本PPT是電子工業出版社出版的教材《計算機網絡安全原理》配套教學PPT（部分內容的深度和廣度在教材的基礎上有所擴展），作者：吳禮發本PPT可能直接或間接采用了網上資源、公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十一章拒絕服務攻擊及防御內容提綱2Type:拒絕服務攻擊的分類3How:DoS攻擊原理4What:拒絕服務攻擊是什么?1Defend:如何防御DoS攻擊？（一）什么是拒絕服務攻擊?定義：攻擊者通過某種手段,有意地造成計算機或網絡不能正常運轉從而不能向合法用戶提供所需服務或者使服務質量降低服務(Service)：系統提供的,用戶在對其使用中會受益的功能拒絕服務(DoS:DenialofService)：任何對服務的干涉如果使得其可用性降低或者失去可用性稱為拒絕服務,如:計算機系統崩潰;帶寬耗盡;硬盤被填滿攻擊方式:消耗系統或網絡資源;阻斷訪問路徑；更改系統配置（二）分布式拒絕服務攻擊的定義

DDoS（DistributedDenialofService）：如果處于不同位置的多個攻擊者同時向一個或多個目標發起拒絕服務攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施拒絕服務攻擊.特點:攻擊來源的分散性、協同性，攻擊力度的匯聚性1999年11月，在由CERT/CC組織的分布式系統入侵者工具研討會(DSITWorkshop)上，與會專家首次概括了DDoS攻擊技術

。（二）分布式拒絕服務攻擊的定義

DDoS與DoS的關系廣義上講,DDoS屬于DoS攻擊，且是DoS主流的攻擊模式狹義上講,DoS指的是單一攻擊者針對單一受害者的攻擊(傳統的DoS),而DDoS則是多個攻擊者向同一受害者的攻擊討論:分布式攻擊一定是DDoS嗎?（三）DDoS為什么能成功?DDoS為什么能成功？TCP/IP協議存在漏洞，可以被攻擊者利用網絡提供Best-Effort服務，不區分數據流量是否是攻擊流量網絡帶寬和系統資源是有限的

（四）動機

討論：根據DDoS的特點，它的攻擊對象最有可能是什么？腳本小子(ScriptKiddies):作為練習攻擊的手段簡單,有很多小工具

炫耀的資本仇恨或報復前雇員、現雇員、外部人員惡作劇或單純為了破壞經濟原因案例分析:（四）動機政治原因2001年5月中美撞機引發的中美黑客間網絡大戰2003年伊拉克戰爭引發的美伊黑客大戰信息戰1991年,海灣戰爭期間,美特工替換了運往伊的打印機芯片,用帶毒的芯片破壞伊的防空系統作為特權提升攻擊的輔助手段通過DoS攻擊使系統重啟后更改生效通過DoS攻擊使防火墻不能工作通過DoS攻擊使DNS癱瘓后再假冒該DNS（四）動機

