网络安全DDoS之江湖风云录上课件

网络安全DDoS之江湖风云录（上）汉柏科技有限公司张少奎网络安全 DDoS之江湖风云录（上）引言引言虚拟专虚拟专用网用网防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测网络安全网络安全整体形象图整体形象图入侵防护入侵防护抗拒绝服务抗拒绝服务2024/6/183虚拟专用网防火墙访问控制防病毒入侵检测网络安全整体形象图入侵02DDoS江湖风云03DDoS到底是什么011DDoS江湖传言02DDoS江湖风云03DDoS到底是什么011DDoS江湖DDoS独白网络上有一票人，他们自称网络上有一票人，他们自称DDoSDDoS军团军团他们具有独特的宣言他们具有独特的宣言2024/6/185DDoS独白网络上有一票人，他们自称DDoS军团2023/8横冲直闯，遮天蔽日，肆意妄为！横冲直闯，遮天蔽日，肆意妄为！DDoS传闻（1）很 嚣 张!2024/6/186横冲直闯，遮天蔽日，肆意妄为！DDoS传闻（1）很 嚣所到之处，无孔不入，毁灭一切！所到之处，无孔不入，毁灭一切！DDoS传闻（2）很 疯 狂!2024/6/187所到之处，无孔不入，毁灭一切！DDoS传闻（2）很 疯 漫漫无源，汹涌多变！漫漫无源，汹涌多变！DDoS传闻（3）很 自 大!2024/6/188漫漫无源，汹涌多变！DDoS传闻（3）很 自 大!劫匪、强盗、截拳道劫匪、强盗、截拳道都是神马都是神马，硬杀伤硬杀伤直接击倒直接击倒DDoS传闻（4）很 霸道!2024/6/189劫匪、强盗、截拳道都是神马，硬杀伤直接击倒DDoS传闻（4）喜欢群殴，从不单挑喜欢群殴，从不单挑！DDoS传闻（5）很 团 伙!2024/6/1810喜欢群殴，从不单挑！DDoS传闻（5）很 团 伙!02DDoS江湖风云03DDoS到底是什么011DDoS江湖传言02DDoS江湖风云03DDoS到底是什么011DDoS江湖攻击之殇-我们身边的DDoS攻击（1）攻击之殇-我们身边的DDoS攻击（1）2009年5月19日“暴风影音”断网事件攻击之殇-我们身边的DDoS攻击（2）2024/6/18132009年5月19日“暴风影音”断网事件攻击之殇-我们身边的2009年5月19日“暴风影音”断网事件游戏私服引起DNSPOD被10Gbps流量攻击暴风影音的在线广告不能弹出过多暴风用户，导致运营商主DNS服务器过高负荷，攻击之殇-我们身边的DDoS攻击（3）2024/6/18142009年5月19日“暴风影音”断网事件攻击之殇-我们身边的攻击之殇-我们身边的DDoS攻击（4）2024/6/1815攻击之殇-我们身边的DDoS攻击（4）2023/8/9152010年百度百度域名注册商（美国的REGISTER）系统存在漏洞遭篡改对应的DNS服务器解析内容被劫持更换，主域名被解析到一个荷兰的IP；访问百度时页面自动跳转到一租用雅虎服务器的空间，会出现伊朗网军黑客留下的“Iranian Cyber Army”阿拉伯文字；同时百度旗下子网站也无法访问；最终雅虎服务器由于页面请求数量过于庞大导致瘫痪；攻击之殇-我们身边的DDoS攻击（5）2024/6/18162010年百度攻击之殇-我们身边的DDoS攻击（5）2023伊朗人为什么要黑百度，真相已经揭晓，政治抗议只是表面原因，其实伊朗人为什么要黑百度，真相已经揭晓，政治抗议只是表面原因，其实由于美国的军事打击和政由于美国的军事打击和政治威胁，伊朗人准备大批量购买火箭筒，前段时间看了中国在世界宣传的中国治威胁，伊朗人准备大批量购买火箭筒，前段时间看了中国在世界宣传的中国制造广告制造广告，于是来百度，于是来百度搜索，但是遭遇百度的竞价排名，伊朗人选购了搜索结果排名第一位的火箭筒，到手之后发现这些火搜索，但是遭遇百度的竞价排名，伊朗人选购了搜索结果排名第一位的火箭筒，到手之后发现这些火箭筒尽然是从民间不法商贩手中收缴回来的劣质烟花爆竹上当受骗箭筒尽然是从民间不法商贩手中收缴回来的劣质烟花爆竹上当受骗!伊朗人出于气愤，遂黑了百伊朗人出于气愤，遂黑了百度。度。攻击之殇-我们身边的DDoS攻击（5）2024/6/1817伊朗人为什么要黑百度，真相已经揭晓，政治抗议只是表面原因，其DDoS技术门槛低，易发起攻击之殇-我们身边的DDoS攻击（6）2024/6/1818DDoS技术门槛低，易发起攻击之殇-我们身边的DDoS攻击（攻击之殇-我们身边的DDoS攻击（7）2024/6/1819攻击之殇-我们身边的DDoS攻击（7）2023/8/919攻击之殇-我们身边的DDoS攻击（8）2024/6/1820攻击之殇-我们身边的DDoS攻击（8）2023/8/920Anonymous组织扬言13个DNS根服务器攻击之殇-我们身边的DDoS攻击（9）2024/6/1821Anonymous组织扬言13个DNS根服务器攻击之殇-我们智能手机，电子商战“小三小三”之战之战2024/6/1822智能手机，电子商战“小三”之战2023/8/922小结：为什么发起拒绝服务攻击土壤条件具足土壤条件具足Internet用户增多接入网络链路的带宽增大应用系统多样化，更直接攻击工具泛滥，技术门槛变低日益复杂化的商业竞争、网络敲诈等高度集中的云计算中心个人情绪发泄化技术炫耀、上访、私愤等2024/6/1823小结：为什么发起拒绝服务攻击土壤条件具足2023/8/923小结：为什么发起拒绝服务攻击从发起的动机来讲，分为恶意和无意两种方式。从发起的动机来讲，分为恶意和无意两种方式。恶意居多。恶意居多。政治目的商业竞争打击报复网络敲诈网络竞拍无心之过无心之过电子购票奥运会售票网站深圳大运会网站 联通iphone商城2024/6/1824小结：为什么发起拒绝服务攻击从发起的动机来讲，分为恶意和无意应用型DDoS无害论？应用层攻击的应用层攻击的一个一个特点是请求本身都是正常特点是请求本身都是正常用户发起用户发起的。的。通晓系统业务，目的性更强通晓系统业务，目的性更强危害最大，最难以防范！