DPtech入侵防御系統(tǒng)DDoS防范技術(shù)白皮書(shū)

1、杭州迪普科技有限公司DPtech入侵防御系統(tǒng)DDoS防范技術(shù)白皮書(shū)防范技術(shù)白皮書(shū)1、概述1.1 背景從上世紀(jì)90年代到現(xiàn)在，DoS/DDoS 技術(shù)主要經(jīng)歷大約階段：1) 技術(shù)發(fā)展時(shí)期。90年代，Internet 開(kāi)始普及，很多新的DoS 技術(shù)涌現(xiàn)。技術(shù)，其中大多數(shù)技術(shù)至今仍然有效，且應(yīng)用頻度相當(dāng)高，等等。2) 從實(shí)驗(yàn)室向產(chǎn)業(yè)化轉(zhuǎn)換2000年前后，DDoS 出現(xiàn)，Yahoo, Amazon等多個(gè)著名網(wǎng)站受到攻擊并癱瘓，SQL slammer 等蠕蟲(chóng)造成的事件。3) “商業(yè)時(shí)代”最近一兩年，寬帶的發(fā)展使得接入帶寬增加，個(gè)人電腦性能大幅提高，使越頻繁，可以說(shuō)隨處可見(jiàn)，而且也出現(xiàn)了更專業(yè)的、用于出租的

2、攻擊的威脅已經(jīng)無(wú)處不在。DDoS（分布式拒絕服務(wù)攻擊）是產(chǎn)生大規(guī)模破壞的武器。不像訪問(wèn)攻擊穿透安全周邊來(lái)竊取信息，DDoS攻擊通過(guò)偽造的流量淹沒(méi)服務(wù)器、網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備癱瘓來(lái)使得網(wǎng)絡(luò)系統(tǒng)癱瘓。1.2 DDoS攻擊原理由于DDoS攻擊往往采取合法的數(shù)據(jù)請(qǐng)求技術(shù)，再加上傀儡機(jī)器，造成最難防御的網(wǎng)絡(luò)攻擊之一。據(jù)美國(guó)最新的安全損失調(diào)查報(bào)告，躍居第一。DDoS攻擊的一個(gè)致命趨勢(shì)是使用復(fù)雜的欺騙技術(shù)和基本協(xié)議，不是采用可被阻斷的非基本協(xié)議或高端口協(xié)議，非常難識(shí)別和防御，率的措施只是通過(guò)停止服務(wù)來(lái)簡(jiǎn)單停止攻擊任務(wù)，但同時(shí)合法用戶的請(qǐng)求也被拒絕，中斷或服務(wù)質(zhì)量的下降；DDoS事件的突發(fā)性，往往在很短的時(shí)就可

3、使網(wǎng)絡(luò)資源和服務(wù)資源消耗殆盡。DDoS攻擊主要是利用了Internet協(xié)議和Internet基本數(shù)據(jù)包到任意目的地。DDoS攻擊分為兩種：要么大數(shù)據(jù)，大流量來(lái)90年代末發(fā)明和研究過(guò)許多新的Ping of death, Smurf, SYN flooding, 還有 Codered, DDoS 攻擊越來(lái)DDoS 攻擊經(jīng)濟(jì)。可以說(shuō)DDoS （路由器，防火墻等）DDoS攻擊成為目前DDoS攻擊所造成的經(jīng)濟(jì)損失已經(jīng)如HTTP，Email等協(xié)議，而通常采用的包過(guò)濾或限制速造成業(yè)務(wù)的間內(nèi)，大量的DDoS攻擊數(shù)據(jù)無(wú)偏差地從任何的源頭傳送壓垮網(wǎng)絡(luò)設(shè)備和服務(wù)器，要第1頁(yè) 共6頁(yè)如 優(yōu)點(diǎn)杭州迪普科技有限公司么有意