內容提綱2Type:拒絕服務攻擊的分類3How:DoS攻擊原理4What:拒絕服務攻擊是什么?1Defend:如何防御DoS攻擊？分類一：常規分類（1/5）拒絕服務物理的(PhysicalDoS)邏輯的(LogicDoS)偷竊破壞物理設備破壞電源分類一：常規分類（2/5）拒絕服務節點型網絡連接型主機型應用型按攻擊的目標來分CPU、磁盤、OS等Email、DNS、Web等分類一：常規分類（3/5）拒絕服務按攻擊方式來分耗盡帶寬、內存、CPU、磁盤攻擊導致服務崩潰或中止資源消耗：服務中止：物理破壞：雷擊、電流、水火等分類一：常規分類（4/5）拒絕服務按受害者類型來分特定客戶不能使用服務服務器端DoS：客戶端DoS：特定服務不能提供服務分類一：常規分類（5/5）拒絕服務按攻擊是否直接針對受害者來分直接DoS：間接DoS：拒絕服務按攻擊地點來分本地DoS：與受害者同處一地遠程DoS：通過網絡分類二：研究人員分類（1/6）J.Mirkovic&P.Reiher提出了拒絕服務攻擊的屬性分類法：拒絕服務屬性攻擊靜態屬性攻擊動態屬性攻擊交互屬性攻擊開始就已確定，在一次連續的攻擊中不會再發生改變的屬性，攻擊的基本屬性攻擊過程中可以動態改變的屬性，如目標選取、時間選擇、使用源地址的方式等不僅與攻擊者相關且與具體受害者的配置、檢測與服務能力也有關系的屬性分類二：研究人員分類（2/6）J.Mirkovic&P.Reiher提出了拒絕服務攻擊的屬性分類法：攻擊靜態屬性攻擊控制模式攻擊通信模式攻擊技術原理攻擊協議層攻擊協議直接控制間接控制自動控制雙向通信單向通信間接通信語義攻擊暴力攻擊數據鏈路層網絡層運輸層和應用層SMTP、ICMP、IP、TCP等分類二：研究人員分類（3/6）J.Mirkovic&P.Reiher提出了拒絕服務攻擊的屬性分類法：攻擊動態屬性攻擊源地址類型攻擊數據包生成模式攻擊目標類型真實地址偽造合法地址偽造非法地址不需要生成數據統一生成模式隨機生成模式字典模式生成函式模式應用程序系統關鍵資源網絡網絡基礎設施因特網分類二：研究人員分類（4/6）J.Mirkovic&P.Reiher提出了拒絕服務攻擊的屬性分類法：交互屬性可檢測程度攻擊影響可過濾有特征但無法過濾無法識別無效服務降低可自恢復的服務破壞可人工恢復的服務破壞不可恢復的服務破壞分類二：研究人員分類（5/6）

PhilipL.Campbell提出了DoS的舞廳分類法：舞伴類、風暴類、陷阱類、介入類舞伴(Partner):與受害者跳舞風暴(Flood)：用大量的噪音來干擾受害者，使之無法聽到他人的跳舞邀請陷阱(Trap)：只要受害者跳舞的時候就通過設置陷阱阻止其跳舞介入(Intervene)：阻止邀請傳到受害者，包括阻止舞會的進行分類二：研究人員分類（6/6）內容提綱2Type:拒絕服務攻擊的分類3How:DoS攻擊原理4What:拒絕服務攻擊是什么?1Defend:如何防御DoS攻擊？一、劇毒包型DoS

