网络安全-DDoS之江湖风云录(上)

1、网络安全 DDoS之江湖风云录（上）汉柏科技有限公司 张少奎引言虚拟专用网防火墙访问控制防病毒入侵检测网络安全整体形象图入侵防护抗拒绝服务2022/9/21302DDoS江湖风云03DDoS到底是什么011DDoS江湖传言DDoS独白网络上有一票人，他们自称DDoS军团他们具有独特的宣言2022/9/215横冲直闯，遮天蔽日，肆意妄为！DDoS传闻（1）很 嚣 张 !2022/9/216所到之处，无孔不入，毁灭一切！DDoS传闻（2）很 疯 狂 !2022/9/217漫漫无源，汹涌多变！DDoS传闻（3）很 自 大 !2022/9/218劫匪、强盗、截拳道都是神马，硬杀伤直接击倒DDoS传闻（

2、4）很 霸道 !2022/9/219喜欢群殴，从不单挑！DDoS传闻（5）很 团 伙 !2022/9/211002DDoS江湖风云03DDoS到底是什么011DDoS江湖传言攻击之殇-我们身边的DDoS攻击（1）2009年5月19日“暴风影音”断网事件攻击之殇-我们身边的DDoS攻击（2）2022/9/21132009年5月19日“暴风影音”断网事件游戏私服引起DNSPOD被10Gbps流量攻击暴风影音的在线广告不能弹出过多暴风用户，导致运营商主DNS服务器过高负荷，攻击之殇-我们身边的DDoS攻击（3）2022/9/2114攻击之殇-我们身边的DDoS攻击（4）2022/9/21152010

3、年百度百度域名注册商（美国的REGISTER ）系统存在漏洞遭篡改对应的DNS服务器解析内容被劫持更换，主域名被解析到一个荷兰的IP；访问百度时页面自动跳转到一租用雅虎服务器的空间，会出现伊朗网军黑客留下的“Iranian Cyber Army”阿拉伯文字；同时百度旗下子网站也无法访问；最终雅虎服务器由于页面请求数量过于庞大导致瘫痪； 攻击之殇-我们身边的DDoS攻击（5）2022/9/2116伊朗人为什么要黑百度，真相已经揭晓，政治抗议只是表面原因，其实由于美国的军事打击和政治威胁，伊朗人准备大批量购买火箭筒，前段时间看了中国在世界宣传的中国制造广告，于是来百度搜索，但是遭遇百度的竞价排名，

4、伊朗人选购了搜索结果排名第一位的火箭筒，到手之后发现这些火箭筒尽然是从民间不法商贩手中收缴回来的劣质烟花爆竹上当受骗!伊朗人出于气愤，遂黑了百度。攻击之殇-我们身边的DDoS攻击（5）2022/9/2117DDoS技术门槛低，易发起攻击之殇-我们身边的DDoS攻击（6）2022/9/2118攻击之殇-我们身边的DDoS攻击（7）2022/9/2119攻击之殇-我们身边的DDoS攻击（8）2022/9/2120Anonymous组织扬言13个DNS根服务器攻击之殇-我们身边的DDoS攻击（9）2022/9/2121智能手机，电子商战“小三”之战2022/9/2122小结：为什么发起拒绝服务攻击土

5、壤条件具足Internet用户增多接入网络链路的带宽增大应用系统多样化，更直接攻击工具泛滥，技术门槛变低日益复杂化的商业竞争、网络敲诈等高度集中的云计算中心个人情绪发泄化技术炫耀、上访、私愤等2022/9/2123小结：为什么发起拒绝服务攻击从发起的动机来讲，分为恶意和无意两种方式。恶意居多。政治目的商业竞争打击报复网络敲诈网络竞拍无心之过电子购票奥运会售票网站深圳大运会网站 联通iphone商城2022/9/2124应用型DDoS无害论？应用层攻击的一个特点是请求本身都是正常用户发起的。通晓系统业务，目的性更强危害最大，最难以防范！四两拨千斤2022/9/2125其他知己知彼，百战不殆安全的

6、避风港在哪？2022/9/2126什么是DDoS2022/9/2127什么是DoSDoS（ Denial of Service ，拒绝服务）属于攻击早期形态。具有一对一的攻击特点。2022/9/2128什么是DDoSDDoS（Distributed Denial of Service，分布式拒绝服务），是在传统的DoS攻击的基础上产生的一种攻击手段，攻击者通过远程控制多个僵尸主机，对攻击目标实行一种多对一的攻击方式。大家一起上，围攻光明顶2022/9/2129什么是DRDoSDRDoS（Distributed Reflection Denial of Service ，分布式反射拒绝服务）与D

7、oS、DDoS不同，起源smurf局域网广播反射攻击。靠的是将受害者IP地址作为源地址的数据包发给反射服务器，然后反射服务器对源IP地址（受害者）做出大量数据包回应，形成DoS攻击。多对一的攻击方式。 套牌让真车主蒙冤2022/9/2130受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团DDoS攻击模型2022/9/2131拒绝服务攻击的常见类型从影响的对象范围看，分为如下二类流量型这类DDoS攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝

8、。应用型2022/9/2132拒绝服务攻击的常见类型从影响的对象范围看，分为如下二类流量型应用型利用诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理正常访问请求的目的，比如Http Get攻击和DNS欺骗就是该类型的攻击。2022/9/2133SYN FLOOD 原理： TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。 攻击者向服务器发送含 SYN

9、 包，其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等到确认信息，只有保持半开连接状态直至超时。 由于服务器允许的半开连接数目有限，如果攻击者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用户的 TCP 连接请求。攻击类型2022/9/2134用netstat na命令查看SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试（3-5次）SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务攻击者受害者伪造地址进行SY

10、N 请求为何还没回应就是让你白等不能建立正常的连接！SYN Flood 攻击原理攻击表象我怎么连不上2022/9/2135SYN-Flood-经典的攻击现象被攻击服务器上netstat an :2022/9/2136大量UDP冲击服务器受害者带宽消耗UDP Flood流量不仅仅影响服务器，还会对整个传输链路造成阻塞UDP （非业务数据）攻击者受害者查查看表内有没有占用带宽UDP Flood 攻击原理攻击表象丢弃UDP （大包/负载）2022/9/2137 UDP-Flood数据包分析2022/9/2138WEB CC 概念原意是challenge collapsar(挑战黑洞)。通过模拟多个用

11、户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)或者模拟大量用户登陆服务器（最常见的是登陆游戏服务器）。WEB CC 攻击攻击者受害者(Web Server)大量HTTP Get请求不能得到服务器响应HTTP Get Flood正常用户正常HTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get Flood受害者(DB Server)DB连接池用完啦！DB连接池/CPU资源占用占用占用Cache代理 服务器WEB CC 防护攻击者(Web Ser

12、ver)正常用户正常HTTP Get 请求(DB Server)你是假的！我挡DB连接池占用占用占用Cache代理 服务器HTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodWEB CC 防护手段阈值统计单个源连接整个源请求单个目的连接整个目的连接动态平滑曲线倍数CC 防护重定向验证URL 回探 ETag 标签Cookies标签ASCII码AdvanceURL回探 （url与syncookie的组合）优先于syn/ack/http flood防御效果显著白名单白名单关键URL保护拒绝服务的攻击趋势攻击流量海量针对应用服务的攻击增多，DDOS攻击已形成成熟的