2022云原生拒絕服務(wù)（DDoS）攻擊防御機(jī)制

云原生拒絕服務(wù)（DDoS）目錄目錄PAGE5PAGE5簡(jiǎn)介 6目標(biāo) 7閱讀對(duì)象 7DDoS攻擊向量 7基于OSI和TCP/IP模型層的DDoS攻擊向量 8應(yīng)對(duì)DDoS攻擊（通過(guò)非SDP防御） 10SDP作為一種DDoS的防御機(jī)制 12HTTP泛洪攻擊與SDP防御 146.1戰(zhàn)場(chǎng) 14攻擊解釋 14防御解釋 15TCPSYN泛洪攻擊與SDP防御 167.1戰(zhàn)場(chǎng) 16攻擊解釋 16防御解釋 16UDP反射攻擊和SDP防御 179總結(jié) 1810術(shù)語(yǔ) 1911其他閱讀材料 20附錄1：OSI與TCP/IP的層次結(jié)構(gòu)及邏輯協(xié)議 23附錄2：OSI和TCP/IP各層次的DDoS攻擊 24附錄3：DDoS及其他攻擊方式的監(jiān)控地圖 25附錄4：最大規(guī)模的DDoS攻擊 2611簡(jiǎn)介PAGE6PAGE61.1DDoSDoS攻擊定義分布式拒絕服務(wù)(DDoS)攻擊是一種大規(guī)模攻擊。在這種攻擊中，攻擊者使用多個(gè)不同的源IP（通常有數(shù)千個(gè)）對(duì)單一目標(biāo)進(jìn)行同時(shí)攻擊。目的是使（被攻擊者的）服務(wù)（或網(wǎng)絡(luò)過(guò)載，使其不能提供正常服務(wù)。由于接收到的流量來(lái)源于許多不同的被劫持者，使用入口過(guò)濾或來(lái)源黑名單等簡(jiǎn)單技術(shù)來(lái)阻止攻擊是不可能的。當(dāng)（攻擊）分散在如此眾多的來(lái)源點(diǎn)時(shí)，區(qū)DDoSIP（IP1。拒絕服務(wù)(DoS)DDoS下圖展示了這兩種類型的攻擊。圖1：DoS與DDoS攻擊的區(qū)別DDoSDoSDDoSDDoSWebDNS/DDoS-report-q1-2019/90792201912DDoS84%，DDoS（60）的數(shù)量剛好翻了一番”；來(lái)自網(wǎng)站【/perimeter//wiki/Denial-of-service_attackPAGE10PAGE10DDoS-for-hire-services-doubled-in-q1-/d/d-id/1335042】的文章指出，DDoS2018420192為了便于分析，我們將計(jì)算機(jī)服務(wù)分為兩大類：公共服務(wù)，如DNS服務(wù)、web服務(wù)和內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）這些服務(wù)必須在互聯(lián)網(wǎng)上保持可自由訪問(wèn)，不需要身份識(shí)別、驗(yàn)證或授權(quán)。保護(hù)這些類型的服務(wù)免受DDoS攻擊不是本白皮書(shū)的目標(biāo)。私有服務(wù)，如私有商用應(yīng)用、員工或客戶的工作門(mén)戶、電子郵件服務(wù)器等這些服務(wù)旨在提供給明確定義的受眾。這些受眾具有已知的身份，并可以在使用這些服務(wù)DDoS對(duì)于上述兩種類型的服務(wù)，（提供服務(wù)的）DDoS游”進(jìn)行。目標(biāo)SDP（HTTPTCPSYNUDPSDPDDoS閱讀對(duì)象本文檔的主要目標(biāo)讀者是企業(yè)中擔(dān)任安全、企業(yè)架構(gòu)和法規(guī)遵從等角色的人員。這些利DDoS解決方案提供商、服務(wù)提供商和技術(shù)供應(yīng)商也將從閱讀本文檔中受益。DDoS攻擊向量DDoSOSITCP/IP12。注意，TCP/IPOSIOSIDDoS3OSI和TCP/IPDDoS攻擊向量No.OSITCP/IP協(xié)議數(shù)據(jù)單元說(shuō)明主要攻擊焦點(diǎn)7應(yīng)用層應(yīng)用層數(shù)據(jù)網(wǎng)絡(luò)進(jìn)程到應(yīng)用程序HTTP泛洪攻擊和DNS查詢泛洪攻擊6表示層數(shù)據(jù)數(shù)據(jù)表示與加密TLS/SSL攻擊5會(huì)話層數(shù)據(jù)主機(jī)間通信N/A4傳輸層傳輸層數(shù)據(jù)段端對(duì)端連接及可靠性SYN“TCP“泛洪攻擊3網(wǎng)絡(luò)層互聯(lián)網(wǎng)層數(shù)據(jù)包路徑尋址UDP反射攻擊2數(shù)據(jù)鏈路層網(wǎng)絡(luò)接入層幀物理尋址N/A1物理層比特媒體、信號(hào)和二進(jìn)制傳輸N/A來(lái)源：/shield/DDoS-attack-protection/應(yīng)用層攻擊DDoS2，由于不依賴暴力攻擊，通常都更復(fù)雜。