DDoS攻击原理及防护课件

2016 绿盟科技DDOS攻击与防范绿盟科技绿盟科技 马林平马林平1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录DDoS攻击历史01探索期探索期020304工具化工具化武器化武器化普及化普及化DDoS攻击历史事件事件 ：第一次拒绝服务攻击（：第一次拒绝服务攻击（Panic attackPanic attack）时间：时间：19961996年年后果：至少后果：至少60006000名用户无法接受邮件名用户无法接受邮件探索期-个人黑客的攻击事件事件 ：第一次分布式拒绝服务攻击（：第一次分布式拒绝服务攻击（TrinooTrinoo）时间：时间：19991999年年后果：连续多天的服务终止后果：连续多天的服务终止探索期-个人黑客的攻击工具化-有组织攻击事件事件 ：燕子行动：燕子行动时间：时间：20122012年年后果：大部分美国金融机构的在线银行业务遭到攻击后果：大部分美国金融机构的在线银行业务遭到攻击工具化-有组织攻击事件事件 ：史上最大规模的：史上最大规模的DDoSDDoS时间：时间：20132013年年后果：后果：300Gbit/s300Gbit/s的攻击流量的攻击流量武器化-网络战事件事件 ：爱沙尼亚战争：爱沙尼亚战争时间：时间：20072007年年后果：一个国家从互联网上消失后果：一个国家从互联网上消失武器化-网络战事件事件 ：格鲁吉亚战争：格鲁吉亚战争时间：时间：20082008年年后果：格鲁吉亚网络全面瘫痪后果：格鲁吉亚网络全面瘫痪武器化-网络战事件事件 ：韩国网站遭受攻击：韩国网站遭受攻击时间：时间：20092009年年 至今至今后果：攻击持续进行后果：攻击持续进行事件事件:匿名者挑战山达基教会匿名者挑战山达基教会时间：时间：20082008年年后果：后果：LOICLOIC的大范围使用的大范围使用普及化-黑客行动主义事件事件:海康威视后门海康威视后门时间：时间：20142014年年后果：后果：DNSDNS大面积不能解析大面积不能解析普及化-黑客行动主义DNSPOD“519”断网事件 背景ISP.net.orgroot缓存服务器解析服务器根域服务器根域服务器顶级域服务器顶级域服务器授权域服务器授权域服务器电信运营商客户端“519”断网事件 前奏ISP.net.orgroot缓存服务器解析服务器根域服务器根域服务器顶级域服务器顶级域服务器授权域服务器授权域服务器电信运营商DNSPOD5 月 18 日 DNSPOD 遭拒绝服务攻击，主站无法访问10G10G客户端“519”断网事件 断网.orgroot客户端根域服务器根域服务器顶级域服务器顶级域服务器授权域服务器授权域服务器电信运营商DNSPOD5 月 19 日 DNSPOD 更大流量拒绝服务攻击，整体瘫痪10G10G缓存过期缓存过期缓存过期缓存过期超时重试超时重试超时重试超时重试大量大量大量大量 DNSDNS查询查询查询查询ISP缓存服务器解析服务器DDOS形势-智能设备发起的DDoS攻击增多DDoS攻击的动机技术炫耀、报复心理针对系统漏洞捣乱行为商业利益驱使不正当竞争间接获利商业敲诈政治因素名族主义意识形态差别DDOS攻击地下产业化直接发展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后 原始的经济驱动力 工具滥用者-“市场与销售”？真正的攻击者-“用户与合作者”？最终价值工具编写者-“研发人员”？魔高一尺，道高一丈流量大频次高复杂化产业化2015年全年DDoS攻击数量为179,298次，平均20+次/小时。1.DDoS攻击峰值流量将再创新高；2.反射式DDoS攻击技术会继续演进；3.DNS服务将迎来更多的DDoS攻击；4.针对行业的DDoS攻击将持续存在。预测未来 1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录DDoS攻击本质利用木桶原理，寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板好比减肥药，一直在治疗，从未见疗效真正海量的DDoS可以直接阻塞互联网不要以为可以防住真正的DDoS如果没被DDoS过，说明确实没啥值得攻击的DDoS是攻击者的资源，这个资源不是拿来乱用的DDoS攻击只针对有意义的目标无效的攻击持续的时间越久，被追踪反查的概率越大被消灭掉一个C&C服务器，相当于被打掉了一个Botnet如果攻击没有效果，持续的时间不会很长DDoS基本常识闷声发大财，显得挣钱不容易很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS低调行事，被攻击者盯上的概率小成功的DDoS伴随着攻击者对攻击目标的深入调研利用漏洞，应用脆弱点，一击定乾坤能防住的攻击通常简单，简单的未必防得住防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段小股多段脉冲攻击试探，海量流量一举攻瘫攻击是动态的过程，攻防双方都需要不断调整DDoS基本常识DDoS是典型的事件触发型市场应急，演练，预案在遭受攻击之前，很少受重视安全服务总是在攻击防不住的时候才被想起来攻击者会选择最合适的时间，比如某个业务盛大上线那一刻我防住家门口，他堵住你上游，上游防护比下游效果好对于安全事件，需要有安全组织，安全人员，安全制度DDoS防护也是讲天时、地利、人和的免费攻击工具的普及降低了门槛，也使得很多攻击非常业余攻击成本的降低，导致了攻击水平的降低DDoS防御基本常识传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的，数百万计受感染机器在用户不知情中参与攻击方式方式路由器，交换机，防火墙，Web服务器，应用服务器，DNS服务器，邮件服务器，甚至数据中心目目标直接导致攻击目标CPU高，内存满，应用忙，系统瘫，带宽拥堵，转发困难，并发耗尽等等，结果是网络应用甚至基础设施不可用后果后果什么是DDoS以力取胜，拥塞链路，典型代表为ICMP Flood和UDP Flood1、流量D；2、流速D以巧取胜，攻击于无形，每隔几十秒发一个包甚至只要发一个包，就可以让业务服务器不再响应。