的系统均可实施互连。七层
6、网络体系架构:网络自底向上分别是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,各层完成一定的功能,每层为其上层网络提供支持,这种支持表现为数据(信息)的封装:SegmentPacketFrame,OSI模型(1),OSI模型(2),A:为应用进程访问OSI环境提供手段,并为应用进程提供服务,关心数据的语义,如WWWP:提供数据的句法,处理通信双方之间的数据表示问题,如ASCIIS:提供一种经过组织的方法在用户之间交换数据,如SQLT:资源子网与通信子网的界面和桥梁,端到端的通信N:通信子网与网络高层的界面,用户进人网络、以及网络之间互连的接口,主机到主机的通信,即寻址D:进行链
7、路上的数据传输,物理寻址P:物理设备间的接口,电平信号或光信号,OSI模型各层功能简述,TCP/IP 由美国DOD Research Projects AgencyDARPA)70年代开发。包括了一组协议,采用了网络分层的概念,一般称为DOD体系结构。其分为4层,自底向上分别是:网络接口层、网络互联层、传输层、应用层。,TCP/IP体系架构,应用层:向用户提供一组常用的应用程序,如FTP,HTTP,TELNET等,用户亦可在TCP/UDP基础上定义专有应用。传输层:提供应用程序间(即端到端)的通信,格式化信息流、提供可靠传输 及解决不同应用程序的识别问题 网络互连层:负责相邻计算机之间的通信
8、网络接口层:负责收发数据包并通过网络传输,TCP/IP各层功能简述,OSI模型与DOD体系对照,TCP/IP协议栈物理层安全网络层安全传输层安全应用层安全,TCP/IP协议安全分析,力求简单高效的设计初衷使TCP/IP协议集的许多安全因素未得以完善安全缺陷的一些表现:TCP/IP协议数据流采用明文传输TCP/IP协议以IP地址作为网络节点的唯一标识,此举并不能对节点上的用户进行有效的身份认证协议本身的特点被利用实施网络攻击,TCP/IP网络的安全来由,物理层介绍 物理层的安全风险分析 物理层的安全防护,物理层的安全威胁,第一层称为物理层(Physical Layer),这一层负责传送比特流。它
9、提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性。通过传输介质进行数据流的物理传输,故障检测和物理层管理。,物理层介绍,物理安全风险主要指:网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。,物理层的安全风险分析,网络分段 网络拓扑,物理层的安全防护,网络分段可分为物理分段和逻辑分段两种方式。物理分段通常是指将网络从物理层和数据链路层
10、(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段,网络分段,网络层协议及安全威胁 网络层的安全防护与安全协议,网络层的安全威胁,网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文,网络层介绍,网络层协议,IP协议安全(spoofing等)Internet 控制信息协议(ICMP)ARP欺骗和ARP洪水,DoSIGMP攻击,网络层的安全威胁,ARP:将IP地址转化成MAC地址的一种协议,ARP在IP层之下,一般认为其属网络层,但它利用数据链路层工
11、作-分层并不严格。以太网的传输靠mac地址决定,即主机响应ip包依靠ip包中所包含的mac地址来识别:主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:我是主机X.X.X.X1,mac是X-X-X-X1,ip为X.X.X.X2的主机请告之你的mac来 ip为X.X.X.X2的主机响应这个广播,应答ARP广播为:我是X.X.X.X2,我的mac为X-X-X-X2*ARP的查询包为广播包,而 ARP的应答包为单播包,ARP协议,针对ARP的攻击主要有两种,一种是DOS,一种是SpoofDOS:大量的arp 请求报文的
12、攻击 假冒ARP应答-DOS:冒充B向A应答,使得A与B的通信不成功点对点的假冒查询:显充A向B发包更新B的ARP表,使B与A的通信不成功 自动定时ARP欺骗:对网关的干扰推测ARP解析时间,ARP协议安全问题,网络安全信任关系不要单纯建立在ip或mac基础上设置静态的mac-ip对应表,不要让主机刷新你设定好的转换表使用ARP服务器:确保该机安全,通过该机查找自己的ARP转换表来响应其他机器的ARP广播使用proxy代理ip的传输使用硬件屏蔽主机,交换机和网桥无法阻止ARP欺骗定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性使用防火墙/IDS连续监控网络,解决ARP协议安
