DDoS攻擊原理及防護

DDOS攻擊與防范綠盟科技

馬林平1DDoS攻擊的歷史4常見DDoS工具3DDoS防護思路及防護算法2DDoS攻擊方式目錄DDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史事件：第一次拒絕效勞攻擊〔Panicattack〕時間：1996年后果：至少6000名用戶無法接受郵件探索期---個人黑客的攻擊事件：第一次分布式拒絕效勞攻擊〔Trinoo〕時間：1999年后果：連續(xù)多天的效勞終止探索期---個人黑客的攻擊工具化---有組織攻擊事件：燕子行動時間：2012年后果：大局部美國金融機構(gòu)的在線銀行業(yè)務(wù)遭到攻擊工具化---有組織攻擊事件

：史上最大規(guī)模的DDoS時間：2013年后果：300Gbit/s的攻擊流量武器化---網(wǎng)絡(luò)戰(zhàn)事件

：愛沙尼亞戰(zhàn)爭時間：2007年后果：一個國家從互聯(lián)網(wǎng)上消失武器化---網(wǎng)絡(luò)戰(zhàn)事件

：格魯吉亞戰(zhàn)爭時間：2008年后果：格魯吉亞網(wǎng)絡(luò)全面癱瘓武器化---網(wǎng)絡(luò)戰(zhàn)事件

：韓國網(wǎng)站遭受攻擊時間：2009年~至今后果：攻擊持續(xù)進行事件:匿名者挑戰(zhàn)山達(dá)基教會時間：2008年后果：LOIC的大范圍使用普及化---黑客行動主義事件:?？低暫箝T時間：2014年后果：DNS大面積不能解析普及化---黑客行動主義DNSPOD“5·19”斷網(wǎng)事件——背景.com.ISP.net.orgroot緩存服務(wù)器解析服務(wù)器根域效勞器頂級域效勞器授權(quán)域效勞器電信運營商..4399.com客戶端“5·19”斷網(wǎng)事件——前奏.com.ISP.net.orgroot緩存服務(wù)器解析服務(wù)器根域效勞器頂級域效勞器授權(quán)域效勞器電信運營商DNSPOD..4399.com5月18日DNSPOD遭拒絕服務(wù)攻擊，主站無法訪問10G客戶端“5·19”斷網(wǎng)事件——斷網(wǎng).com..net.orgroot客戶端根域效勞器頂級域效勞器授權(quán)域效勞器電信運營商DNSPOD..4399.com5月19日DNSPOD更大流量拒絕服務(wù)攻擊，整體癱瘓10G緩存過期超時重試大量DNS查詢ISP緩存服務(wù)器解析服務(wù)器DDOS形勢---智能設(shè)備發(fā)起的DDoS攻擊增多DDoS攻擊的動機技術(shù)炫耀、報復(fù)心理針對系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當(dāng)競爭間接獲利商業(yè)敲詐政治因素名族主義意識形態(tài)差異DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)我們在同一個地下產(chǎn)業(yè)體系對抗地下黑客攻擊網(wǎng)絡(luò)上述現(xiàn)象的背后–原始的經(jīng)濟驅(qū)動力

Toolkit

DeveloperMalware

DeveloperVirusSpyware工具濫用者-“市場與銷售”？BuildingBotnetsBotnets:Rent/Sale/BlackmailInformationtheftSensitiveinformationleakage真正的攻擊者-“用戶與合作者”？DDoSSpammingPhishingIdentitytheft最終價值TrojanSocialengineeringDirectAttack工具編寫者-“研發(fā)人員”？Worm間諜活動企業(yè)/政府欺詐銷售點擊率非法/惡意競爭偷竊勒索盈利商業(yè)銷售金融欺詐魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)業(yè)化2015年全年DDoS攻擊數(shù)量為179,298次，平均20+次/小時。1.DDoS攻擊峰值流量將再創(chuàng)新高；2.反射式DDoS攻擊技術(shù)會繼續(xù)演進；3.DNS效勞將迎來更多的DDoS攻擊；4.針對行業(yè)的DDoS攻擊將持續(xù)存在。預(yù)測未來