（可選講授內容）劇毒包型DoS攻擊

劇毒包或殺手包（KillerPacket)DoS攻擊：利用協議本身或其軟件實現中的漏洞，通過一些畸形的數據包使受害者系統崩潰，也稱為“漏洞攻擊”或“協議攻擊”。WinNuke攻擊淚滴(Teardrop)攻擊Land攻擊Pingofdeath攻擊循環攻擊上述攻擊方式雖已過時，但其思路仍值得借鑒！1、WinNuke攻擊特征：以帶外數據攻擊目標端口，導致受害者處理帶外數據時出現異常，從而使系統停止響應并在顯示上出現藍屏，又稱為“帶外攻擊”、“藍屏攻擊”被攻擊的端口通常包括：139(NetBIOS)、138、137、113、53實例：RedhatLinux7,Kernel2.4.7-10較早出現的DoS攻擊，以致后來的一段時間內，人們稱拒絕服務攻擊為“Nuke攻擊”2、淚滴(Teardrop)攻擊(1/7)原理：利用異常的數據分片導致接收方在處理分片數據時崩潰，也稱為“碎片攻擊”。Teardrop本是一段用于DoS攻擊的程序名，該程序利用Windows95/NT/3.1和低版本的Linux中處理IP分片的漏洞，向受害者發送偏移地址重疊的UDP數據包分片，使得目標機器在將分片重組時出現異常錯誤，導致目標系統崩潰或重啟。2、淚滴(Teardrop)攻擊(2/7)偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數據報數據報片1首部數據部分共3800字節首部1首部2首部3字節0數據報片2數據報片314002800字節02、淚滴(Teardrop)攻擊(3/7)2、淚滴(Teardrop)攻擊(4/7)含有重疊偏移的畸形數據分片2、淚滴(Teardrop)攻擊(5/7)利用數據報分片的其他攻擊（變種一）：小片段攻擊，目的不是DoS，而是穿透防火墻。原理：通過很小的片段使得防火墻需要檢測的信息進入到下一個片段中。例如：對于TCP包，攻擊者可以把TCP頭分到兩個片段中，使TCP的標志（Flag）進入到下一個片段中，從而使得一些通過檢測標志位進行過濾的防火墻因找不到標志位而放行。這種攻擊寄希望于防火墻只檢測數據包的第一個片段。這種攻擊適合于逃避入侵檢測嗎？2、淚滴(Teardrop)攻擊(6/7)利用數據報分片的其他攻擊（變種二）：重疊分片攻擊，目的不是DoS，而是穿透防火墻。原理：防火墻在處理重疊分片時與終端系統（這里指受害者最終目標主機系統）之間可能存在差異性：當重疊時，有的系統是以先到的數據為主，有的系統則是用后到的數據覆蓋先前的數據。攻擊數據穿過防火墻的前提條件：防火墻重組數據時與受害者主機不同例子：假設受害者主機以后到的數據優先原則處理TCP協議，第一個分片中的TCP服務類型設為端口80(HTTP)，這是大多數防火墻允許的，而在第二個分片中以端口23(Telnet)改寫第一個分片中的80端口，從而穿過了防火墻！2、淚滴(Teardrop)攻擊(7/7)利用數據報分片的其他攻擊（變種三）：通過分片導致防火墻或IDS的拒絕服務。原理：有些防火墻或IDS為了檢測碎片攻擊或其他類型的利用分片的攻擊而設置了碎片重組：當收到分片數據包時并不單獨檢測，而是等待所有的分片都到達（必須緩存已到的分片），重組完成后再檢測。攻擊者如何利用這一點？攻擊：攻擊者偽造并發送大量的分片，但卻不讓這些分片構成完整的數據報以此占用防火墻或IDS的CPU和存儲單元，構成DoS攻擊。3、Land攻擊Land攻擊原是一段C程序，其功能是向受害者發送TCPSYN包，而這些包的源IP地址和目的IP地址被偽造成受害者的IP地址，源端口和目的端口也是相同的（端口必須是激活的？），目標系統在收到這樣的包以后可能會掛起、崩潰或重啟。Why?Why?Why?354、Pingofdeath攻擊Pingofdeath[CA-1996-26]也稱為“PingO’death”、“死亡之Ping”，其它別名：ssping,jolt,sPING,IceNewk,ICMPBug攻擊或Win95Ping攻擊原理：利用協議實現時的漏洞[CVE-1999-0128]，向受害者發送超長的Ping數據包，導致受害者系統異常：在早期，路由器對包的最大尺寸都有限制，許多操作系統在實現TCP/IP協議棧時規定ICMP包不能超過64KB(65535)，并且在讀取包的首部后，要根據該首部里包含的信息來為有效載荷生成緩存.當產生畸形的、聲稱自己的尺寸超過ICMP上限的包也就是加載的數據大小超過64K上限時，就會出現內存分配錯誤，導致TCP/IP協議棧崩潰，致使接收方死機。Ping-c1-s65535[目標IP]會有什么結果？PingofDeath2020再現5、循環攻擊也稱：振蕩攻擊(OscillateAttack)或乒乓攻擊，其原理：當兩個都會產生輸出的端口(可以是一個系統／一臺機器的兩個端口，也可以是不同系統／機器的兩個端口)之間建立連接以后，第一個端口的輸出成為第二個端口的輸入，導致第二個端口產生輸出，同時第二個端口的輸出又成為第一個端口的輸入，如此，一兩個端口間將會有大量的數據包產生，導致拒絕服務典型攻擊：EchoChargen攻擊：當運行著Chargen服務的UDP端口(19)收到一個數據包后，會產生一個字符串作為回應。Echo服務的UDP端口(7)收到一個數據包原樣返回，這兩種服務可被攻擊者用來進行循環攻擊。How?二、風暴型DDoS風暴型DoS攻擊

風暴型DoS攻擊：通過大量的“無用”數據包占用過多的資源以達到拒絕服務的目的，也稱為“帶寬攻擊”直接風暴型攻擊反射攻擊（DRDoS）DDoS原理圖釋mbehringISPCPEInternetZombie(僵尸)Master(主攻手)發現漏洞

取得用戶權取得控制權植入木馬

清除痕跡

留后門做好攻擊準備Hacker(黑客)

