網路安全管理期末報告 DoS與DDoS 指導教授:梁明章 老師 學生:A0953328 施旻宗 2010/1/15
DoS與DDoS介紹 DoS(Denial of Service) DDoS(Distributed Denial of Service) 一對一 DDoS(Distributed Denial of Service) 多對一 2010/1/15
攻擊原理 TCP三方交握 殭屍網路 2010/1/15
攻擊目的 消耗頻寬 癱瘓伺服器服務 DNS 網頁 電子郵件 破壞網路設備 路由器 交換器 2010/1/15
為何成為最普遍的網路攻擊方法 攻擊工具隨手可得 不容易找出攻擊者 頻寬與日俱增 攻擊方式日新月異 ping 遠端遙控被植入攻擊程式的電腦 效果快速顯著 攻擊方式日新月異 增加殭屍電腦數目 同時產生攻擊封包以及正常的存取封包 2010/1/15
攻擊種類 SYN Flood ACK Flood SYN+ACK Flood SYN+RST Flood RST Flood Established Flood FIN Flood TCP Options Flood X-Tree Flood 2010/1/15
攻擊步驟 目標確認 準備階段 實際攻擊階段 鎖定IP位址 入侵網際網路上大量的沒有良好防護系統的電腦 將攻擊命令發送到所有被入侵的殭屍電腦上 啟用預先植入殭屍電腦之攻擊工具 2010/1/15
SYN FLOOD 最常見之DDoS攻擊方法 TCP連線數目有限制 Non-Spoofed Spoofed 會收到遭攻擊目標回傳的SYN+ACK Spoofed 將遭攻擊目標回傳之SYN+ACK傳至另一IP 可用來進行反射攻擊 2010/1/15
SYN+ACK FLOOD(反射攻擊) 利用偽裝成另一IP攻擊他人導致此IP之使用者遭受大量的SYN+ACK回傳攻擊 只要攻擊一次即可使兩方遭受到傷害 2010/1/15
防禦方式 黑洞-阻絕攻擊同時丟棄了正常的封包 Router ACL-費時且拒絕正常封包 Firewall-無法阻擋大量攻擊 IPS-病毒碼更新速度不夠快 Cisco Guard-放在防火牆外層 了解ISP能力及與ISP聯合 備用IP 入侵過濾-丟棄來源IP標記為本網IP之封包 反追蹤-定義無效位址及分配網段與服務 2010/1/15
遭攻擊案例 中華電信 社交網站 DNS服務商Neustar 2009年每天平均發生3.7次DDos大規模攻擊 流量高達8GB TCP_SYN_Flood 72% ICMP_Flood 25% 社交網站 Facebook Twitter DNS服務商Neustar 影響層面廣大 2010/1/15
結論 在網路攻擊方面DDoS為最普遍效果也最顯著的攻擊方式 大型網站要對DDoS有相當程度的防禦 2010/1/15