13、全,网际协议,TCP/IP协议族中的主要网络层协议,与TCP协议结合组成整个因特网协议的核心协议。包含寻址信息和控制信息,可使数据包在网络中路由。IP适用于LAN和WAN 通信。除了ARP和RARP,其它所有TCP/IP族中的协议都是使用IP传送主机与主机间的通信。两个基本任务:提供无连接的和最有效的数据包传送。提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。IP协议只用于发送包,TCP协议负责将其按正确顺序排列。,IP协议,IP协议结构,IP协议存在的主要缺陷包括:IP通信不需用进行身份认证,IP数据传输没有加密,IP的分组和重组机制不完善,IP地址的表示不需要真实并确认真假等。
14、IP碎片攻击,源路由攻击,IP欺骗,IP伪造,Ping Flooding和Ping of Death等大量的攻击,都是利用IP协议的缺陷对IP协议进行攻击的。且很多上层的安全隐患源于 IP 欺骗,如 DNS 欺骗等实例:Smurf攻击,向大量的远程主机发送一系列的ping 请求命令。黑客把源IP 地址换成想要攻击目标主机的IP 地址。所有的远程计算机都响应这些ping 请求,然后对目标地址进行回复而不是回复给攻击者的IP 地址用。目标IP 地址将被大量的ICMP 包淹没而不能有效的工作。,IP协议安全问题,网络分段VLAN防火墙IPSec,IP协议安全解决办法,ICMP是“Internet C
15、ontrol Message Protocol”(Internet控制消息协议)的缩写 控制消息是指:网络通不通、主机是否可达、路由是否可用等网络本身的消息。控制消息并不传输用户数据,但是对于用户数据的传递起着重要的作用。如Ping ICMP在IP层之上,利用IP层收、发数据包,ICMP协议,ICMP协议结构,Type 错误消息或信息消息。错误消息可能是不可获得目标文件,数据包太大,超时,参数问题等。可能的信息消息有:Echo Request、Echo Reply、Group Membership Query、Group Membership Report、Group Membership R
16、eduction。Code 每种消息类型具有多种不同代码。不可获得目标文件正是这样一个例子,即其中可能的消息是:目标文件没有路由,禁止与目标文件的通信,非邻居,不可获得地址,不可获得端口。具体细节请参照相关标准。Checksum 计算校验和时,Checksum 字段设置为0。Identifier 帮助匹配 Requests/Replies 的标识符,值可能为0。Sequence Number 帮助匹配 Requests/Replies 的序列号,值可能为0。Address Mask 32位掩码地址。,ICMP协议结构,lots of nasty things can be done with
17、ICMP messages when scanning networks or trying to gain a covert channel ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机,此外也被用于攻击前期扫描工作的系统指纹识别。基于ICMP路由欺骗的技术都是停留在理论上占整个攻击总数的90%以上。如:1.可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击2.向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。,ICMP安全问题,在路由器上对ICMP数据包进行带宽限制,
18、将ICMP占用的带宽控制在一定的范围内 在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包-包过滤/防火墙,ICMP协议安全解决办法,IGMP(Internet Group Management Protocol)是IP主机用作向相邻多目路由器报告多目组成员。多目路由器是支持组播的路由器,向本地网络发送IGMP查询。主机通过发送IGMP报告来应答查询。组播路由器负责将组播包转发到所有网络中组播成员。Internet组管理协议(IGMP)是因特网协议家族中的一个组播协议,用于IP主机向任一个直接相邻的路由器报告他们的组成员情况。IGMP信息封装在IP报文中,其IP的协议号为
19、2。IGMP由IETF(www.ietf.org)定义在RFC-1112、RFC-2236和 RFC376中。,IGMP协议,IGMP协议结构,问题:可以发送畸形的igmp包来导致系统tcp-ip栈崩溃。最常用的igmp攻击就是伪造一个目的地址是单个ip,但ip上层协议指定为IGMP,系统会为你打造一个igmp报头,因为组播使用D类地址,所以系统不知如何处理,造成崩溃。IGMP攻击如:向有WINDOWS9x操作系统的机器发送长度和数量都较大的IGMP数据包。典型的攻击工具有DOOM。,IGMP安全问题,网络层的安全防护,逻辑网络分段:网络分成若干IP子网,各子网际必须通过路由器、路由交换机、网
