DOS攻击与防护课件

DOS攻击与防护目录2知己知彼——DOS攻击详解与防护1简单探索——DOS的分类和简介3居家旅行必备——抓包分析简单探索——DOS分类和简介DOS攻击和防护DOS攻击在众多的网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法目的特点：通过各种手段消耗网络带宽和系统资源攻击系统缺陷，使正常系统的正常服务陷于瘫痪状态DDOS攻击是基于DOS攻击的一种特殊形式攻击者将多台受控制的计算机联合起来向目标计算机发起DOS攻击特点大规模协作的攻击方式对象比较大的商业站点，具有较大的破坏性DDoS类型的划分应用层垃圾邮件、病毒邮件DNSFlood网络层SYNFlood、ICMPFlood伪造链路层ARP伪造报文物理层直接线路破坏电磁干扰攻击类型划分II堆栈突破型（利用主机/设备漏洞）远程溢出拒绝服务攻击网络流量型（利用网络通讯协议）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood攻击类型划分I我没发过请求DDoS攻击介绍——SYNFloodSYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理攻击表象DDoS攻击介绍——ACKFlood大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACKFlood流量要较大才会对服务器造成影响ACK（你得查查我连过你没）攻击者受害者查查看表内有没有你就慢慢查吧ACKFlood攻击原理攻击表象ACK/RST（我没有连过你呀）攻击者受害者大量tcpconnect这么多？不能建立正常的连接DDoS攻击介绍——ConnectionFlood正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理攻击者受害者(WebServer)正常HTTPGet请求不能建立正常的连接DDoS攻击介绍——HTTPGetFlood正常HTTPGetFlood正常用户正常HTTPGetFlood攻击表象利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理知己知彼——DOS攻击详解与防护TCP数据包格式客户端向服务器发送包含初始序列值的数据段，开启通信会话

TCP/IP三次握手

服务器发送包含确认值的数据段，其值等于收到的序列值加1，并加上其自身的同步序列值。该值比序列号大

1，因为ACK

总是下一个预期字节或二进制八位数。通过此确认值，客户端可以将响应和上一次发送到服务器的数据段联接起来TCP/IP三次握手发送带确认值的客户端响应，其值等于接受的序列值加1TCP/IP三次握手SYNFloodTCP客户端客户端端口（1034~65535）TCP服务器端服务器端口（1~1023熟知端口）SYNACKSYN/ACK123...SYNSYNCookie/SYNProxy防护synsyn/ackackClientServerADSSyn’syn/ack’ack’ack1ack2SynCookie存在的问题代理的性能反向探测量数量=攻击包数量，上行带宽堵死Safereset防护synsyn/ack（特殊的）ResetClientServerADSSyn’syn/ack’ack’ack1加入信任客户端再次自动发起SYN的时间3-6秒ACKFlood发送大量的ACK包冲击设备服务器回应ACK/RST包，消耗资源正常连接ack包承载数据传输，容易误判带宽阻塞连接建立TCP客户端TCP服务器端数据DATAACK12数据传输ACK-FLood普通算法ackClientServerADS断开连接syn'SYN防御算法存在的问题-会话中断1次Syn’syn/ack’ack’ack1ACK-FLood高级防御算法ackClientServerADS加入信任ack1进入防御状态查无此人syn'SYN防御算法存在的问题-攻击开始后启用无效-必须攻击开始前进行学习ACK-FLood攻击Client具备信任ackTCP客户端UDPFloodTCP服务器端UDP1IP:随机流量:大包:小包UDP，无连接状态的防御1、限速2、报文内容特征--模式匹配3、IP特征—ACL4、随机丢包ICMPFlood的攻击原理和ACKFlood原理类似，属于流量型的攻击方式，也是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文，因此ICMPFlood出现的频度较低。防护：其防御也很简单，直接过滤ICMP报文。ICMPFlood连接耗尽攻击TCP客户端客户端端口（1034~65535）TCP服务器端服务器端口（1~1023）ESTABLISHEDESTABLISHEDESTABLISHEDTime:longlonglong...连接耗尽防护1、限制每一个源IP的连接数量，对肉鸡群无效2、对恶意连接的IP进行封禁。3、主动清除残余连接。4、可以对特定的URL进行防护。HTTPGETFloodTCP客户端客户端端口（1034~65535）TCP服务器端调用数据库页面ESTABLISHEDESTABLISHEDESTABLISHED...MSSQLMYSQLORACLE肉鸡Httpget可三次握手代理服务器发起图形验证码防护脚本解析防护智力型名称描述防御Slowloris极低的速录往服务器发送HTTP请求。由于WebServer对于并发的连接数都有一定的上限，因此若是恶意地占用住这些连接不释放，那么WebServer的所有连接都将被恶意连接占用，从而无法接受新的连接，导致拒绝服务限制连接数：比如在APACHE中由MaxClients的值定义。HTTPPOSTDOS类似Slowloris，指定Content-Length的值。限制连接数ServerLimitDOSCookie过长造成的拒绝服务调整Apache配置参数LimitRequestFieldSize面对DDOS攻击的策略方法流量分析方法流量数据所含有的信息:空间信息：地域，IP地址，AS号，时间信息：时间片，时间段（时间片整数倍）时，日，月，年技术指标信息：应用类型，TCP-flag,ToS,包大小……三种信息构成三个维度数据分析就是将流量数据分割成一个一个数据立方，从不同的视角透视数据立方，得出在指定的时间或空间范围内，技术指标数据对不同维度的分布。