此类攻击主要是利用协议或应用软件的漏洞发起，例如匿名组织的Slowloris攻击3、慢速D；4、漏洞D 混合类型，既利用了系统和协议的缺陷，又具备了高速的并发和海量的流量，例如SYN Flood攻击、HTTP Flood、DNS Query Flood攻击，是当前最主流的攻击方式5、并发D；6、请求DDDoS攻击分类（流量特性）包括SYN Flood，连接数攻击等连接耗尽型包括Ack Flood,UDP Flood,ICMP Flood,分片攻击等带宽耗尽型包括HTTP Get Flood,CC,HTTP Post慢速攻击，DNS Flood，以及针对各种游戏和数据库的攻击方式应用层攻击DDoS攻击分类（攻击方式）连接耗尽型-SYN FloodSYN（我可以连接吗？）（我可以连接吗？）ACK（可以）（可以）/SYN（请确认！）（请确认！）ACK（确认连接）（确认连接）发起方发起方应答方应答方正常的三次握手过程正常的三次握手过程SYN（我可以连接吗？）（我可以连接吗？）攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN 请求请求为何还没回为何还没回应应就是让你就是让你白等白等不能建立正常的连接！不能建立正常的连接！SYN Flood 攻击原理攻击原理SYN_RECV 状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Timeout：30秒2分钟无暇理睬正常的连接请求，造成拒绝服务危害危害我没发过请求如果一个系统（或主机）负荷突然升高甚至失去响应，使用Netstat命令能看到大量SYN_RCVD的半连接（数量500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了Synflood攻击。SYN Flood侦察SYN攻击包样本SYN Flood程序实现连接耗尽型-Connection Flood正常tcp connect攻击者受害者大量tcp connect这么多？不能建立正常的连接正常tcp connect正常用户正常tcp connect攻击表象攻击表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为消耗骨干设备的资源，如防火墙的连接数Connection Flood 攻击原理攻击原理Connection Flood攻击报文 在受攻击的服务器上使用netstat an来看：带宽耗尽型-ICMP Flood针对同一目标IP的ICMP包在一侧大量出现内容和大小都比较固定ICMP（request 包）攻击者受害者攻击ICMP Flood 攻击原理攻击原理攻击表象攻击表象正常tcp connectICMP（request 包）ICMP（request 包）ICMP（request 包）ICMP（request 包）ICMP（request 包）ICMP（request 包）ICMP（request 包）ICMP Flood攻击报文带宽耗尽型-UDP Flood大量UDP冲击服务器受害者带宽消耗UDP Flood流量不仅仅影响服务器，还会对整个传输链路造成阻塞对于需要维持会话表的网络设备，比如防火墙，IPS，负载均衡器等具备非常严重的杀伤力UDP（非业务数据）攻击者受害者网卡出口堵塞，收不了数据包了占用带宽UDP Flood 攻击原理攻击表象丢弃UDP（大包/负载）带宽耗尽型反射攻击攻击者攻击者被攻击者被攻击者放大网络放大网络放大网络放大网络v 源源IP=被攻击者的被攻击者的IPICMP请求（请求（smurf）DNS请求请求SYN请求（请求（land）NTP请求请求SNMP请求请求DoS攻击采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常主机的回应报文达到攻击受害者的目的。Smurf,DNS反射攻击等攻击者既需要掌握Botnet，也需要准备大量的存活跳板机，比如开放DNS服务器反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御反射攻击原理反射攻击原理放大反射倍数700700倍倍1、NTPNTP放大反射放大反射2525倍倍2、SNMPSNMP放大反射放大反射1010倍倍3、DNSDNS放大反射放大反射应用资源攻击-DNS Query Floodl字符串匹配查找是 DNS 服务器的主要负载。l一台 DNS 服务器所能承受的递归动态域名查询的上限是每秒钟50000个请求。l一台家用PC主机可以很轻易地发出每秒几万个请求。lDNS是互联网的核心设备，一旦DNS服务器被攻击，影响极大。