DDoS攻擊原理及防護(hù)課件

1、DDOS攻擊與防范綠盟科技 馬林平DDOS攻擊與防范綠盟科技 馬林平1 DDoS攻擊的歷史4 常見DDoS工具3 DDoS防護(hù)思路及防護(hù)算法2 DDoS攻擊方式目錄1 DDoS攻擊的歷史4 常見DDoS工具3 DDoSDDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史DDoS攻擊歷史事件 ：第一次拒絕服務(wù)攻擊（Panic attack）時間：1996年后果：至少6000名用戶無法接受郵件探索期-個人黑客的攻擊事件 ：第一次拒絕服務(wù)攻擊（Panic attack）探索期事件 ：第一次分布式拒絕服務(wù)攻擊（Trinoo）時

2、間：1999年后果：連續(xù)多天的服務(wù)終止探索期-個人黑客的攻擊事件 ：第一次分布式拒絕服務(wù)攻擊（Trinoo）探索期-工具化-有組織攻擊事件 ：燕子行動時間：2012年后果：大部分美國金融機(jī)構(gòu)的在線銀行業(yè)務(wù)遭到攻擊工具化-有組織攻擊事件 ：燕子行動工具化-有組織攻擊事件 ：史上最大規(guī)模的DDoS時間：2013年后果：300Gbit/s的攻擊流量工具化-有組織攻擊事件 ：史上最大規(guī)模的DDoS武器化-網(wǎng)絡(luò)戰(zhàn)事件 ：愛沙尼亞戰(zhàn)爭時間：2007年后果：一個國家從互聯(lián)網(wǎng)上消失武器化-網(wǎng)絡(luò)戰(zhàn)事件 ：愛沙尼亞戰(zhàn)爭武器化-網(wǎng)絡(luò)戰(zhàn)事件 ：格魯吉亞戰(zhàn)爭時間：2008年后果：格魯吉亞網(wǎng)絡(luò)全面癱瘓武器化-網(wǎng)絡(luò)戰(zhàn)事件

3、：格魯吉亞戰(zhàn)爭武器化-網(wǎng)絡(luò)戰(zhàn)事件 ：韓國網(wǎng)站遭受攻擊時間：2009年至今后果：攻擊持續(xù)進(jìn)行武器化-網(wǎng)絡(luò)戰(zhàn)事件 ：韓國網(wǎng)站遭受攻擊事件 : 匿名者挑戰(zhàn)山達(dá)基教會時間：2008年后果：LOIC的大范圍使用普及化-黑客行動主義事件 : 匿名者挑戰(zhàn)山達(dá)基教會普及化-黑客行動主義事件 : 海康威視后門時間：2014年后果：DNS大面積不能解析普及化-黑客行動主義事件 : ?？低暫箝T普及化-黑客行動主義DNSPOD“519”斷網(wǎng)事件 背景.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級域服務(wù)器授權(quán)域服務(wù)器電信運營商客戶端DNSPOD“519”斷網(wǎng)事件 背景.com.bao“51

4、9”斷網(wǎng)事件 前奏.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級域服務(wù)器授權(quán)域服務(wù)器電信運營商DNSPOD5 月 18 日 DNSPOD 遭拒絕服務(wù)攻擊，主站無法訪問10G客戶端“519”斷網(wǎng)事件 前奏.com.baofeng.c“519”斷網(wǎng)事件 斷網(wǎng).orgroot客戶端根域服務(wù)器頂級域服務(wù)器授權(quán)域服務(wù)器電信運營商DNSPOD5 月 19 日 DNSPOD 更大流量拒絕服務(wù)攻擊，整體癱瘓10G緩存過期超時重試大量 DNS查詢ISP緩存服務(wù)器解析服務(wù)器“519”斷網(wǎng)事件 斷網(wǎng).com.baofeng.cDDOS形勢-智能設(shè)備發(fā)起的DDoS攻擊增多DDOS形勢-智能