43（求大量資源=資源枯竭7APIHTTP3。/DDoS-report-q1-2019/90792/DistributionofDDoSattacksbyduration(hours),Q42018&Q12019/shield/DDoS-attack-protection/1HTTPGet請(qǐng)求和HTTPPost請(qǐng)求HTTPGetHTTPPost（HTTPSDPGet（服務(wù)器）處GetPostHTTP（WebHTTP（WebGet其處理過(guò)程（比如需要數(shù)據(jù)庫(kù)訪問(wèn)）更復(fù)雜。近期成功針對(duì)亞馬遜云（AmazonCloud）、聲田（Spotify）、推特（Twitter）DDoSDDoS（見(jiàn)引用DDoSDDoSIP，（能）產(chǎn)生有力的威懾，（從而）為保護(hù)云資源提供重（IETF）RFC28275中建IPDoSIPISPDDoSⅡ傳輸層和網(wǎng)絡(luò)層攻擊傳輸層（4）和網(wǎng)絡(luò)層（3）DDoSTCPUDP傳輸數(shù)據(jù)包的協(xié)議。但是，UDPTCP436。1)TCP泛洪攻擊這種攻擊方式（TCPSYNSDP）TCPSYN成三次握手過(guò)程（一個(gè)完整的連接）SYNACKs（數(shù)據(jù)包），ACKsTCPACKTCP4DDoS攻擊使亞馬遜云客戶受到強(qiáng)烈沖擊.https:///news/major-DDoS-attack-on-dyn-disrupts-aws-twitter-spotify-and-more/5https:///rfc/rfc2827.txt6/shield/DDoS-attack-protection/2）UDP泛洪攻擊UDPTCPSYNUDP（目標(biāo)）7。UDP反射攻擊：UDP（UDP&SDPIP這些公開(kāi)服務(wù)響應(yīng)并傳送給目標(biāo)（服務(wù)器）（100IP許攻擊者生成巨量數(shù)據(jù)包從而形成巨大的攻擊流量，同時(shí)使目標(biāo)（服務(wù)器）的原始來(lái)源。注意，TCPDDoS攻擊都與反射放大有關(guān)。參見(jiàn)附錄4：最大的DDoS攻擊事件DDoS攻擊（SDP防御）DDoS（應(yīng)對(duì)措施外）9。7層：應(yīng)用層-數(shù)據(jù)Web（WebApplicationFirewall，WAF）。WAF計(jì)用于識(shí)別過(guò)大流量的規(guī)則，一旦檢測(cè)到（過(guò)大流量）就使系統(tǒng)限制流量（速率限制）。6層：表示層-數(shù)據(jù)避免此層攻擊的一種方法是將安全的套接字層(SecureSocketLayer,SSL)用程序交付平臺(tái)(ApplicationDeliveryPlatform,ADP)SSLTLSWeb（免資源耗盡），WebDDoS7Here’saclearexplanation:https:///learning/DDoS/udp-flood-DDoS-attack/8https:///system/files/conference/woot14/woot14-kuhrer.pdf9https:///DDoS/DDoS-mitigation-services.html4層：傳輸層-數(shù)據(jù)段（BlackHolingIPIP（BorderGateway可以把所有網(wǎng)絡(luò)報(bào)文轉(zhuǎn)移到清洗服務(wù)器上。3層：網(wǎng)絡(luò)層-數(shù)據(jù)包以被認(rèn)為是暴力攻擊的一種應(yīng)對(duì)方式。不適用的：5層：會(huì)話層-數(shù)據(jù)2層：數(shù)據(jù)鏈路層-幀1層：物理層-比特SDPDDoS的防御機(jī)制DDoSDDoSSDPSDP，主機(jī)是隱藏的，客戶端與（通常有多個(gè)）SDPSDPDDoS參考實(shí)現(xiàn)中，客戶端（用戶通過(guò)設(shè)備）以加密的方式登錄邊界。圖2：參考實(shí)現(xiàn)SDP（AHSDPDDoSSDP：設(shè)置控制器環(huán)境和網(wǎng)關(guān)以建立邊界；隱藏服務(wù)/服務(wù)器。