流量分析的方法论流量分析的方法论流量分析的方法论流量分析的方法论基于流技术的流量分析的有效性探讨:大流量环境下，分析7层数据很难满足性能要求流技术提供的信息虽然粗糙，但可以用于效率较高的“初筛”“初筛”与“特异性检验”结合是未来的发展趋势时间信息对于检测异常流量，流数据所提供的信息是足够，通过统计的方法可以快速的发现异常流量。由于流数据中还包含一些镜像/分光数据所没有的信息，如路由信息、自治域信息、物理端口信息，这些信息对分析流量的地域分布。有的用户对信息内容的保密非常重视，镜像/分光数据容易有可能造成信息泄漏。NetFlow定义由7个独立关键字定义:源IP地址目的IP地址源端口目的端口第三层协议类型TOS字节(DSCP)输入逻辑端口(端口索引号)输出数据NetFlow的生成CreateandupdateflowsinNetFlowCache

Inactivetimerexpired(15secisdefault)

Activetimerexpired(30min(1800sec)isdefault)NetFlowcacheisfull(oldestflowsareexpired)

RSTorFINTCPFlagHeaderExportPacketPayload(30-50flows)ExpirationAggregation?e.g.Protocol-PortAggregationSchemebecomesExportVersionYesNoAggregatedFlows–exportVersion8or9Non-AggregatedFlows–exportVersion5or9TransportProtocol流量数据所含有的信息:空间信息：地域空间，IP地址空间，AS号空间，时间信息：时间片，时间段（时间片整数倍）时，日，月，年技术指标信息：应用类型，TCP-flag,ToS,包大小……三种信息构成三个维度：空间、时间、业务流量流向定义上行下行：有绝对坐标发送接收：相对自身坐标流量分析的定义：

流量分析就是在指定的时空范围内，计算流量数据对不同维度的统计分布。流量分析的方法论专网用户关注运营商关注网络异常流量的分类网络层DDoSP2P下载蠕虫传播应用层DDoS用户自定义控制层攻击二层攻击异常流量检测方法基线阈值法（统计异常检测法）检测指标的选定基线算法实际测量值与基线对比（阈值为允许浮动的范围）特征匹配法基于机器学习的异常检测方法基于数据挖掘的异常检测法（本质上也是一种统计方法）基于神经网络的异常检测法异常流量监测异常流量检测的方法论异常检测的方法:对每个检测指标生成动态基线实时计算检测指标的实际值将实际值与基线值进行比对，判断是否超过阈值，超过则认为存在异常异常流量检测指标：网络层DDoS的检测指标异常种类检测指标（统计方法）SYNFloodTCP-Flag=SYN，包个数=1ICMPFlood协议号=0，目的端口=0,流量占比ICMP请求响应比UDPFlood协议号=6，流量占比协议号=6，流入流出流量比StreamFloodTCP-Flag=ACK,ToS=0x08,协议号=17，总流量TCP-flagNullTCP-Flag=0，总流量PSH&ACK攻击TCP-Flag=PSH&ACKIGMPFlood 协议号=2，目的端口=0,ResetFloodTCP-Flag=RST，包个数=1ConnectionFlood单位时间内TCP连接数目的变化其它TCP-Flag异常有些文献上提出有9种左右的TCP-Flag异常空链接攻击 源地址=目的地址，TCP-Flag=SYN伪造源地址或端口扫描源地址的随机度（分散度）突然增加，IP地址的个数突然增多异常流量监测应用层DDoS的检测指标及蠕虫传播及某些行为异常的检测指标