DDoS攻擊將造成骨干網絡資源浪費、鏈路堵塞、業務中斷。骨干級鏈路級應用級風暴型攻擊用的分組用于攻擊的分組類型有：TCP洪流(floods)。向目標主機發送大量設置了不同標志的TCP分組。常被利用的標志包括：SYN,ACK,RST。其中，TCPSYN攻擊導致目標主機不斷地為TCP連接分配內存，從而使其它功能不能分配到足夠的內存。Trinoo就是一種分布式的TCPSYNDoS攻擊工具。

ICMPEcho請求/響應報文(如，Pingfloods)。向目標主機發送大量的ICMP分組。

UDP洪流。向目標主機發送大量各種基于UDP協議的應用協議包（如NTP，SSDP，DNS等）。用UDP的發處是什么？

DDoS攻擊時機DDoS攻擊趨勢（二）分布式拒絕服務攻擊（DDoS）DDoS攻擊規模（二）分布式拒絕服務攻擊（DDoS）DDoS攻擊規模DDoS攻擊規模2016.3統計：2015年第4季度：與2014年第四季度相比，DDoS攻擊總量增加

148.85%，與2015年第三季度相比，DDoS攻擊總量也有39.89%的增長。CNCERT：2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達1.27TbpDDoS攻擊規模DDoS攻擊規模2020.10.16披露：2017.9月，2.54TDDoS攻擊規模用于風暴型DDoS的常見協議（一）直接風暴型DDoS現在不是主流，但曾經很風光！1、PING風暴攻擊(直接型)原理：單純地向受害者發送大量的ICMP回應請求（ICMPEchoRequest，即Ping）消息，使受害者系統忙于處理這些消息而降低性能，嚴重者可能導致系統無法對其他的消息做出響應。需要大規模僵尸網絡的支持大多防火墻會過濾ICMP包2、SYN風暴攻擊(直接型)原理：發送大量SYN報文，但對服務器的SYN＋ACK應答報文不作應答，即三次握手的第三次握手無法完成，造成服務器維護大量的半連接列表，消耗服務器半連接資源（一般系統的上限為1024，超過此數則不接受新的連接請求）的攻擊方式。需偽造地址，一方面逃避追蹤，另一方面為了攻擊能成功.

Why？Why？據統計：在反射式DDoS流行之前，90%的拒絕服務攻擊使用的是TCP協議，而SYN風暴攻擊又是最常用的一種攻擊！3、TCP連接耗盡攻擊(直接型)原理：通過大量的TCP連接耗盡受害者資源，也稱為“空連接攻擊”。與SYN風暴的區別：不需要不停地向受害者發起連接怎么這么多請求??！攻擊者合法用戶受害者RequestDenied正常的連接正常的連接正常的連接正常的連接4、UDP風暴攻擊(直接型)原理：向目標主機連續發送大量較長的UDP數據包，占用網絡帶寬，達到阻塞網絡的目的Trinoo攻擊：向被攻擊目標主機的隨機端口發出全零的4字節UDP包，在處理這些超出其處理能力的垃圾數據包的過程中，被攻擊主機的網絡性能不斷下降，直到不能提供正常服務，乃至崩潰。它并不假冒IP地址，采用的通信端口包括：攻擊者主機到主控端主機：TCP27665主控端主機到代理端主機：UDP27444通常需要密碼：betaaalmostdone。代理端主機到主服務器主機：UDP313355、HTTP風暴攻擊(直接型)原理：用HTTP協議對網頁進行的語義上合法的請求，不停地從受害者處獲取數據，占用連接的同時占用帶寬。進行連接耗盡攻擊的一個有效手段是不停地獲取受害者網站上的大的文件，從而使得一次請求占用系統更多的資源。2003年10月14日左右：對W采取的DDoS攻擊就是HTTP風暴:不斷地取大的圖像文件缺點：一般要使用真實的IP地址（傀儡主機）與前面講的“連接耗盡攻擊”、SYN風暴攻擊”的區別？6、HTTP/2PINGFlood7、對郵件系統的DoS攻擊(直接型)郵件炸彈：往一個郵件地址或郵件服務器發送大量的相同或不同的郵件，耗盡其存儲空間垃圾郵件：不請自來的郵件，目的在于宣傳，而不是攻擊，但由于數量多，常常造成與DoS同樣的效果為什么直接風暴型DDoS越來越少？討論（二）反射風暴型DDoS直接式DDoS攻擊原理amplification