20、关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网际的访问。VLAN的实施:按照系统的安全性来划分VLAN。防火墙服务:在网络入口点检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。加密技术:通过对网络数据的加密来保障网络的安全可靠性,有面向网络或面向应用服务2种形式。数字签名和认证技术:解决网络通讯过程中通讯双方的身份认可。VPN技术:在不可信任的公共网络上安全的通信。,网络层的安全防护,IPSEC:于1995年在互联网标准草案中颁布,可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。主要特征:可对所有IP级的通
21、信进行加密和认证。其提供三种形式来保护通过IP网络传送的私有数据。数据认证-可以确定所接受的数据与所发送的数据在数据完整性方面是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的完整性-保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变机密性-使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容,网络层安全协议,主要优点:透明性,也就是说,安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动主要缺点:网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。这可能导致
22、提供不了所需的功能,也会导致性能下降,网络层的安全性特点,传输层介绍 传输层协议及其安全分析,传输层的安全威胁,传输层控制主机间传输的数据流。,传输层介绍,通过序列确认以及包重发机制,提供可靠的数据流发送和到应用程序的虚拟连接服务。与 IP 协议相结合,TCP 组成了因特网协议的核心。网络 IP 地址和端口号结合成为唯一的标识,我们称之为“套接字”或“端点”。TCP 在端点间建立连接或虚拟电路进行可靠通信。提供数据流传输、可靠性、有效流控制、全双工操作和多路复用技术等。,TCP协议,数据流传输,TCP交付一个由序列号定义的无结构的字节流。这个服务对应用程序有利,因为在送出到TCP之前应用程序不
23、需要将数据划分成块,TCP可以将字节整合成字段,然后传给 IP 进行发送。可靠性:TCP在字节上加上一个递进的确认序列号来告诉接收者发送者期望收到的下一个字节。如果在规定时间内,没有收到关于这个包的确认响应,重新发送此包。TCP的可靠机制允许设备处理丢失、延时、重复及读错的包。超时机制允许设备监测丢失包并请求重发。有效流控制。当向发送者返回确认响应时,接收TCP进程就会说明它能接收并保证缓存不会发生溢出的最高序列号。全双工操作:TCP进程能够同时发送和接收包。多路技术:大量同时发生的上层会话能在单个连接上时进行多路复用。,TCP协议,TCP协议结构,建立一个TCP连接,结束一个TCP连接,TC
24、P协议被攻击,主要是利用TCP的三次握手机制,如有:TCP序列号欺骗 TCP序列号轰炸攻击 SYN Flooding攻击,ACK Flooding攻击等;,TCP协议的安全问题,UDP协议,传输层协议,为无确认的数据报服务,只是简单的接收和传输数据UDP比TCP传输数据快,UDP,无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。与 TCP 不同,UDP 并不提供对 IP 协议的可靠机制、流控制以及错误恢复功能等。UDP 比较简单,UDP 头包含很少的字节,比 TCP 负载消耗少。UDP 适用于不需要 TCP 可靠机制的情形,如网络文件系统(NFS)、简单网络管理协议(SNMP)、域名
25、系统(DNS)以及简单文件传输系统(TFTP)均基于UDP,UDP协议,UDP协议结构,对UDP协议的攻击,主要利用UDP协议本身特性,进行流量攻击,强化UDP通信的不可靠性,以达到拒绝服务的目的。此外,某些Unix的服务器默认一些可被恶意利用的UDP服务,如echo和chargen,它会显示接收到的每一个数据包,而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符,如果恶意攻击者将这2个UDP服务互指,则网络可用带宽将很快耗尽。,UDP协议安全问题,传输层处于通信子网和资源子网之间,起着承上启下的作用,支持多种安全服务:对等实体认证服务;访问控制服务;数据保密服务;数