4、制造大量無(wú)法完成的不完全請(qǐng)求來(lái)快速耗盡服務(wù)器資源。1.3 DoS/DDoS攻擊分類邏輯攻擊邏輯攻擊采取的方法是利用攻擊對(duì)象上已有的軟件漏洞，向其發(fā)送少量的畸形數(shù)據(jù)包，導(dǎo)致攻擊對(duì)象的服務(wù)性能大幅降低和整個(gè)系統(tǒng)發(fā)生崩潰。泛洪攻擊泛洪攻擊則是利用大量的無(wú)效或惡意數(shù)據(jù)數(shù)據(jù)包導(dǎo)致攻擊對(duì)象的資源（例如CPU、內(nèi)存、緩存、磁盤空間和帶寬）不堪重負(fù)，從而降低服務(wù)性能或者導(dǎo)致服務(wù)中斷。1.4 DoS與DDoS攻擊的區(qū)別顧名思義，DoS與DDoS最直接的區(qū)別就是單對(duì)一攻擊還是多對(duì)一攻擊。而隨著現(xiàn)在服務(wù)器性能的發(fā)展，想要單對(duì)一發(fā)起泛洪攻擊已經(jīng)不太可能了，所以現(xiàn)在有效的DoS攻擊主要采用邏輯攻擊的方式，而DDoS攻擊

5、則由攻擊者驅(qū)動(dòng)僵尸網(wǎng)絡(luò)，以多攻少，耗盡服務(wù)器資源。1.5 傀儡機(jī)和僵尸網(wǎng)絡(luò)傀儡機(jī)是被黑客通過(guò)木馬或其他惡意程序獲取控制權(quán)的終端用戶PC、服務(wù)器或者其他網(wǎng)絡(luò)設(shè)備。而由攻擊者操縱的一系列傀儡機(jī)組成的網(wǎng)絡(luò)形象地稱為僵尸網(wǎng)絡(luò)。示意圖如下所示：第2頁(yè) 共6頁(yè)杭州迪普科技有限公司僵尸網(wǎng)絡(luò)攻擊示意圖1.6 常見(jiàn)的DoS/DDoS攻擊ping of death許多操作系統(tǒng)的TCP/IP協(xié)議棧規(guī)定ICMP報(bào)文大小為64KB，并為此分配緩沖區(qū)。Ping ofdeath故意產(chǎn)生崎形報(bào)文，聲稱自己的大小超過(guò)64KB，使得協(xié)議棧出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致蕩機(jī)。teardrop某些TCP/IP協(xié)議棧（NT在SP4以前）利用該

6、特性發(fā)送偽造的重疊IP分片報(bào)文， udp flood提供WWW和Mail等服務(wù)的Unix的服務(wù)器echo服務(wù)會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。Udp flood假冒連接，回復(fù)地址指向開(kāi)著echo服務(wù)的一臺(tái)垃圾數(shù)據(jù)，導(dǎo)致帶寬耗盡。syn floodSYN Flooding針對(duì)TCP協(xié)議棧在兩送帶偽造源地址的SYN報(bào)文，服務(wù)方發(fā)送方會(huì)在一定時(shí)間處于等待請(qǐng)求方ACK消息的有限的。如果惡意攻擊方快速連續(xù)地發(fā)送此類連被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡(luò)可用帶寬可以插在大量虛假請(qǐng)求間得到應(yīng)答外，服務(wù)器 smurf攻擊者以被害者的地址作為源地址發(fā)害者發(fā)送ICMP回顯應(yīng)答報(bào)文，導(dǎo)致被害者發(fā)

7、大量回應(yīng)的方式也被叫做smurf“放大”。 stacheldrahtStacheldraht基于客戶機(jī)/服務(wù)器模式，在發(fā)動(dòng)攻擊時(shí)，攻擊者與master程序進(jìn)行連在收到含有重疊致某些系統(tǒng)蕩機(jī)。默認(rèn)打開(kāi)一原本作為測(cè)試功攻擊偽造與某一主機(jī)的臺(tái)主機(jī)來(lái)主機(jī)間初始化連SYN-ACK確認(rèn)消狀態(tài)。對(duì)于某臺(tái)接請(qǐng)求，該迅速縮小，長(zhǎng)此將無(wú)法向用戶提ICMP回顯請(qǐng)求被大量響應(yīng)信息淹沒(méi)。Master程序與潛接。增加了新的IP分片報(bào)文時(shí)會(huì)崩潰。Teardrop黑客惡意利用的UDP服務(wù)。如chargen服務(wù)會(huì)在收到每一個(gè)chargen服務(wù)之間的一次udp回傳送毫無(wú)用處且占滿帶寬的程進(jìn)行DoS攻擊。攻擊者發(fā)收不到ACK回應(yīng)，

