DDoS攻击原理及防护

DDOS攻击与防范绿盟科技

马林平1DDoS攻击的历史4常见DDoS工具3DDoS防护思路及防护算法2DDoS攻击方式目录DDoS攻击历史01探索期020304工具化武器化普及化DDoS攻击历史事件：第一次拒绝效劳攻击〔Panicattack〕时间：1996年后果：至少6000名用户无法接受邮件探索期---个人黑客的攻击事件：第一次分布式拒绝效劳攻击〔Trinoo〕时间：1999年后果：连续多天的效劳终止探索期---个人黑客的攻击工具化---有组织攻击事件：燕子行动时间：2012年后果：大局部美国金融机构的在线银行业务遭到攻击工具化---有组织攻击事件

：史上最大规模的DDoS时间：2013年后果：300Gbit/s的攻击流量武器化---网络战事件

：爱沙尼亚战争时间：2007年后果：一个国家从互联网上消失武器化---网络战事件

：格鲁吉亚战争时间：2008年后果：格鲁吉亚网络全面瘫痪武器化---网络战事件

：韩国网站遭受攻击时间：2009年~至今后果：攻击持续进行事件:匿名者挑战山达基教会时间：2008年后果：LOIC的大范围使用普及化---黑客行动主义事件:海康威视后门时间：2014年后果：DNS大面积不能解析普及化---黑客行动主义DNSPOD“5·19”断网事件——背景.com.ISP.net.orgroot缓存服务器解析服务器根域效劳器顶级域效劳器授权域效劳器电信运营商..4399.com客户端“5·19”断网事件——前奏.com.ISP.net.orgroot缓存服务器解析服务器根域效劳器顶级域效劳器授权域效劳器电信运营商DNSPOD..4399.com5月18日DNSPOD遭拒绝服务攻击，主站无法访问10G客户端“5·19”断网事件——断网.com..net.orgroot客户端根域效劳器顶级域效劳器授权域效劳器电信运营商DNSPOD..4399.com5月19日DNSPOD更大流量拒绝服务攻击，整体瘫痪10G缓存过期超时重试大量DNS查询ISP缓存服务器解析服务器DDOS形势---智能设备发起的DDoS攻击增多DDoS攻击的动机技术炫耀、报复心理针对系统漏洞捣乱行为商业利益驱使不正当竞争间接获利商业敲诈政治因素名族主义意识形态差异DDOS攻击地下产业化直接发展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后–原始的经济驱动力

Toolkit

DeveloperMalware

DeveloperVirusSpyware工具滥用者-“市场与销售”？BuildingBotnetsBotnets:Rent/Sale/BlackmailInformationtheftSensitiveinformationleakage真正的攻击者-“用户与合作者”？DDoSSpammingPhishingIdentitytheft最终价值TrojanSocialengineeringDirectAttack工具编写者-“研发人员”？Worm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈魔高一尺，道高一丈流量大频次高复杂化产业化2015年全年DDoS攻击数量为179,298次，平均20+次/小时。1.DDoS攻击峰值流量将再创新高；2.反射式DDoS攻击技术会继续演进；3.DNS效劳将迎来更多的DDoS攻击；4.针对行业的DDoS攻击将持续存在。预测未来

1DDoS攻击的历史4常见DDoS工具3DDoS防护思路及防护算法2DDoS攻击方式目录DDoS攻击本质利用木桶原理，寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板不要以为可以防住真正的DDoS好比减肥药，一直在治疗，从未见疗效真正海量的DDoS可以直接阻塞互联网DDoS攻击只针对有意义的目标如果没被DDoS过，说明确实没啥值得攻击的DDoS是攻击者的资源，这个资源不是拿来乱用的如果攻击没有效果，持续的时间不会很长无效的攻击持续的时间越久，被追踪反查的概率越大被消灭掉一个C&C服务器，相当于被打掉了一个BotnetDDoS根本常识低调行事，被攻击者盯上的概率小闷声发大财，显得挣钱不容易很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS能防住的攻击通常简单，简单的未必防得住成功的DDoS伴随着攻击者对攻击目标的深入调研利用漏洞，应用脆弱点，一击定乾坤攻击是动态的过程，攻防双方都需要不断调整防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段小股多段脉冲攻击试探，海量流量一举攻瘫DDoS根本常识安全服务总是在攻击防不住的时候才被想起来DDoS是典型的事件触发型市场应急，演练，预案在遭受攻击之前，很少受重视DDoS防护也是讲天时、地利、人和的攻击者会选择最合适的时间，比如某个业务盛大上线那一刻我防住家门口，他堵住你上游，上游防护比下游效果好对于安全事件，需要有安全组织，安全人员，安全制度攻击成本的降低，导致了攻击水平的降低免费攻击工具的普及降低了门槛，也使得很多攻击非常业余DDoS防御根本常识方式传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的，数百万计受感染机器在用户不知情中参与攻击目标路由器，交换机，防火墙，Web服务器，应用服务器，DNS服务器，邮件服务器，甚至数据中心后果直接导致攻击目标CPU高，内存满，应用忙，系统瘫，带宽拥堵，转发困难，并发耗尽等等，结果是网络应用甚至基础设施不可用什么是DDoS1、流量D；2、流速D以力取胜，拥塞链路，典型代表为ICMPFlood和UDPFlood3、慢速D；4、漏洞D以巧取胜，攻击于无形，每隔几十秒发一个包甚至只要发一个包，就可以让业务服务器不再响应。此类攻击主要是利用协议或应用软件的漏洞发起，例如匿名组织的Slowloris攻击5、并发D；6、请求D混合类型，既利用了系统和协议的缺陷，又具备了高速的并发和海量的流量，例如SYNFlood攻击、HTTPFlood、DNSQueryFlood攻击，是当前最主流的攻击方式DDoS攻击分类〔流量特性〕连接耗尽型包括SYNFlood，连接数攻击等带宽耗尽型包括AckFlood,UDPFlood,ICMPFlood,分片攻击等应用层攻击包括HTTPGetFlood,CC,HTTPPost慢速攻击，DNSFlood，以及针对各种游戏和数据库的攻击方式DDoS攻击分类〔攻击方式〕连接耗尽型---SYNFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒~2分钟无暇理睬正常的连接请求，造成拒绝效劳危害我没发过请求如果一个系统〔或主机〕负荷突然升高甚至失去响应，使用Netstat命令能看到大量SYN_RCVD的半连接〔数量>500或占总连接数的10%以上〕，可以认定，这个系统〔或主机〕遭到了Synflood攻击。SYNFlood侦察SYN攻击包样本SYN攻击包样本SYNFlood程序实现连接耗尽型---ConnectionFlood正常tcpconnect攻击者受害者大量tcpconnect这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真实IP地址〔代理效劳器、广告页面〕在效劳器上建立大量连接效劳器上剩余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫那么表现为大范围扫描行为消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理ConnectionFlood攻击报文