1DDoS攻擊的歷史4常見DDoS工具3DDoS防護思路及防護算法2DDoS攻擊方式目錄DDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸阻塞和耗盡當(dāng)前的問題：用戶的帶寬小于攻擊的規(guī)模，造成訪問帶寬成為木桶的短板不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見療效真正海量的DDoS可以直接阻塞互聯(lián)網(wǎng)DDoS攻擊只針對有意義的目標(biāo)如果沒被DDoS過，說明確實沒啥值得攻擊的DDoS是攻擊者的資源，這個資源不是拿來亂用的如果攻擊沒有效果，持續(xù)的時間不會很長無效的攻擊持續(xù)的時間越久，被追蹤反查的概率越大被消滅掉一個C&C服務(wù)器，相當(dāng)于被打掉了一個BotnetDDoS根本常識低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財，顯得掙錢不容易很少看見知名的MSSP去宣揚我?guī)驼l誰擋住多大的DDoS能防住的攻擊通常簡單，簡單的未必防得住成功的DDoS伴隨著攻擊者對攻擊目標(biāo)的深入調(diào)研利用漏洞，應(yīng)用脆弱點，一擊定乾坤攻擊是動態(tài)的過程，攻防雙方都需要不斷調(diào)整防住了攻擊千萬不能掉以輕心，可能攻方正在調(diào)整攻擊手段小股多段脈沖攻擊試探，海量流量一舉攻癱DDoS根本常識安全服務(wù)總是在攻擊防不住的時候才被想起來DDoS是典型的事件觸發(fā)型市場應(yīng)急，演練，預(yù)案在遭受攻擊之前，很少受重視DDoS防護也是講天時、地利、人和的攻擊者會選擇最合適的時間，比如某個業(yè)務(wù)盛大上線那一刻我防住家門口，他堵住你上游，上游防護比下游效果好對于安全事件，需要有安全組織，安全人員，安全制度攻擊成本的降低，導(dǎo)致了攻擊水平的降低免費攻擊工具的普及降低了門檻，也使得很多攻擊非常業(yè)余DDoS防御根本常識方式傳統(tǒng)的DDOS攻擊是通過黑客在全球范圍互聯(lián)網(wǎng)用戶中建立的僵尸網(wǎng)絡(luò)發(fā)出的，數(shù)百萬計受感染機器在用戶不知情中參與攻擊目標(biāo)路由器，交換機，防火墻，Web服務(wù)器，應(yīng)用服務(wù)器，DNS服務(wù)器，郵件服務(wù)器，甚至數(shù)據(jù)中心后果直接導(dǎo)致攻擊目標(biāo)CPU高，內(nèi)存滿，應(yīng)用忙，系統(tǒng)癱，帶寬擁堵，轉(zhuǎn)發(fā)困難，并發(fā)耗盡等等，結(jié)果是網(wǎng)絡(luò)應(yīng)用甚至基礎(chǔ)設(shè)施不可用什么是DDoS1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMPFlood和UDPFlood3、慢速D；4、漏洞D以巧取勝，攻擊于無形，每隔幾十秒發(fā)一個包甚至只要發(fā)一個包，就可以讓業(yè)務(wù)服務(wù)器不再響應(yīng)。此類攻擊主要是利用協(xié)議或應(yīng)用軟件的漏洞發(fā)起，例如匿名組織的Slowloris攻擊5、并發(fā)D；6、請求D混合類型，既利用了系統(tǒng)和協(xié)議的缺陷，又具備了高速的并發(fā)和海量的流量，例如SYNFlood攻擊、HTTPFlood、DNSQueryFlood攻擊，是當(dāng)前最主流的攻擊方式DDoS攻擊分類〔流量特性〕連接耗盡型包括SYNFlood，連接數(shù)攻擊等帶寬耗盡型包括AckFlood,UDPFlood,ICMPFlood,分片攻擊等應(yīng)用層攻擊包括HTTPGetFlood,CC,HTTPPost慢速攻擊，DNSFlood，以及針對各種游戲和數(shù)據(jù)庫的攻擊方式DDoS攻擊分類〔攻擊方式〕連接耗盡型---SYNFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手過程SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接！SYNFlood攻擊原理SYN_RECV狀態(tài)半開連接隊列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無暇理睬正常的連接請求，造成拒絕效勞危害我沒發(fā)過請求如果一個系統(tǒng)〔或主機〕負(fù)荷突然升高甚至失去響應(yīng)，使用Netstat命令能看到大量SYN_RCVD的半連接〔數(shù)量>500或占總連接數(shù)的10%以上〕，可以認(rèn)定，這個系統(tǒng)〔或主機〕遭到了Synflood攻擊。SYNFlood偵察SYN攻擊包樣本SYN攻擊包樣本SYNFlood程序?qū)崿F(xiàn)連接耗盡型---ConnectionFlood正常tcpconnect攻擊者受害者大量tcpconnect這么多？不能建立正常的連接正常tcpconnect正常用戶正常tcpconnect攻擊表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真實IP地址〔代理效勞器、廣告頁面〕在效勞器上建立大量連接效勞器上剩余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng)蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包，對于TCP蠕蟲那么表現(xiàn)為大范圍掃描行為消耗骨干設(shè)備的資源，如防火墻的連接數(shù)ConnectionFlood攻擊原理ConnectionFlood攻擊報文