l运营商城域网DNS服务器被攻击越来越频繁DNS Query Flood 危害性危害性攻击手段攻击手段lSpoof IP 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应。l蠕虫扩散带来的大量域名解析请求。l利用城域网 DNS服务器作为Botnet发起攻击DNS报文样本 应用资源攻击-HTTP Flood/CC攻击攻击者受害者(Web Server)正常HTTP Get请求不能建立正常的连接正常HTTP Get Flood正常用户正常HTTP Get Flood攻击表象攻击表象利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB连接池用完啦！DB连接池占用占用占用HTTP Get Flood 攻击原理攻击原理1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录ADS流量清洗工作原理企业用户企业用户流量限速IPIPIPIP合法性检查合法性检查合法性检查合法性检查源、目的地址源、目的地址检查检查/验证验证流量清洗中心流量清洗中心交付已过滤的内容交付已过滤的内容Internet城域网特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗协议栈行为模协议栈行为模协议栈行为模协议栈行为模式分析式分析式分析式分析协议合法性检协议合法性检查查特定应用防护特定应用防护特定应用防护特定应用防护四到七层特定四到七层特定攻击防护攻击防护用户行为模式用户行为模式用户行为模式用户行为模式分析分析分析分析用户行为异常用户行为异常检查和处理检查和处理动态指纹识别动态指纹识别动态指纹识别动态指纹识别检查和生成攻检查和生成攻击指纹并匹配击指纹并匹配攻击数据攻击数据流量限速流量限速流量限速流量限速未知可疑流量未知可疑流量限速限速SYN Flood 防护方法lRandom Drop：随机丢包的方式虽然可以减轻服务器的负载，但是正常连接成功率也会降低很多l 特征匹配：在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带TCP Options 的SYN 包等。如果攻击包完全随机生成则无能为力lSYN Cookie：可以避免由于SYN攻击造成的TCP传输控制模块TCB资源耗尽，将有连接的TCP握手变成了无连接模式，减轻了被攻击者的压力，但是SYN Cookie校验也是耗费性能的lSYN Proxy：完美解决SYN攻击的算法，但是非常耗费设备性能，在非对称网络不适用synsyn/ack(Cookie)ackClientServerSynsyn/ackackack1ack2分配TCB资源代理后续报文TCP Connection Flood 攻击与防护使用Proxy或者Botnet，向服务器某个应用端口（如80）建立大量的TCP连接建立连接后，模拟正常应用的数据包以便长时间占用连接通常一个应用服务都有连接数上限，当达到这个上限时，正常的客户端就无法再连接成功TCP Connection Flood 攻击攻击受害者Proxy或者BotnetTCP Connection限制单个IP地址的连接数量对于Botnet目前没有太好的方法去防护TCP Connection Flood 防护防护定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固定期扫描和加固自身业务设备建立多节点负载均衡，配备多线路高带宽，配备强大的运算能力，借此“吸收”DDoS攻击确保资源冗余，提升耐打能力关停不必要的服务和端口，实现服务最小化，例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率服务最小化，关停不必要的服务和端口三分产品技术，七分设计服务，除了防护产品本身的功能、性能、稳定性，易用性等方面，还需要考虑防护产品厂家的技术实力，服务和支持能力，应急经验等选择专业的产品和服务DDoS攻击防护思路守住自家门口，在本地网络边界上部署抗DDoS设备，在出口带宽未堵塞的情况下，尽可能处理掉非带宽占用型的DDoS攻击：如SYN Flood、HTTP GET、DNS攻击、慢速攻击等本地第一层DDoS防护当攻击流量超过本地出口带宽和DDoS防护设备处理能力是，采用上游运营商或MSSP提供的云端清洗服务云端第二层DDoS防护如果攻击的强度连上游运营商和MSSP也无法承受，必须考虑横向多方合作，在各自的控制范围内抑制本网发出的攻击流量源端第三层DDoS防护防护DDoS的最佳实践常见DDoS防护DDoS防护防护各类防护方案特点分析01.防火墙防火墙&IPS抗抗D防火墙产品的抗D模块无法检测应用层攻击，并且受会话性能的影响无法应对大流量攻击清洗的需求。03.云清洗抗云清洗抗D服务服务节省硬件采购和部署成本，防护性能弹性大，但是服务费用高，清洗策略不可控，全部依赖第三方运营。02.CDN防护防护DDoSCDN防护是将攻击流量负载到多个节点，节点性能无法应对大流量攻击，并且攻击透传回源无法防护。04.专有的抗专有的抗D设备设备专有的抗D设备部署在本地网络出口，满足各类DDoS攻击防护。但要与云清洗配合才能解决带宽拥塞场景下的DDoS防护。1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录DoSendLOICTHC SSL DOSHulk谢谢！