networkAttackerMastersMiFrom: Xi(spoofed)To: VictimV…attackpacketFrom: Xi(spoofed)To: AgentAi…controlpacketFrom: Xi(spoofed)To: MasterMi…controlpacketVictimVAgentsAi控制反射式DDoS攻擊原理amplification

networkReflectorsRiAttackerVictimVAgentsAiFrom:V(spoofed)To: ReflectorRi…attacktriggerpacketFrom:Xi(spoofed)To: AgentAi…controlpacketFrom:Xi(spoofed)To: MasterMi…controlpacketFrom: RiTo: VictimV…attackpacketMastersMiNote:ReflectorsareNOTcompromised.Theysimplyanswerrequests.欺騙反射式DDoS攻擊原理DDoS攻擊方法SSDP、NTP、DNS和CHARGEN是最常見的反射攻擊向量(圖片來自)DDoS攻擊方法2016.3統計：自2014年第四季度以來，反射攻擊的使用大幅增加。其中，SSDP、NTP、DNS和CHARGEN一直是最常見的反射攻擊向量。同時，經CDN智能平臺抵御的DDoS攻擊超過3600次，是一年前攻擊數量的兩倍多。DDoS攻擊方法US-CERT在2014年1月發布的預警（AlertTA14-017A），DNS、NTP、SNMP等協議的反射放大效果以及脆弱性如下圖所示Memcached反射源Memcached反射源NTP反射源NTP反射源SSDP反射源SSDP反射源NTPNTP（NetworkTimeProtocol，網絡時間協議）：用于計算機間的時間同步。NTP服務器NTP客戶端現在是上午10：10（UDP，123端口）NTPNTP為什么是必須的？金融、電信、工業、鐵路及航空運輸業等行業的應用系統，如實時備份系統、計費系統、網絡的安全認證系統，由不同的服務器組成，系統要正常運行，必須確保不同服務器之間的時鐘是一樣的。經CNCERT監測數據初步分析，互聯網上開放的時間服務器約有

80萬臺。其中，頻繁被請求的服務器約為

1800臺。在監測發現的被請求次數最多的前50個NTP服務器，其IP地址主要位于美國（56%）和中國（26%）。NTPNTP：monlist功能NTP服務器NTP客戶端（UDP，123端口）monlist與NTP服務器進行過時間同步的最后600個客戶端的IP，響應包按照每6個IP進行分割，最多有100個響應包。234B482*100=48200BNTPDDoS（DRDoS）NTP：利用monlist進行攻擊NTP服務器NTP客戶端（UDP，123端口）monlist與NTP服務器進行過時間同步的最后600個客戶端的IP，響應包按照每6個IP進行分割，最多有100個響應包。234B482*100=48200B1、回復報文長度是申請報文長度的：482*100／234=206倍2、使用UDP協議，很容易偽造源地址給NTP服務器發請求。NTPDDoS（DRDoS）NTP：利用monlist功能進行DDoS攻擊NTP服務器（UDP，123端口）來自“受害者”的Monlist請求10萬臺受害者攻擊者來自NTP服務器的Monlist回復10(請求／秒)

*48200B／回復*100000臺*8bit

=3856×108bps＝385.6GbpsCNVD-2014-00082NTPDDoS（DRDoS）2014年2月：DDoS防護供應商

CloudFlare擊退了針對某客戶的NTPDDoS攻擊：峰值帶寬略低于400Gbps。在CloudFlare事件發生的數天后，ArborNetworks公司確認其觀察到峰值速率達到325Gbps的NTPDDoS攻擊NTPDDoS（DRDoS）國內大量服務器和網絡設備均開放了UDP123端口，因此極易構成一個巨大的可被利用的僵尸網絡，而目前基礎電信運營企業對此尚無法做到完全有效控制。各基礎電信企業應在全網范圍內切實認真組織實施源地址驗證，按要求深入推進虛假源地址整治工作，建設完善流監測技術手段在國際出入口和互聯互通層面對NTP流量進行監測和調控，降低來自國外大規模NTP

DRDoS攻擊的可能性：中國電信，2014.2,國際出入口的NTP流量從300G降低到幾十GSSDPDDoS簡單服務發現協議(SimpleServiceDiscoveryProtocol,SSDP)主要用于在局部網里發現通用即插即用(UniversalPlug-and-Play，UPnP)網絡設備UPnPUPnP是一種用于PC機和智能設備（或儀器）的常見對等網絡連接的體系結構，尤其是在家庭中。UPnP以