在受攻擊的效勞器上使用netstat–an來看：帶寬耗盡型---ICMPFlood針對同一目標(biāo)IP的ICMP包在一側(cè)大量出現(xiàn)內(nèi)容和大小都比較固定ICMP〔request包〕攻擊者受害者攻擊ICMPFlood攻擊原理攻擊表象正常tcpconnectICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMP〔request包〕ICMPFlood攻擊報文帶寬耗盡型---UDPFlood大量UDP沖擊效勞器受害者帶寬消耗UDPFlood流量不僅僅影響效勞器，還會對整個傳輸鏈路造成阻塞對于需要維持會話表的網(wǎng)絡(luò)設(shè)備，比方防火墻，IPS，負(fù)載均衡器等具備非常嚴(yán)重的殺傷力UDP〔非業(yè)務(wù)數(shù)據(jù)〕攻擊者受害者網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了占用帶寬UDPFlood攻擊原理攻擊表象丟棄UDP〔大包/負(fù)載〕帶寬耗盡型—反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò)

源IP=被攻擊者的IPICMP請求〔smurf〕DNS請求SYN請求〔land〕NTP請求SNMP請求DoS攻擊采用受害者的IP作為源IP，向正常網(wǎng)絡(luò)發(fā)送大量報文，利用這些正常主機的回應(yīng)報文到達(dá)攻擊受害者的目的。Smurf,DNS反射攻擊等攻擊者既需要掌握Botnet，也需要準(zhǔn)備大量的存活跳板機，比方開放DNS效勞器反射攻擊會有流量放大的效應(yīng)，制造出的大流量攻擊非常難以防御反射攻擊原理放大反射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射應(yīng)用資源攻擊---DNSQueryFlood字符串匹配查找是DNS效勞器的主要負(fù)載。一臺DNS效勞器所能承受的遞歸動態(tài)域名查詢的上限是每秒鐘50000個請求。一臺家用PC主機可以很輕易地發(fā)出每秒幾萬個請求。DNS是互聯(lián)網(wǎng)的核心設(shè)備，一旦DNS效勞器被攻擊，影響極大。運營商城域網(wǎng)DNS效勞器被攻擊越來越頻繁DNSQueryFlood危害性攻擊手段SpoofIP隨機生成域名使得效勞器必須使用遞歸查詢向上層效勞器發(fā)出解析請求，引起連鎖反響。蠕蟲擴散帶來的大量域名解析請求。利用城域網(wǎng)DNS效勞器作為Botnet發(fā)起攻擊DNS樣本DNS報文樣本