异常种类检测指标（统计方法）DNSQueryFlood协议号=6或17端口号=53HTTPGetFlood目的端口号=80，8000，8080，449，平均每个流所含包数异常名称检测方法CodeRed目的端口=80,协议类型=TCP，包数=3，字节数=144，总字节和总包数硬盘杀手目的端口=137，协议类型=UDP，字节数=78，总字节和总包数2003蠕虫王目的端口=1434，协议类型=UDP，字节数=404，总字节和总包数冲击波目的端口=135，协议类型=TCP，字节数=48，总字节和总包数冲击波杀手目的端口=2048，协议类型=ICMP，字节数=92，总字节和总包数振荡波目的端口=445，协议类型=TCP，字节数=48，总字节和总包数蠕虫传播外网地址频繁访问内网地址的NetBIOS端口（TCP和UDPport137,138,139，445）目的IP和目的端口突然增加，且包数和字节数分别相同异常行为telnet\ssh\rlogin的源、目的地址相隔很远异常数据包目的端口=23、53，包大小>1000Byte伪造源地址源地址∈黑IP地址空间异常流量监测基线算法固定基线动态基线周期性基线单周期轮廓线由同一时点的一组历史数据值计算得来常用算法：算术平均、加权平均、置信区间、混合算法非周期性线（移动窗口基线）由历史数据计算得来由一组时点连续历史数据计算得来常用算法同上基线的刷新一个新的实际测量值如果没有超过有效范围，则取代那组历史数据中最陈旧的一个，用来计算新的轮廓值。超过有效范围，则被丢弃，不参与新轮廓线计算14.33.55.66.14.22.93.24.55.16.722.52.85.35.66.22.82.93.16.87.334.93.86.67.35.62.95.33.65.95.344.54.95.62.95.62.96.14.22.92.553.14.72.85.35.66.23.65.95.32.962.85.33.42.52.85.35.65.62.95.375.33.84.15.65.62.93.55.66.12.9...4.33.55.66.14.22.93.24.55.16.75.62.95.62.96.14.22.92.93.5...移动时间窗口异常流量监测检测指标与适用的基线检测指标定义适用基线的指标固定基线周期性基线非周期性基线流量相关型只有检测指标测量值达到相当大的时候才会触发告警，若指标值相对较小，则不告警。无总流量、Web应用流量、协议比例各种泛洪攻击次数相关型即使检测指标测量值没有达到很大流量，但是已经累积了一定次数，仍然要告警。ICMP请求/应答比、蠕虫传播、端口扫描、P2P通讯无异常流量监测流量分析的技术架构CoreNetworkEnableNetFlowTraffic采集和分析器UDPNetFlowExportPackets用户界面Router流量清洗工作原理企业用户流量限速1、IP合法性检查源、目的地址检查/验证2、协议栈行为模式分析协议合法性检查3、特定应用防护

四到七层特定攻击防护4、用户行为模式分析用户行为异常检查和处理流量清洗中心交付已过滤的内容Internet城域网特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗5、动态指纹识别动态检查和生成攻击指纹并匹配攻击数据6、流量限速未知可疑流量限速操作1、查看流量大小流量是否超过处理能力，链路带宽2、抓包，ADS可以抓取接受、丢弃、发送的报文粗略判断ADS的清洗动作3、根据抓包，判断是否可进行ACL动作优化防护效果4、根据抓包，判断是否可进行模式匹配动作对抗肉鸡的有效手段，模式匹配并启用黑名单并中断连接5、查看ADS日志（结合抓包），再次判断ADS的清洗行为6、查看业务状态，TCP7、调整防护策略时，不要影响其他未被攻击的IP居家旅行必备——抓包分析分析报文简要信息拿到报文，首先从Wireshark中查看报文的简要特征，如图3.9所示。点击Wireshark中“statistics”——“Summary。从上图我们可以得到以下重要信息：平均每秒报文数量平均报文长度流量大小抓包分析技术在这里，假设A客户的业务主要为web，带宽为2