Internet

標準和技術（例如TCP/IP、HTTP和XML）為基礎，使這樣的設備彼此可自動連接和協同工作。UPnP在設計上，它支持0設置、網絡連接過程“不可見”和自動查找眾多供應商提供的多如繁星的設備的類型。一個UPnP設備能夠自動跟一個網絡連接上、并自動獲得一個IP地址、傳送出自己的功能并獲悉其它已經連接上的設備及其功能。最后，此設備能自動順利地切斷網絡連接，并且不會引起意想不到的問題。在UPnP架構中沒有設備驅動程序，取而代之的是普通協議。UPnP協議層次結構UPnPSSDPDDoS攻擊者對于SSDP的最初興趣可能來源于安全研究員ChristianRossow在2014年2月發布的一份研究報告：“AmplificationHell:RevisitingNetworkProtocolsforDDoSAbuse”，該報告認為SSDP的放大因素可能會導致其成為DDoS攻擊的目標。SSDPDDoS攻擊者利用SSDP協議用于DDoS攻擊，不僅因為它類似于前面所提到的NTP協議的放大能力（根據US-CERT的統計，約30倍），而且該協議已經在1500多萬臺網絡互連設備上啟用綠盟科技2015年對世界范圍內的SSDP服務進行監控時，發現700多萬臺SSDP設備能夠被利用進行SSDP反射式DDoS攻擊。還在快速增長SSDPDDoS根據ArborNetworks在2015年初發布的《WorldwideInfrastructureSecurityReport》，SSDP反射攻擊到2014年7月才被關注，在2014年Q3-Q4期間曾經打出過若干次超過100Gbps的攻擊流量。SSDPDDoS根據阿里云云盾安全運營團隊在2015年6月的統計，在對阿里云用戶的UDPDDoS攻擊中，80%的攻擊方式為SSDP反射放大攻擊。SSDPDDoSSSDPDDoS攻擊過程SSDPDDoS攻擊過程關鍵之處allSSDPDDoS放大倍數SSDPDDoS怎么辦？大多數人甚至不知道企業或家庭環境中啟用了SSDP，而他們很可能都沒有使用過這個協議。如果你不使用一個協議或應用程序或服務，最好是關掉。其次是確保在網絡外圍，只允許用戶應該連接的協議被使用。從安全的角度來看，這是一個良好的習慣。SSDPDDoS關閉UPnPSSDPDDoS怎么辦？大多數人甚至不知道企業環境中啟用了SSDP，而他們很可能都沒有使用過這個協議。如果你不使用一個協議或應用程序或服務，最好是關掉。其次是確保在網絡外圍，只允許用戶應該連接的協議被使用。從安全的角度來看，這是一個良好的習慣。SSDPDDoS關閉UPnPMirai（三）其它風暴型DDoSIEEE/IFIPDSN2020：清華大學段海新團隊的研究成果“CDNBackfired:AmplificationAttacksBasedonHTTPRangeRequests”，稱為“RangeAmpattacks”將CDN變成DDoS加農炮論文：/files/papers/cdn-backfire-dsn2020.pdf將CDN變成DDoS加農炮內容分發網絡（CDN）本來是當前防范拒絕服務攻擊的最佳實踐，然而攻擊者可以利用當前CDN設計和實現中的漏洞把它變成威力巨大的分布式拒絕服務攻擊（DDoS）武器，可以用它來攻擊任意的網站，甚至攻擊CDN平臺自身。這是一種流量放大類型的攻擊，其放大倍數遠遠超過NTP、DNS等反射攻擊。將CDN變成DDoS加農炮將CDN變成DDoS加農炮CDN將CDN變成DDoS加農炮HTTPRange雖然CDN和HTTP范圍請求機制都致力于提升網絡性能，但CDN對HTTP范圍請求機制的實現存在安全缺陷，使得CDN的前端連接和后端連接之間產生巨大流量差異，導致潛在的流量放大攻擊，攻擊者能夠濫用CDN對網站服務器或CDN節點實施DDoS攻擊。這種應用層放大攻擊技術稱為Range-basedTrafficAmplificationAttacks，簡稱RangeAmp攻擊。將CDN變成DDoS加農炮SBR攻擊原理將CDN變成DDoS加農炮OBR攻擊將CDN變成DDoS加農炮