在受攻击的效劳器上使用netstat–an来看：带宽耗尽型---ICMPFlood针对同一目标IP的ICMP包在一侧大量出现内容和大小都比较固定ICMP〔request包〕攻击者受害者攻击ICMPFlood攻击原理攻击表象正常tcpconnectICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMPFlood攻击报文带宽耗尽型---UDPFlood大量UDP冲击效劳器受害者带宽消耗UDPFlood流量不仅仅影响效劳器，还会对整个传输链路造成阻塞对于需要维持会话表的网络设备，比方防火墙，IPS，负载均衡器等具备非常严重的杀伤力UDP〔非业务数据〕攻击者受害者网卡出口堵塞，收不了数据包了占用带宽UDPFlood攻击原理攻击表象丢弃UDP〔大包/负载〕带宽耗尽型—反射攻击攻击者被攻击者放大网络

源IP=被攻击者的IPICMP请求〔smurf〕DNS请求SYN请求〔land〕NTP请求SNMP请求DoS攻击采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常主机的回应报文到达攻击受害者的目的。Smurf,DNS反射攻击等攻击者既需要掌握Botnet，也需要准备大量的存活跳板机，比方开放DNS效劳器反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御反射攻击原理放大反射倍数700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射应用资源攻击---DNSQueryFlood字符串匹配查找是DNS效劳器的主要负载。一台DNS效劳器所能承受的递归动态域名查询的上限是每秒钟50000个请求。一台家用PC主机可以很轻易地发出每秒几万个请求。DNS是互联网的核心设备，一旦DNS效劳器被攻击，影响极大。运营商城域网DNS效劳器被攻击越来越频繁DNSQueryFlood危害性攻击手段SpoofIP随机生成域名使得效劳器必须使用递归查询向上层效劳器发出解析请求，引起连锁反响。蠕虫扩散带来的大量域名解析请求。利用城域网DNS效劳器作为Botnet发起攻击DNS样本DNS报文样本

应用资源攻击---HTTPFlood/CC攻击攻击者受害者(WebServer)正常HTTPGet请求不能建立正常的连接正常HTTPGetFlood正常用户正常HTTPGetFlood攻击表象利用代理效劳器向受害者发起大量HTTPGet请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理1DDoS攻击的历史4常见DDoS工具3DDoS防护思路及防护算法2DDoS攻击方式目录ADS流量清洗工作原理企业用户流量限速IP合法性检查源、目的地址检查/验证流量清洗中心交付已过滤的内容Internet城域网特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗协议栈行为模式分析协议合法性检查特定应用防护

四到七层特定攻击防护用户行为模式分析用户行为异常检查和处理动态指纹识别检查和生成攻击指纹并匹配攻击数据流量限速未知可疑流量限速SYNFlood防护方法RandomDrop：随机丢包的方式虽然可以减轻效劳器的负载，但是正常连接成功率也会降低很多特征匹配：在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带TCPOptions的SYN包等。如果攻击包完全随机生成那么无能为力SYNCookie：可以防止由于SYN攻击造成的TCP传输控制模块TCB资源耗尽，将有连接的TCP握手变成了无连接模式，减轻了被攻击者的压力，但是SYNCookie校验也是消耗性能的SYNProxy：完美解决SYN攻击的算法，但是非常消耗设备性能，在非对称网络不适用synsyn/ack(Cookie)ackClientServerSyn’syn/ack’ack’ack1ack2分配TCB资源代理后续报文TCPConnectionFlood攻击与防护使用Proxy或者Botnet，向效劳器某个应用端口〔如80〕建立大量的TCP连接建立连接后，模拟正常应用的数据包以便长时间占用连接通常一个应用效劳都有连接数上限，当到达这个上限时，正常的客户端就无法再连接成功TCPConnectionFlood攻击受害者Proxy或者BotnetTCP

Connection限制单个IP地址的连接数量对于Botnet目前没有太好的方法去防护TCPConnectionFlood防护定期扫描和加固自身业务设备定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固确保资源冗余，提升耐打能力建立多节点负载均衡，配备多线路高带宽，配备强大的运算能力，借此“吸收”DDoS攻击服务最小化，关停不必要的服务和端口关停不必要的服务和端口，实现服务最小化，例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率选择专业的产品和服务三分产品技术，七分设计服务，除了防护产品