5、設(shè)備發(fā)起的DDoS攻擊增多DDoS攻擊的動機(jī)技術(shù)炫耀、報復(fù)心理針對系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當(dāng)競爭間接獲利商業(yè)敲詐政治因素名族主義意識形態(tài)差別DDoS攻擊的動機(jī)技術(shù)炫耀、報復(fù)心理DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)我們在同一個地下產(chǎn)業(yè)體系對抗地下黑客攻擊網(wǎng)絡(luò)DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，學(xué)習(xí)、僵尸上述現(xiàn)象的背后 原始的經(jīng)濟(jì)驅(qū)動力 ToolkitDeveloperMalware DeveloperVirusSpyware

6、工具濫用者-“市場與銷售”？Building BotnetsBotnets:Rent / Sale / Blackmail Information theftSensitive information leakage 真正的攻擊者-“用戶與合作者”？DDoSSpammingPhishingIdentity theft最終價值TrojanSocial engineeringDirect Attack工具編寫者-“研發(fā)人員”？Worm間諜活動企業(yè)/政府欺詐銷售點擊率非法/惡意競爭偷竊勒索盈利商業(yè)銷售金融欺詐上述現(xiàn)象的背后 原始的經(jīng)濟(jì)驅(qū)動力 ToolkitDev魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)

7、業(yè)化2015年全年DDoS攻擊數(shù)量為179,298次，平均20+次/小時。魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)業(yè)化2015年全年DD1. DDoS攻擊峰值流量將再創(chuàng)新高；2. 反射式DDoS攻擊技術(shù)會繼續(xù)演進(jìn)；3. DNS服務(wù)將迎來更多的DDoS攻擊；4. 針對行業(yè)的DDoS攻擊將持續(xù)存在。預(yù)測未來 1. DDoS攻擊峰值流量將再創(chuàng)新高；預(yù)測未來 1 DDoS攻擊的歷史4 常見DDoS工具3 DDoS防護(hù)思路及防護(hù)算法2 DDoS攻擊方式目錄1 DDoS攻擊的歷史4 常見DDoS工具3 DDoSDDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸阻塞和耗盡當(dāng)前的問題：用戶的帶寬小于攻擊的規(guī)

8、模，造成訪問帶寬成為木桶的短板DDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見療效真正海量的DDoS可以直接阻塞互聯(lián)網(wǎng)DDoS攻擊只針對有意義的目標(biāo)如果沒被DDoS過，說明確實沒啥值得攻擊的DDoS是攻擊者的資源，這個資源不是拿來亂用的如果攻擊沒有效果，持續(xù)的時間不會很長無效的攻擊持續(xù)的時間越久，被追蹤反查的概率越大被消滅掉一個C&C服務(wù)器，相當(dāng)于被打掉了一個BotnetDDoS基本常識不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財，顯得掙錢不容易很少看見知名的MSSP去宣揚

9、我?guī)驼l誰擋住多大的DDoS能防住的攻擊通常簡單，簡單的未必防得住成功的DDoS伴隨著攻擊者對攻擊目標(biāo)的深入調(diào)研利用漏洞，應(yīng)用脆弱點，一擊定乾坤攻擊是動態(tài)的過程，攻防雙方都需要不斷調(diào)整防住了攻擊千萬不能掉以輕心，可能攻方正在調(diào)整攻擊手段小股多段脈沖攻擊試探，海量流量一舉攻癱DDoS基本常識低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財，顯得掙錢不容易很少安全服務(wù)總是在攻擊防不住的時候才被想起來DDoS是典型的事件觸發(fā)型市場應(yīng)急，演練，預(yù)案在遭受攻擊之前，很少受重視DDoS防護(hù)也是講天時、地利、人和的攻擊者會選擇最合適的時間，比如某個業(yè)務(wù)盛大上線那一刻我防住家門口，他堵住你上游，上游防護(hù)比下游效果好對于