8、于是服務(wù)TCP連接是TCP連接隊(duì)列將很快下去，除了少數(shù)幸運(yùn)用戶的請(qǐng)求常的合法服務(wù)。報(bào)文。網(wǎng)絡(luò)中的一些系統(tǒng)會(huì)向被這種使用網(wǎng)絡(luò)發(fā)送一個(gè)包而引在的成千個(gè)代理程序進(jìn)行通訊。能：攻擊者與master程序之間第3頁(yè) 共6頁(yè)的導(dǎo)些被能的主機(jī)，使得兩臺(tái)接的過(guò)息后服務(wù)器來(lái)說(shuō)，可用的服務(wù)器可用的供正送廣播其中功杭州迪普科技有限公司的通訊是加密的，對(duì)命令來(lái)源做假。以此逃避一些路由器用URPF(RFC2267)進(jìn)行過(guò)濾，若檢查出有過(guò)濾現(xiàn)象，它將只做假IP地址最后8位，從而讓用戶無(wú)法了解到底是哪幾個(gè)網(wǎng)段的哪臺(tái)機(jī)器被攻擊；同時(shí)使用rcp 技術(shù)對(duì)代理程序進(jìn)行自動(dòng)更新。同TFN一樣， Stacheldraht可以并行發(fā)動(dòng)數(shù)不

9、勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動(dòng)的攻擊包括UDP flood、TCP SYN flood、ICMP 回音應(yīng)答flood等。2、DPtech IPS對(duì)DoS/DDoS的防御技術(shù)2.1傳統(tǒng)防御方案的缺點(diǎn)傳統(tǒng)的DDoS防御方案主要有以下不足：1) 配置復(fù)雜，自動(dòng)化不強(qiáng)。傳統(tǒng)DDoS防御往往要求用戶針對(duì)某種流量配置相應(yīng)的閾值，如果對(duì)網(wǎng)絡(luò)中的流量不清楚的話，用戶很難做出正確的配置。2) 防御能力比較單一。傳統(tǒng)DDoS防御主要針對(duì)SYN Flood等單一攻擊類型進(jìn)行防御，能力比較單一?，F(xiàn)在DDoS攻擊的趨勢(shì)是多層次和全方位的，在一次攻擊

10、攻擊過(guò)程中，會(huì)產(chǎn)生針對(duì)網(wǎng)絡(luò)層的SYN、UDP和ICMP Flood，針對(duì)連接的TCP connectioinFlood，和針對(duì)應(yīng)用層協(xié)議的HTTP GET、PUT Flood。3) 無(wú)法區(qū)分異常流量。傳統(tǒng)DDoS防御對(duì)于檢測(cè)到的流量異常后，無(wú)法做進(jìn)一步的區(qū)分，而只是簡(jiǎn)單的將所有異常流量全部丟棄，導(dǎo)致合法用戶的請(qǐng)求也得不到響應(yīng)。4) 無(wú)法應(yīng)對(duì)未知的攻擊。傳統(tǒng)DDoS防御主要針對(duì)已知DDoS攻擊，而隨著DDoS攻擊工具源代碼在網(wǎng)上散播，攻擊者可以很容易改變DDoS攻擊的報(bào)文類型，形成DDoS攻擊的變體。2.2DPtech IPS防御DDoS的方法http-redirection根據(jù)四元組（源IP、