應(yīng)用資源攻擊---HTTPFlood/CC攻擊攻擊者受害者(WebServer)正常HTTPGet請求不能建立正常的連接正常HTTPGetFlood正常用戶正常HTTPGetFlood攻擊表象利用代理效勞器向受害者發(fā)起大量HTTPGet請求主要請求動態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高，無法響應(yīng)正常請求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB連接池用完啦??！DB連接池占用占用占用HTTPGetFlood攻擊原理1DDoS攻擊的歷史4常見DDoS工具3DDoS防護思路及防護算法2DDoS攻擊方式目錄ADS流量清洗工作原理企業(yè)用戶流量限速IP合法性檢查源、目的地址檢查/驗證流量清洗中心交付已過濾的內(nèi)容Internet城域網(wǎng)特定應(yīng)用防護協(xié)議棧行為分析用戶行為模式分析動態(tài)指紋識別反欺騙協(xié)議棧行為模式分析協(xié)議合法性檢查特定應(yīng)用防護

四到七層特定攻擊防護用戶行為模式分析用戶行為異常檢查和處理動態(tài)指紋識別檢查和生成攻擊指紋并匹配攻擊數(shù)據(jù)流量限速未知可疑流量限速SYNFlood防護方法RandomDrop：隨機丟包的方式雖然可以減輕效勞器的負(fù)載，但是正常連接成功率也會降低很多特征匹配：在攻擊發(fā)生的當(dāng)時統(tǒng)計攻擊報文的特征，定義特征庫；例如過濾不帶TCPOptions的SYN包等。如果攻擊包完全隨機生成那么無能為力SYNCookie：可以防止由于SYN攻擊造成的TCP傳輸控制模塊TCB資源耗盡，將有連接的TCP握手變成了無連接模式，減輕了被攻擊者的壓力，但是SYNCookie校驗也是消耗性能的SYNProxy：完美解決SYN攻擊的算法，但是非常消耗設(shè)備性能，在非對稱網(wǎng)絡(luò)不適用synsyn/ack(Cookie)ackClientServerSyn’syn/ack’ack’ack1ack2分配TCB資源代理后續(xù)報文TCPConnectionFlood攻擊與防護使用Proxy或者Botnet，向效勞器某個應(yīng)用端口〔如80〕建立大量的TCP連接建立連接后，模擬正常應(yīng)用的數(shù)據(jù)包以便長時間占用連接通常一個應(yīng)用效勞都有連接數(shù)上限，當(dāng)?shù)竭_(dá)這個上限時，正常的客戶端就無法再連接成功TCPConnectionFlood攻擊受害者Proxy或者BotnetTCP

Connection限制單個IP地址的連接數(shù)量對于Botnet目前沒有太好的方法去防護TCPConnectionFlood防護定期掃描和加固自身業(yè)務(wù)設(shè)備定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點及主機，清查可能存在的安全漏洞和不規(guī)范的安全配置，對新出現(xiàn)的漏洞及時進行清理，對于需要加強安全配置的參數(shù)進行加固確保資源冗余，提升耐打能力建立多節(jié)點負(fù)載均衡，配備多線路高帶寬，配備強大的運算能力，借此“吸收”DDoS攻擊服務(wù)最小化，關(guān)停不必要的服務(wù)和端口關(guān)停不必要的服務(wù)和端口，實現(xiàn)服務(wù)最小化，例如WWW服務(wù)器只開放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略。可大大減少被與服務(wù)不相關(guān)的攻擊所影響的概率選擇專業(yè)的產(chǎn)品和服務(wù)三分產(chǎn)品技術(shù)，七分設(shè)計服務(wù)，除了防護產(chǎn)品