每臺(tái)設(shè)備和加密密鑰。（用戶接到隱藏服務(wù)器的設(shè)備。SDP3.SDP客戶端發(fā)送一個(gè)初始的單包授權(quán)（SPA10）SDP以匹配注冊(cè)時(shí)提供的用戶信息。SPA（IP存儲(chǔ)的位置匹配以便驗(yàn)證，但不是必需）。接受主機(jī)網(wǎng)關(guān)打開(kāi)防火墻相應(yīng)端口以允許連接到隱藏服務(wù)。SDP將服務(wù)隱藏在默認(rèn)拒絕所有(Deny-All)SDP在打開(kāi)防火墻以建立連接之前對(duì)設(shè)備上的SDPDDoSDHS（/demo）DDoS80％的正常流量仍會(huì)通過(guò)。在此基礎(chǔ)上的進(jìn)一步研究以通知上游路由器和交換機(jī)有關(guān)非正常數(shù)據(jù)包也將有助于更有效地阻止DDoSDDoS，SDPSDPDDoSUDPSPASDPSDPSDPSDPSDPDDoSSPASPA（Deny-All）SDPSDP總之，SDPDDoS（SPA）以（即使來(lái)自遠(yuǎn)程系統(tǒng)DDoSSDPSDPDDoS（Akamai；Avaya；Verizon）結(jié)合，從而比現(xiàn)今提供的措施更有效和預(yù)防性更好。本文的其余部分將專門(mén)用于展現(xiàn)SDPDDoSOSITCP/IPDDoS攻擊，UDP，TCPSYN10有關(guān)該概念的詳細(xì)信息，請(qǐng)參見(jiàn)/fwknop/docs/SPA.html，并參考SDP規(guī)范以了解其在SDP中的用法。HTTPSDP防御戰(zhàn)場(chǎng)攻擊解釋

圖3：HTTP泛洪攻擊和SDP防御此類攻擊可歸類為OSI7（OSITCP/IPDDoSWeb/將大量數(shù)據(jù)包發(fā)送給單個(gè)服務(wù)。由于此攻擊使用來(lái)自表面上合法的設(shè)備合法構(gòu)造的請(qǐng)求，此類攻擊很難被檢測(cè)和阻止。HTTP泛洪攻擊攻擊者通過(guò)用惡意軟件感染來(lái)獲取（通過(guò)網(wǎng)絡(luò)釣魚(yú)或其他方式）僵尸網(wǎng)絡(luò)設(shè)備；惡意軟件是“命令和控制”類型，允許發(fā)送HTTPPOSTHTTPPOST（DB）處理的表單；WebTCP（三次握手）；HTTPPOSTWeb/HTTPPOSTWeb/度或使處理停止。防御解釋Post此類攻擊最有效的方法是完全阻止任何連接。SDPWebSDPSDPSDPSDPSDPSDPID（每個(gè)設(shè)備）、客戶端證書(shū)和加密密鑰。SDP/的單數(shù)據(jù)包授權(quán)（SPA）。因此，SDPbotnetSDP（ID、證書(shū)和加密密鑰），SDPSDPSDPwebSDP藏服務(wù)。IPIPSDP（POST痕跡和被丟棄的數(shù)據(jù)包會(huì)提供可以被用于分析的證據(jù)和數(shù)據(jù)，以改善防御和/或起訴攻擊者。TCPSYNSDP防御戰(zhàn)場(chǎng)攻擊解釋

圖4：TCPSYN洪泛攻擊和SDP防御SYN5DDoS(https://www.d/d-id/1333766TCPTCPSYN能壓倒目標(biāo)，導(dǎo)致拒絕服務(wù)。防御解釋SDPSDPSYN繼續(xù)運(yùn)行的更有效的解決方案，無(wú)論數(shù)據(jù)包速率或數(shù)據(jù)包數(shù)量如何。12SDP防御的步驟1-7順序已在前面的章節(jié)中描述UDPSDP防御戰(zhàn)場(chǎng)攻擊解析

圖5：UDP反射攻擊和SDP防御13UDPUDP（具體來(lái)說(shuō)，數(shù)據(jù)包頭）UDPIP射攻擊，其中響應(yīng)是不成比例的大（放大），DoS攻擊受害者。放大因子的大致范圍從一個(gè)ICMPping1(DNS28-54NTP55050000。鏈接：https:///ncas/alerts/TA14-017A\https:///learning/DDoS/memcached-DDoS-attack/13SDP防御的步驟1-7順序已在前面的章節(jié)中描述。UDP反射攻擊能夠很有效和隱秘，因?yàn)椴恍枰粽吆湍繕?biāo)之間的任何直接溝通。這些攻擊通常從一群分散的被劫持系統(tǒng)（僵尸網(wǎng)絡(luò)）發(fā)起，從而進(jìn)一步模糊了攻擊的實(shí)際來(lái)源。防御解析UDPUDPUDPNTPDNS，則必須保持公開(kāi)，因此可被利DoSSDPSDP（及服務(wù)器）UDPUDP擊的能力。