10、安全事件，需要有安全組織，安全人員，安全制度攻擊成本的降低，導(dǎo)致了攻擊水平的降低免費攻擊工具的普及降低了門檻，也使得很多攻擊非常業(yè)余DDoS防御基本常識安全服務(wù)總是在攻擊防不住的時候才被想起來DDoS是典型的事件方式傳統(tǒng)的DDOS攻擊是通過黑客在全球范圍互聯(lián)網(wǎng)用戶中建立的僵尸網(wǎng)絡(luò)發(fā)出的，數(shù)百萬計受感染機(jī)器在用戶不知情中參與攻擊目標(biāo)路由器，交換機(jī)，防火墻，Web服務(wù)器，應(yīng)用服務(wù)器，DNS服務(wù)器，郵件服務(wù)器，甚至數(shù)據(jù)中心后果直接導(dǎo)致攻擊目標(biāo)CPU高，內(nèi)存滿，應(yīng)用忙，系統(tǒng)癱，帶寬擁堵，轉(zhuǎn)發(fā)困難，并發(fā)耗盡等等，結(jié)果是網(wǎng)絡(luò)應(yīng)用甚至基礎(chǔ)設(shè)施不可用什么是DDoS方式傳統(tǒng)的DDOS攻擊是通過黑客在全球范圍互聯(lián)

11、網(wǎng)用戶中建立的1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMP Flood和UDP Flood3、慢速D；4、漏洞D 以巧取勝，攻擊于無形，每隔幾十秒發(fā)一個包甚至只要發(fā)一個包，就可以讓業(yè)務(wù)服務(wù)器不再響應(yīng)。此類攻擊主要是利用協(xié)議或應(yīng)用軟件的漏洞發(fā)起，例如匿名組織的Slowloris攻擊5、并發(fā)D；6、請求D混合類型，既利用了系統(tǒng)和協(xié)議的缺陷，又具備了高速的并發(fā)和海量的流量，例如SYN Flood攻擊、HTTP Flood、DNS Query Flood攻擊，是當(dāng)前最主流的攻擊方式DDoS攻擊分類（流量特性）1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMP連接耗盡型包括SY

12、N Flood，連接數(shù)攻擊等帶寬耗盡型包括Ack Flood,UDP Flood,ICMP Flood,分片攻擊等應(yīng)用層攻擊包括HTTP Get Flood,CC,HTTP Post慢速攻擊，DNS Flood，以及針對各種游戲和數(shù)據(jù)庫的攻擊方式DDoS攻擊分類（攻擊方式）連接耗盡型包括SYN Flood，連接數(shù)攻擊等帶寬耗盡型包括連接耗盡型-SYN FloodSYN （我可以連接嗎？）ACK （可以）/SYN（請確認(rèn)?。〢CK （確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手過程SYN （我可以連接嗎？）ACK （可以）/SYN（請確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN 請求為何還沒回應(yīng)就是讓你白等不

13、能建立正常的連接！SYN Flood 攻擊原理SYN_RECV 狀態(tài)半開連接隊列遍歷，消耗CPU和內(nèi)存SYN|ACK 重試SYN Timeout：30秒2分鐘無暇理睬正常的連接請求，造成拒絕服務(wù)危害我沒發(fā)過請求連接耗盡型-SYN FloodSYN （我可以連接嗎？）如果一個系統(tǒng)（或主機(jī)）負(fù)荷突然升高甚至失去響應(yīng)，使用Netstat命令能看到大量SYN_RCVD的半連接（數(shù)量500或占總連接數(shù)的10%以上），可以認(rèn)定，這個系統(tǒng)（或主機(jī)）遭到了Synflood攻擊。SYN Flood偵察如果一個系統(tǒng)（或主機(jī)）負(fù)荷突然升高甚至失去響應(yīng)，使用NetsSYN攻擊包樣本SYN攻擊包樣本SYN攻擊包樣本SY

14、N攻擊包樣本SYN Flood程序?qū)崿F(xiàn)SYN Flood程序?qū)崿F(xiàn)連接耗盡型-Connection Flood正常tcp connect攻擊者受害者大量tcp connect這么多？不能建立正常的連接正常tcp connect正常用戶正常tcp connect攻擊表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect利用真實 IP 地址（代理服務(wù)器、廣告頁面）在服務(wù)器上建立大量連接服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng)蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包，對于 TCP 蠕蟲則表現(xiàn)為大范圍掃描行為消耗骨干設(shè)