26、据完整性服务;数据源点认证服务。,传输层安全性,应用层介绍应用层常见协议安全性 应用层的安全实现,应用层的安全威胁,标准协议:简单邮件传输协议(SMTP)文件传输协议(FTP)超文本传输协议(HTTP)远程连接服务标准协议(Telnet)简单网络管理协议(SNMP)域名系统(DNS)定制应用:复杂,DNS,SNMP,Telnet,HTTP,FTP,SMTP,应用层介绍,文件传输协议(FTP)使得主机间可以共享文件 FTP 使用 TCP 生成一个虚拟连接用于控制信息,然后再生成一个单独的 TCP 连接用于数据传输。控制连接使用类似 TELNET 协议在主机间交换命令和消息。主要功能:提供文件的共
27、享(计算机程序/数据);支持间接使用远程计算机;使用户不因各类主机文件存储器系统的差异而受影响;可靠且有效的传输数据。,FTP协议,TELNET 是 TCP/IP 环境下的终端仿真协议,通过 TCP 建立服务器与客户机之间的连接。,Telnet协议,Telnet本身的缺陷:没有口令保护没有强力认证过程没有完整性检查传送的数据都没有加密客户机/服务器模型,Telnet安全问题,请求/响应式的应用层协议 请求的格式是:统一资源标识符(URI)、协议版本号,后面是类似MIME的信息,包括请求修饰符、客户机信息和可能的内容。响应信息,其格式是:一个状态行包括信息的协议版本号、一个成功或错误的代码,后面
28、也是类似 MIME 的信息,包括服务器信息、实体信息和可能的内容。也可用作普通协议,实现用户代理与连接其它 Internet 服务(如 SMTP、NNTP、FTP、GOPHER 及WAIS)的代理服务器或网关之间的通信,允许基本的超媒体访问各种应用提供的资源,同时简化了用户代理系统的实施,HTTP协议,HTTP协议结构,HTTP协议明文传输数据。WEB用户可能下载有破坏性的ActiveX控件或JAVA applets这些程序在用户的计算机上执行并含有某种类别的代码,包括病毒或特洛伊木马 HTTP服务器也必须要小心保护,HTTP服务器在存在较多安全性问题。,HTTP协议安全问题,用于在 IP 网
29、络管理网络节点使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。三个主要组成部分:管理的设备、代理、网络管理系统。一种应用程序协议,封装在 UDP/TCP中。,SNMP协议,SNMPv1跟踪消息处理系列缺陷:SNMP代理(SNMP agents)发送跟踪消息(SNMP trap messages)到管理器(SNMP manager),向管理器报告错误信息、警报和其它的有关宿主的状态信息。管理器必须解析和处理这些数据。OUSPG发现很多SNMP管理器在解析和处理过程中存在缺陷(oulu university
30、secure programming group)SNMPv1请求信息处理系列缺陷:在数据处理过程中,代理和管理器都有出现拒绝服务错误、格式化字符串错误和缓冲溢出攻击的可能。,SNMP安全隐患,团体名作为唯一的SNMP认证手段,也是薄弱环节之一。SNMP v1消息的团体名在网上以明码传输。SNMP主要采用UDP传输,很容易进行IP源地址假冒多数SNMP设备接收来自网络广播地址的SNMP消息。,SNMP安全隐患,攻击方法:如果获取支持SNMP协议设备的“community string”,攻击者将可以修改路由器配置、获取服务器最高控制权、重新启动设备。不知道“community string”的
31、前提下,则进行拒绝服务攻击。,SNMP安全问题,从厂商获得补丁程序并执行禁止SNMP服务 边界访问过滤(tcp 161/162,udp161/162)在内部网络中过滤不正常的SNMP访问 修改缺省的community string 隔离SNMP包,SNMP安全解决办法,DNS服务是Internet上其它服务的基础DNS服务存在的主要安全问题名字欺骗信息隐藏,DNS协议安全问题,对所有人完全共享对所有人完全共享,这是在WindowNT共享时的缺省配置,他对所有可访问该主机的用户提供完全的访问权限;对Guest用户完全共享对Guest用户完全共享,Guest帐号是WinNT的缺省帐号,它有缺省口令
32、,如果系统提供对Guest用户的完全访问权限,入侵者可通过Guest帐号注册到服务器获取信息或修改数据;没有访问控制的共享没有访问控制的共享,是指没有合法认证的共享,在网络上的任何用户都可访问,此弱点在Win95上常见;对所有人可写对所有人可写是指对所有可访问该服务器的用户具有对共享目录的写权限,此弱点可能会使被共享目录中的文件被篡改或删除;对Guest用户可写对Guest用户可写是指通过Guest帐号注册就能获取共享资源的写权限;NetBios空会话NetBios空会话通过长度为零的用户名和口令注册获取对服务器的访问权。,NetBIOS,应用层协议本身存在的主要问题是:信息明文传输,包括如F