注意，運(yùn)行惡意軟件的授權(quán)客戶端設(shè)備當(dāng)然可能被用于啟動(dòng)這種類型的反射攻擊?？偨Y(jié)SDPSDPDDoSDoSDDoSOSITCP/IPDDoS擇了三個(gè)著名的攻擊作為重點(diǎn)：7HTTP泛洪攻擊（與前面保持一致）4SYN“TCP”泛洪攻擊3UDPDDoS（SDPOSISDPSDPDDoSSDPDDoS循的事件次序。然后我們列舉了該部署所提供的保護(hù)，包括：拒絕所有（Deny-All）SDP在打開(kāi)防火墻建立連接前認(rèn)證設(shè)備上的用戶;DDoS速度丟棄數(shù)據(jù)包。最后，我們使用SDP作為防御機(jī)制查看了以下三種攻擊:HTTPSDPTCPSYNSDPUDPSDP對(duì)于上述的每個(gè)攻擊我們都以圖示描述了攻擊和防御，并在圖例之后附以詳細(xì)解釋。對(duì)于每種攻擊我們的結(jié)論都是SDP提供了充分的防御?？傊?，對(duì)于所討論的幾種攻擊，SDPDDoSSDPSPASDPDDoSDDoS術(shù)語(yǔ)BGP邊界網(wǎng)關(guān)協(xié)議是用于分發(fā)和計(jì)算組成互聯(lián)網(wǎng)的成千上萬(wàn)自治網(wǎng)絡(luò)之間的路徑的控制協(xié)議。僵尸網(wǎng)絡(luò)已經(jīng)被攻擊者攻陷以用于執(zhí)行惡意攻擊的計(jì)算機(jī)。ICMPTCPUDP操作或診斷消息/pingtraceroute入口過(guò)濾這是一種確保標(biāo)識(shí)為來(lái)自一個(gè)特定地址的數(shù)據(jù)包的確來(lái)自這一地址的方法。有各種各樣的方法實(shí)現(xiàn)這一過(guò)程，其中最好的方法記錄在互聯(lián)網(wǎng)工程任務(wù)組BCP38和BCP84中。IP地址欺騙IPIP這樣做是為了隱藏攻擊者的身份?；螖?shù)據(jù)包這是任何不能被數(shù)據(jù)包協(xié)議解析器解析的包。該數(shù)據(jù)包沒(méi)有遵循對(duì)應(yīng)的協(xié)議規(guī)范——例如TCP或UDP。簽名（攻擊）攻擊所固有的數(shù)據(jù)、流量或事件。這些信息被入侵檢測(cè)系統(tǒng)(IDS)用于識(shí)別攻擊的發(fā)生并隨之發(fā)出告警。PAGE23PAGE23附錄1：OSI與TCP/IP的層次結(jié)構(gòu)及邏輯協(xié)議網(wǎng)絡(luò)模型OSI模型應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層物理層TCP/IP模型應(yīng)用層網(wǎng)絡(luò)接口層邏輯協(xié)議Telnet/SSHFTP/SFTP/SCPSMTP/POP3/AMPHTTP/HTTPSBGPDNSSNMPSyslcgNTPWINSRIP/RIP2/RIPngTCPUDPIPIGMPICMPARPRARP物理協(xié)議EthernetTokenFrameATMSONETSDHPDHCDMAGSM參考：/tutorials/basic_concepts/network_models/comparison.shtmOSI和TCP/IP的相似點(diǎn)包括了：均采用層次結(jié)構(gòu)。均包含應(yīng)用層，盡管它們?cè)谠搶铀姆?wù)有著很大的差異。均包含對(duì)應(yīng)的傳輸層和網(wǎng)絡(luò)層。均需要被網(wǎng)絡(luò)專業(yè)人士所了解。均假設(shè)數(shù)據(jù)包是可交換的。這意味著各個(gè)數(shù)據(jù)包可以通過(guò)不同的路徑到達(dá)相同的目的地。這與所有包都走相同路徑的電路交換網(wǎng)絡(luò)有所不同。OSI和TCP/IP的不同點(diǎn)包括了：TCP/IPTCP/IPOSITCP/IPTCP/IPTCP/IPOSIOSIPAGE24PAGE24附錄2：OSI和TCP/IP各層次的DDoS攻擊OSI層7654321TCP/IP層4321DDoS攻擊類型名稱應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層Smurf攻擊不適用X不適用不適用ICMP泛洪攻擊不適用X不適用不適用IP/ICMP分片攻擊不適用X不適用不適用SYN泛洪攻擊不適用X不適用不適用UDP泛洪攻擊不適用X不適用不適用其他TCP泛洪攻擊（Spoof/Non）不適用X不適用