15、備的資源，如防火墻的連接數(shù)Connection Flood 攻擊原理連接耗盡型-Connection Flood正常tcp Connection Flood攻擊報文 在受攻擊的服務(wù)器上使用netstat an來看：Connection Flood攻擊報文 在受攻擊的服務(wù)器上帶寬耗盡型-ICMP Flood針對同一目標(biāo)IP的ICMP包在一側(cè)大量出現(xiàn)內(nèi)容和大小都比較固定ICMP （request 包）攻擊者受害者攻擊ICMP Flood 攻擊原理攻擊表象正常tcp connectICMP （request 包）ICMP （request 包）ICMP （request 包）ICMP （reques

16、t 包）ICMP （request 包）ICMP （request 包）ICMP （request 包）帶寬耗盡型-ICMP Flood針對同一目標(biāo)IP的ICMICMP Flood攻擊報文ICMP Flood攻擊報文帶寬耗盡型-UDP Flood大量UDP沖擊服務(wù)器受害者帶寬消耗UDP Flood流量不僅僅影響服務(wù)器，還會對整個傳輸鏈路造成阻塞對于需要維持會話表的網(wǎng)絡(luò)設(shè)備，比如防火墻，IPS，負(fù)載均衡器等具備非常嚴(yán)重的殺傷力UDP （非業(yè)務(wù)數(shù)據(jù)）攻擊者受害者網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了占用帶寬UDP Flood 攻擊原理攻擊表象丟棄UDP （大包/負(fù)載）帶寬耗盡型-UDP Flood大量UDP

17、沖擊服務(wù)器UDP帶寬耗盡型反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò) 源IP=被攻擊者的IPICMP請求（smurf）DNS請求SYN請求（land）NTP請求SNMP請求DoS攻擊采用受害者的IP作為源IP，向正常網(wǎng)絡(luò)發(fā)送大量報文，利用這些正常主機(jī)的回應(yīng)報文達(dá)到攻擊受害者的目的。Smurf, DNS反射攻擊等攻擊者既需要掌握Botnet，也需要準(zhǔn)備大量的存活跳板機(jī)，比如開放DNS服務(wù)器反射攻擊會有流量放大的效應(yīng)，制造出的大流量攻擊非常難以防御反射攻擊原理帶寬耗盡型反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò) 源IP=被攻擊者放大反射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射放大反

18、射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大應(yīng)用資源攻擊-DNS Query Flood字符串匹配查找是 DNS 服務(wù)器的主要負(fù)載。一臺 DNS 服務(wù)器所能承受的遞歸動態(tài)域名查詢的上限是每秒鐘50000個請求。一臺家用PC主機(jī)可以很輕易地發(fā)出每秒幾萬個請求。DNS是互聯(lián)網(wǎng)的核心設(shè)備，一旦DNS服務(wù)器被攻擊，影響極大。運營商城域網(wǎng)DNS服務(wù)器被攻擊越來越頻繁DNS Query Flood 危害性攻擊手段Spoof IP 隨機(jī)生成域名使得服務(wù)器必須使用遞歸查詢向上層服務(wù)器發(fā)出解析請求，引起連鎖反應(yīng)。蠕蟲擴(kuò)散帶來的大量域名解析請求。利用城域網(wǎng) DNS服務(wù)器作為Botnet發(fā)起攻擊應(yīng)用資源攻

19、擊-DNS Query Flood字符串匹配查DNS樣本DNS報文樣本 DNS樣本DNS報文樣本 應(yīng)用資源攻擊-HTTP Flood/CC攻擊攻擊者受害者(Web Server)正常HTTP Get請求不能建立正常的連接正常HTTP Get Flood正常用戶正常HTTP Get Flood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTP Get請求主要請求動態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高，無法響應(yīng)正常請求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood

20、受害者(DB Server)DB連接池用完啦！DB連接池占用占用占用HTTP Get Flood 攻擊原理應(yīng)用資源攻擊-HTTP Flood/CC攻擊攻擊者受害者1 DDoS攻擊的歷史4 常見DDoS工具3 DDoS防護(hù)思路及防護(hù)算法2 DDoS攻擊方式目錄1 DDoS攻擊的歷史4 常見DDoS工具3 DDoSADS流量清洗工作原理企業(yè)用戶流量限速IP合法性檢查源、目的地址檢查/驗證流量清洗中心交付已過濾的內(nèi)容Internet城域網(wǎng)特定應(yīng)用防護(hù)協(xié)議棧行為分析用戶行為模式分析動態(tài)指紋識別反欺騙協(xié)議棧行為模式分析協(xié)議合法性檢查特定應(yīng)用防護(hù)四到七層特定攻擊防護(hù)用戶行為模式分析用戶行為異常檢查和處理動

21、態(tài)指紋識別檢查和生成攻擊指紋并匹配攻擊數(shù)據(jù)流量限速未知可疑流量限速ADS流量清洗工作原理企業(yè)用戶流量限速IP合法性檢查流量清洗SYN Flood 防護(hù)方法Random Drop：隨機(jī)丟包的方式雖然可以減輕服務(wù)器的負(fù)載，但是正常連接成功率也會降低很多 特征匹配：在攻擊發(fā)生的當(dāng)時統(tǒng)計攻擊報文的特征，定義特征庫；例如過濾不帶TCP Options 的SYN 包等。如果攻擊包完全隨機(jī)生成則無能為力SYN Cookie ：可以避免由于SYN攻擊造成的TCP傳輸控制模塊TCB資源耗盡，將有連接的TCP握手變成了無連接模式，減輕了被攻擊者的壓力，但是SYN Cookie校驗也是耗費性能的SYN Proxy

22、：完美解決SYN攻擊的算法，但是非常耗費設(shè)備性能，在非對稱網(wǎng)絡(luò)不適用synsyn/ack(Cookie)ackClientServerSynsyn/ackackack1ack2分配TCB資源代理后續(xù)報文SYN Flood 防護(hù)方法Random Drop：synsTCP Connection Flood 攻擊與防護(hù)使用Proxy或者Botnet，向服務(wù)器某個應(yīng)用端口（如80）建立大量的TCP連接建立連接后，模擬正常應(yīng)用的數(shù)據(jù)包以便長時間占用連接通常一個應(yīng)用服務(wù)都有連接數(shù)上限，當(dāng)達(dá)到這個上限時，正常的客戶端就無法再連接成功TCP Connection Flood 攻擊受害者Proxy或者Botne

23、tTCP Connection限制單個IP地址的連接數(shù)量對于Botnet目前沒有太好的方法去防護(hù)TCP Connection Flood 防護(hù)TCP Connection Flood 攻擊與防護(hù)使用Pr定期掃描和加固自身業(yè)務(wù)設(shè)備定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點及主機(jī)，清查可能存在的安全漏洞和不規(guī)范的安全配置，對新出現(xiàn)的漏洞及時進(jìn)行清理，對于需要加強(qiáng)安全配置的參數(shù)進(jìn)行加固確保資源冗余，提升耐打能力建立多節(jié)點負(fù)載均衡，配備多線路高帶寬，配備強(qiáng)大的運算能力，借此“吸收”DDoS攻擊服務(wù)最小化，關(guān)停不必要的服務(wù)和端口關(guān)停不必要的服務(wù)和端口，實現(xiàn)服務(wù)最小化，例如WWW服務(wù)器只開放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略?？纱蟠鬁p少被與服務(wù)不相關(guān)的攻擊所影響的概率選擇專業(yè)的產(chǎn)品和服務(wù)三分產(chǎn)品技術(shù)，七分設(shè)計服務(wù)，除了防護(hù)產(chǎn)品本身的功能、性能、穩(wěn)定性，易用性等方面，還需要考慮防護(hù)產(chǎn)品廠家的技術(shù)實力，服務(wù)和支持能力，應(yīng)急經(jīng)驗等DD