DDoS和漏洞

DDOS攻击基础知识DNSEmail‘Zombie’Innocentpc&serverTurninto‘Zombie’一个DDOS攻击过程‘Zombie’Server-levelDDoSattacksBandwidth-levelDDoSattacksDNSEmailInfrastructure-levelDDoSattacksAttackZombies:MassivelydistributedSpoofSourceIPUsevalidprotocols攻击实施代价极低工具泛滥BOTNET僵尸网络是当前互联网的首要威胁发送垃圾邮件网络钓鱼,盗取帐号/密码机密信息发动拒绝服务攻击--DDOS僵尸网络正在改变网络经济犯罪经济利益的驱动DDOS攻击发展趋势行为特征攻击规模承载协议•目标–网站-〉网络基础设施（路由器/交换机/DNS等）•流量–从几兆-〉几十兆-〉1G甚至更高–10Kpps--〉100Kpps-〉1Mpps•技术–真实IP地址-〉IP欺骗技术–单一攻击源-〉多个攻击源–简单协议承载-〉复杂协议承载–智能化，试图绕过IDS或FW•形式–DRDoS/ACKFlood–ZombieNet/BOTNET–ProxyConnectionFlood–DNSFloodDDOS技术篇攻击与防御技术DOS攻击的本质利用木桶原理，寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板DOS/DDOS类型的划分•应用层–垃圾邮件、病毒邮件–DNSFlood•网络层–SYNFlood、ICMPFlood–伪造•链路层–ARP伪造报文•物理层–直接线路破坏–电磁干扰攻击类型划分II•堆栈突破型（利用主机/设备漏洞）–远程溢出拒绝服务攻击•网络流量型（利用网络通讯协议）–SYNFlood–ACKFlood–ICMPFlood–UDPFlood、UDPDNSQueryFlood–ConnectionFlood–HTTPGetFlood攻击类型划分IDOS/DDOS攻击演变大流量&应用层混合型分布式攻击大流量型分布式攻击系统漏洞型Phase1Phase2Phase3以小搏大以大压小技术型带宽和流量的斗争我没发过请求DDOS攻击介绍——SYNFLOODSYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理攻击表象DDOS攻击介绍——ACKFLOOD大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACKFlood流量要较大才会对服务器造成影响ACK（你得查查我连过你没）攻击者受害者查查看表内有没有你就慢慢查吧ACKFlood攻击原理攻击表象ACK/RST（我没有连过你呀）攻击者受害者大量tcpconnect这么多？不能建立正常的连接DDOS攻击介绍——CONNECTIONFLOOD正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect•利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接•服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应•蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为•消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理攻击者受害者(WebServer)正常HTTPGet请求DDOS攻击介绍——HTTPGETFLOOD正常HTTPGetFlood正常用户攻击表象•利用代理服务器向受害者发起大量HTTPGet请求•主要请求动态页面，涉及到数据库访问操作•数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理常见的DOS攻击判断方法判断与分析方法网络流量的明显特征操作系统告警单机分析arp/Netstate/本机sniffer输出单机分析抓包分析–中小规模的网络网络设备的输出–中小规模的网络Netflow分析-骨干网级别的分析方式操作系统安全之二——恶意后门与僵尸网络演讲人（部门）2007/09/15密级：请输入文档密级4僵尸网络3常见入侵检查2木马&ROOTKIT1DDoS攻击技术及相关防护木马&ROOTKTIT来自希腊神话的威胁--木马在神话传说中，特洛伊木马表面上是“礼物”，但实际上藏匿了袭击特洛伊城的希腊士兵。现在，特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。具有隐蔽性的可执行程序，通常在点击后生效高隐蔽性，不传播可读取，下载，上传文件偷窃各种密码（包括网银密码，证券交易密码）可对局域网其它信息进行嗅探UNIX平台木马同样存在各样的木马密码破解木马伪装服务木马LKM(LoadbleKernelModule)木马文件系统木马Shell开放木马二进制木马…….提问：常见木马按照功能角度分类：远程控制类木马密码收集/发送木马键盘记录木马破坏性木马DDOS攻击木马反向连接型木马……•数据泄漏、删除•占用带宽、资源•窃取资料•僵尸网络•D.O.S傀儡•网络钓鱼后台•……•高性能、高带宽、缺乏有效管理的机器是黑客最爱。举例说明：木马之证券大盗来自可以盗取包括南方证券、国泰君安等多家证券交易系统的交易账户和密码。