11、目的IP、目的端口和協(xié)議）查詢http重定向表，如果匹配并且表項(xiàng)狀態(tài)為完成重定向（該狀態(tài)的重定向表項(xiàng)老化則客戶端為zombie），增加可信IP，將報(bào)文傳送給服務(wù)端，是針對(duì)HTTP請(qǐng)求的anti-spoof動(dòng)作。http-redirection的處理主要包括兩個(gè)部分：cookie和redirect。cookie驗(yàn)證客戶端IP地址的合法性（防spoof），redirect驗(yàn)證客戶端是否能夠正確理解應(yīng)用層協(xié)議（防zombie）dns-proxy是針對(duì)TCP DNS請(qǐng)求的anti-spoof動(dòng)作。dns-proxy的處理主要包括兩個(gè)部分：cookie和proxy。cookie驗(yàn)證客戶端IP地址的合法性

12、（防spoof）。第4頁(yè) 共6頁(yè)杭州迪普科技有限公司server-resetserver-reset是IPS以server身份主動(dòng)發(fā)起reset，server-reset防護(hù)動(dòng)作在系統(tǒng)中暫不使用，此功能點(diǎn)是為了保證防護(hù)動(dòng)作的完整性。server-reset包含TCP cookie處理，用來(lái)驗(yàn)證客戶端IP地址的合法性（防spoof）。client-resetclient-reset是針對(duì)基于TCP并且除HTTP、DNS外的其他應(yīng)用協(xié)議的anti-spoof動(dòng)作（SMPT、POP3、IMAP、HTTPS、TELNET、FTP協(xié)議使用client- reset處理，其他協(xié)議未通過(guò)驗(yàn)證），由服務(wù)端在回

13、應(yīng)SYN/ACK報(bào)文時(shí)設(shè)置錯(cuò)誤的序列號(hào)，客戶端將主動(dòng)復(fù)位當(dāng)前連接并且進(jìn)行連接重試。client-reset包含兩個(gè)部分：cookie和redirect。cookie驗(yàn)證客戶端IP地址的合法性（防spoof），redirect驗(yàn)證客戶端是否能夠正確理解應(yīng)用層協(xié)議（防zombie）。tcp-strong需要調(diào)用本功能進(jìn)行服務(wù)端SYN/ACK報(bào)文處理。防護(hù)動(dòng)作tcp-strong對(duì)每一個(gè)TCP請(qǐng)求進(jìn)行代理，需要完成設(shè)備和客戶端、設(shè)備和服務(wù)端的三次握手。在處理服務(wù)端三次握手時(shí)需要處理SYN/ACK報(bào)文。ttl-checkttl-check是針對(duì)除TCP、DNS UDP協(xié)議外的其他協(xié)議的anti-spo

14、of動(dòng)作。防護(hù)基于的原理是攻擊者可以篡改報(bào)文的任何內(nèi)容，但無(wú)法篡改報(bào)文傳輸?shù)腡TL跳數(shù)。根據(jù)TTL跳數(shù)對(duì)IP源地址進(jìn)行認(rèn)證基于如下前提：大多數(shù)系統(tǒng)的報(bào)文初始TTL值為30、32、60、64、128和255； 大多數(shù)報(bào)文在網(wǎng)上傳輸?shù)木嚯x不會(huì)超過(guò)30跳；在學(xué)習(xí)階段，或者從后續(xù)通過(guò)其他防護(hù)動(dòng)作認(rèn)證的報(bào)文中，我們可以獲取一張IP和TTL跳數(shù)的對(duì)應(yīng)關(guān)系表，作為我們檢測(cè)的依據(jù)。如果當(dāng)前報(bào)文不符合對(duì)應(yīng)關(guān)系表，則認(rèn)為當(dāng)前報(bào)文為偽造報(bào)文；否則認(rèn)為當(dāng)前報(bào)文合法。由于ttl-check防護(hù)基于的事實(shí)具有一定的不可靠性：用戶可以修改報(bào)文的起始TTL值，報(bào)文在網(wǎng)絡(luò)中傳輸?shù)木嚯x可能超過(guò)30，所以ttl-check防護(hù)具有一定的誤差。特征檢查查殺有特征的DoS攻擊和有特征的DDoS攻擊工具發(fā)