43,330倍：創記錄放大倍數！將CDN變成DDoS加農炮解決方案將CDN變成DDoS加農炮三、重定向DoS重定向DoS攻擊通過修改網絡中的一些參數或ARP表、DNS緩存，使得受害者發出的或者發向受害者的數據包被重定向到了其它地方。常被用于竊聽或中間人攻擊。因此，通常在網絡竊聽中研究，很多人不把它當作DoS攻擊。四、案例分析2009年5月19日21時50分開始，江蘇、安徽、廣西、海南、甘肅、浙江六省區用戶訪問網站速度變慢或干脆斷網DNSPod暴風影音5.19斷網事件域名解析5.19斷網事件過程介紹5.19斷網事件原因分析5.19斷網事件內容提綱2Type:拒絕服務攻擊的分類3How:DoS攻擊原理4What:拒絕服務攻擊是什么?1Defend:如何防御DoS攻擊？（一）檢測（1/4）檢測難點在哪里？不容易定位攻擊者的位置Internet上絕大多數網絡都不限制源地址，也就使偽造源地址非常容易通過攻擊代理的攻擊，只能找到攻擊代理的位置各種反射式攻擊，無法定位源攻擊者（一）檢測（2/4）依據DDoS攻擊工具的特征標志檢測特定端口。例如，著名的DDoS工具trinoo使用的端口分別為：TCP端口27655,UDP端口27444和31335；NTPDRDoS檢測123端口。標志位。例如，Shaft攻擊所用的TCP分組的序列號都是0x28374839。特定數據內容。統計檢測主機網絡連接特征檢測（一）檢測（3/4）根據異常流量來檢測：當DDoS攻擊一個站點時，會出現明顯超出該網絡正常工作時的極限通信流量的現象?，F在的技術能夠分別對不同的源地址計算出對應的極限值。當明顯超出此極限值時就表明存在DDoS攻擊的通信。因此可以在主干路由器端建立ACL訪問控制規則以監測和過濾這些通信。特大型的ICMP和UDP數據包。不屬于正常連接通信的TCP和UDP數據包。隱蔽的DDoS工具隨機使用多種通信協議（包括基于連接的和無連接協議）發送數據。優秀的防火墻和路由規則能夠發現這些數據包。

數據段內容只包含文字和數字字符（例如，沒有空格、標點和控制字符）的數據包。（一）檢測（4/4）根據異常流量來檢測（Cont）DoS工具產生的網絡通信信息有兩種：控制信息（在DoS管理者與攻擊代理之間）和攻擊時的網絡通信（在DoS攻擊代理與目標主機之間）。根據以下異?，F象在入侵檢測系統中建立相應規則，能夠較準確地監測出DoS攻擊根據分析，攻擊者在進行DDoS攻擊前總要解析目標的主機名。BIND域名服務器能夠記錄這些請求。由于每臺攻擊服務器在進行一個攻擊前會發出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。

（二）響應到目前為止，對付風暴型DDoS攻擊的方案主要有四種：通過丟棄惡意分組的方法保護網絡；在源端控制DDoS攻擊；追溯

(Traceback)攻擊的源端,然后阻止它發起新的攻擊；路由器動態檢測流量并進行控制。最有效的對抗風暴型DDoS的方法是：流量清洗。（三）防范限制帶寬限制特定協議占用的帶寬，但并不是完善的方法終端防御：及時安裝廠商補丁，減少被攻擊的機會運行盡可能少的服務增強容忍性入口過濾：只允許必要的通信設置嚴格的防火墻策略封鎖所有無用的數據完全阻止是不可能的，防范可減少被攻擊的機會DDoS防御：流量清洗秒極黑洞：解決大規模DDoS攻擊導致的“躺槍”流量清洗DDoS攻擊防御就是對DDoS攻擊與正常業務數據混合在一起的流量進行凈化，凈化掉DDoS攻擊流量，保留正常業務流量，保證客戶業務7×24小時的不間斷提供。DDoS攻擊阻斷過程一般包括攻擊監測和判斷、流量牽引、清洗過濾、流量回送四個關鍵環節。流量清洗流量清洗服務是提供給租用ID