记录键盘信息的同时，通过屏幕快照将用户登录时窗口画面保存为图片网上交易账号和密码设为隐私保护状态良好的使用习惯不要运行不明来历的邮件附件不要随意点击即时通讯上“好友”发来的不明链接不要登录一些不良网站或是在一些小网站随意下载使用未经无毒验证的软件有连接双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接。有端口一台默认无任何端口开放的机器是无法连接通信的有权限目标机存在程序设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。木马产生作用的必要条件WINDOWS平台木马分类分类：较低级木马：添加系统帐号、添加其他服务帐号（FTP/数据库）、打开Telnet服务等二进制木马：反向连接型普通木马、动态链接库木马配置型木马：克隆帐号文件流木马：NTFS分区下支持的不需改变文件结构就可以给文件添加必要属性的手段C:\cptrojan.exesome.jpg:trojan.exe较低级木马的实现-添加删除帐号命令行方式netuser用户名密码/add[/delete]netlocalgroup组名用户名/add[/delete]其他:time,start,share,view,use常见二进制后门－利用动态链接库DLL(动态链接库)为应用程序提供扩展功能，DLL文件本身并不可以自动运行，需要应用程序调用后门实现把一个实现了后门功能的代码写成一个DLL文件，然后注册到一个EXE文件当中，使其可以执行。DLL必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除，这是由于Windows内部机制造成的：正在运行的程序不能关闭Winlogon木马也是替换注册表中的dll文件工作最大优点：不需要占用进程，没有对应的PID号任务管理器中隐藏，高隐蔽性反向连接型木马的实现反弹技术：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过NAT代理(透明代理)上网的电脑，并且可以穿过防火墙。•灰鸽子是前两项技术的集大成者，内置FTP/域名/服务端主动连接，采用三线程DLL注入系统合法进程，卸载过程中极易系统进程崩溃导致卸载不完全WINDOWS后门的检测和清除普通后门检查系统用户Netuser查看用户列表Netlocalgroupadministrators查看管理员组用户列表开始→程序→管理工具→计算机管理→本地用户和组进程列表任务管理器查看进程PsList查看进程端口列表Netstat–an查看端口列表端口关联进程列表Fport查看关联列表TcpView查看关联列表后门的检测和清除服务列表Netstart查看启动服务SC查看服务详细信息开始→程序→管理工具→服务计划任务列表使用at命令查看注册表启动项目HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policiees\RunDLL后门的清除高级二进制后门的共性动态链接库方式加载无进程，无端口高级二进制后门的清除服务进行远程线程插入，删除服务注册表Rundll32运行dll，删除键值重新启动系统删除动态链接库文件删除执行插入操作的文件安全漏洞相关现状有关安全漏洞的几个问题什么是安全漏洞在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。为什么存在安全漏洞客观上技术实现技术发展局限永远存在的编码失误环境带来的动态变化主观上未能避免默认配置对漏洞的管理缺乏人员意识安全漏洞的特性半衰期:在某一范围内，某一漏洞影响到的主机的数量减少为一半的时间•流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这些漏洞将被一些新的流行高危漏洞所替代。•持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。少数漏洞的寿命无限期绝大多数漏洞的寿命漏洞的影响漏洞造成的影响远程执行命令远程拒绝服务远程信息泄漏本地权限提升2007年操作系统漏洞情况我们身边软件的情况漏洞&蠕虫发生年份蠕虫名称感染主机数损失规模所利用漏洞2004年震荡波蠕虫100多万台5亿多美元MS04-011漏洞2003年冲击波蠕虫140多万台30多亿美元MS03-026DCOMRPC漏洞2003年速客一号蠕虫100多万台约12亿美元SQLSERVER处理字符串漏洞2001年红色代码蠕虫100多万台26亿多美元MS01-033漏洞，针对IIS2001年尼姆达蠕虫800多万台6亿美元MS01-020漏洞，针对IE/OUTLOOK/IIS其中红色代码和尼姆达蠕虫的变种一直持续到03年还在爆发实例说明系统高危漏洞影响微软被通知漏洞存在公布补丁进攻样板程序出现蠕虫出现通知漏洞RPC/DCOM漏洞被发现微软启动最高级别快速反应程序安全公告公布MS03-026(7/16/03)继续与安全分析家，媒体，IT社区，合作伙伴，政府部门保持联系进攻样板程序X-focus(中国黑客组)出版进攻样板程序微软警告用户尽快安装补丁蠕虫Blaster蠕虫出现;变种及其它病毒同时出现(例如.“SoBig”)蠕虫出现七月1日七月16日七月25日八月11日Blaster蠕虫利用RPC漏洞的爆发过程总体情况99%ofsecuritybreachestargetknownvulnerabilitiesfo