33、TP、Telnet登录验证帐号和密码都是明文,攻击者可以通过网络嗅探获取有价值信息,以备下一步攻击之用,此外应用层协议的许多威胁来自于低层协议的安全性问题。应用层应用实现的安全缺陷(网络编程),应用层协议安全小结,安全威胁:复杂多样 安全协议:SSH,S-HTTP等。应用层的安全服务实际上是最灵活的处理单个文件安全性的手段,可以实施细粒度的安全控制 可能的方法:对每个应用(及应用协议)分别进行修改;实施强大的基于用户的身份认证;实施数据加密;访问控制;数据的备份和恢复措施;对资源的有效性进行控制。应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,应用层安全防护,网络中面临的威胁,D
34、oS攻击概念,DoSDenial of Service的简称,拒绝服务。属于攻击早期形态,由于攻击者带宽、CPU等资源不足,较难形成威胁。如果是目标有明显漏洞,不需要僵尸网络,攻击成本较低。DDoS分布式拒绝服务(Distributed Denial of Service)。当前主流攻击手段,带宽消耗、主机消耗、打漏洞都可以。,Internet,DDoS攻击的过程,瘫痪最终服务器,阻塞沿途带宽,DNS,攻击基础网络设施,命令控制,合法使用者,DDoS攻击的动机,技术炫耀、报复心理针对系统漏洞捣乱行为商业利益驱使不正当竞争间接获利商业敲诈政治因素意识形态差别政治利益冲突,上述现象的背后 原始的经
35、济驱动力,工具开发者,恶意软件开发者,病毒,间谍软件,工具滥用者-“市场与销售”?,构筑僵尸网络,僵尸网络:出租/出售/勒索,信息窃取,敏感信息泄露,真正的攻击者-“用户与合作者”?,DDoS,垃圾邮件,网络钓鱼,身份盗用,最终价值,木马,社会工程学,直接攻击,工具编写者-“研发人员”?,蠕虫,间谍活动企业/政府,欺诈销售,点击率,非法/恶意竞争,偷窃,勒索盈利,商业销售,金融欺诈,DDOS攻击地下产业化,直接发展,收购肉鸡,制造、控制,培训、租售,学习、赚钱,僵尸网络,工具、病毒制作,传播销售,攻击工具,漏洞研究、目标破解,漏洞研究,攻击实施者,广告,经纪人,需求方、服务获取者、资金注入者,
36、培训,地下黑客攻击网络,发展与变化,1)供给规模持续增加Yankee Group调查显示:发生在11月的一次为期一周的DDoS攻击,带宽峰值高达45Gbps,每秒攻击数量达到6900万数据包。,发展与变化,2)攻击的复杂性不断提高攻击的手法逐渐从网络层向应用层转变,并有向业务逻辑层发展的趋势;应用层攻击的破坏力和防护难度要比网络层的大很多各种变种的HTTP/GET攻击工具:Anonymous的Loic、Hoic、Slowloris、DDoSIM等针对DNS的攻击,发展与变化,3)发动攻击的代价或难度越来越低“低轨道离子炮”(LOIC),并有安卓版本;攻击成本低:采用应用层攻击并不需要消耗很大的
37、带宽,黑客组织Anonymous&LulzSecAnonymous:威胁2012年3月31日要干掉整个互联网,引起轰动和运营商的恐慌;LulzSec:入侵美国CIA;入侵国会参议;入侵日本索尼公司等政府和企业网站,发展与变化,4)攻击的动机多元化,经济利益为主攻击者将攻击能力在网络上公开报价出售;政治和意识形态因素;,SYN Flood,我没发过请求,SYN_RECV状态半开连接队列遍历,消耗CPU和内存SYN|ACK 重试SYN Timeout:30秒2分钟无暇理睬正常的连接请求拒绝服务,SYN(我可以连接吗?),ACK(可以)/SYN(请确认!),攻击者,受害者,伪造地址进行SYN 请求,
38、不能建立正常的连接!,SYN Flood 攻击原理,攻击表象,Connection Flood,攻击者,受害者,大量tcp connect,不能建立正常的连接,正常用户,正常tcp connect,攻击表象,利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源,如防火墙的连接数,Connection Flood 攻击原理,CC(Challenge Collapsar),攻击者,受害者(Web Server
39、),正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面,涉及到数据库访问操作数据库负载以及数据库连接池负载极高,无法响应正常请求,受害者(DB Server),DB连接池用完啦!,DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,CC&Botnet,Botnet在中国,资料来源:赛门铁克互联网安全威胁报告,国内DDoS实例,519 DNS暴风事件,用户,本地DNS服务器,DNS根域、顶级域服务器,DNSPod 授权域服务器,黑客,DDoS:流量型攻击,谢 谢!,