危害最大，最难以防范！四两拨千斤四两拨千斤2024/6/1825应用型DDoS无害论？2023/8/925其他知己知彼，百战不殆安全的避风港在哪？2024/6/1826其他知己知彼，百战不殆安全的避风港在哪？2023/8/9什么是DDoS2024/6/1827什么是DDoS2023/8/927什么是DoSDoSDoS（Denial of Service Denial of Service，拒绝服务）属于攻击早期形态。，拒绝服务）属于攻击早期形态。具有具有一对一的攻击一对一的攻击特点特点。2024/6/1828什么是DoSDoS（Denial of Service，什么是DDoSDDoSDDoS（Distributed Denial of ServiceDistributed Denial of Service，分布式拒绝服务），是在传统的，分布式拒绝服务），是在传统的DoSDoS攻击的基础上产生的一种攻击手段，攻击者通过远程控制多个僵尸主机，攻击的基础上产生的一种攻击手段，攻击者通过远程控制多个僵尸主机，对攻击目标实行一种多对一的攻击方式。对攻击目标实行一种多对一的攻击方式。大家一起上，围攻光明顶2024/6/1829什么是DDoSDDoS（Distributed Denial什么是DRDoSDRDoSDRDoS（Distributed Reflection Denial of Service Distributed Reflection Denial of Service，分布式反射，分布式反射拒绝服务）与拒绝服务）与DoSDoS、DDoSDDoS不同，起源不同，起源smurfsmurf局域网广播反射攻击。靠的局域网广播反射攻击。靠的是将受害者是将受害者IPIP地址作为源地址的数据包发给反射服务器，然后反射服地址作为源地址的数据包发给反射服务器，然后反射服务器对源务器对源IPIP地址（受害者）做出大量数据包回应，形成地址（受害者）做出大量数据包回应，形成DoSDoS攻击。攻击。多对一的攻击方式。多对一的攻击方式。套牌让真车主蒙冤2024/6/1830什么是DRDoSDRDoS（Distributed Refl受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团DDoS攻击模型2024/6/1831受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端拒绝服务攻击的常见类型从影响的对象范围看，分为如下二类从影响的对象范围看，分为如下二类流量型这类DDoS攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。应用型2024/6/1832拒绝服务攻击的常见类型从影响的对象范围看，分为如下二类202拒绝服务攻击的常见类型从影响的对象范围看，分为如下二类从影响的对象范围看，分为如下二类流量型应用型利用诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理正常访问请求的目的，比如Http Get攻击和DNS欺骗就是该类型的攻击。2024/6/1833拒绝服务攻击的常见类型从影响的对象范围看，分为如下二类202SYN FLOOD 原理：TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS)时，就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含 SYN 包，其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用户的 TCP 连接请求。攻击类型2024/6/1834SYN FLOOD 攻击类型2023/8/934用用netstat na命令查命令查看看SYN_RECV状态状态半开连接队列半开连接队列遍历，消耗遍历，消耗CPU和内存和内存SYN|ACK 重试重试（3-5次）次）SYN Timeout：30秒秒2分钟分钟无暇理睬正常的连无暇理睬正常的连接请求接请求拒绝服务拒绝服务攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接！SYN Flood 攻击原理攻击表象我怎么连不上2024/6/1835用netstat na命令查看SYN_RECV状态攻击者受SYN-Flood-经典的攻击现象被攻击服务器上netstat an:2024/6/1836SYN-Flood-经典的攻击现象被攻击服务器上netsta大量大量UDPUDP冲击服务器冲击服务器受害者带宽消耗受害者带宽消耗UDP FloodUDP Flood流量不仅仅影响流量不仅仅影响服务器，还会对整个传输服务器，还会对整个传输链路造成阻塞链路造成阻塞UDP（非业务数据）攻击者受害者查查看表内有没有占用带宽UDP Flood 攻击原理攻击表象丢弃UDP（大包/负载）2024/6/1837大量UDP冲击服务器UDP（非业务数据）攻击者受害者查查看 UDP-Flood UDP-Flood数据包分析数据包分析2024/6/1838 UDP-Flood数据包分析2023/8/938WEBCC概念原意是challenge collapsar(挑战黑洞)。通过模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)或者模拟大量用户登陆服务器（最常见的是登陆游戏服务器）。WEB CC 概念原意是challenge collapsaWEBCC攻击攻击者受害者(Web Server)大量HTTP Get请求不能得到服务器响应HTTP Get Flood正常用户正常HTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get Flood受害者(DB Server)DB连接池用完啦！DB连接池/CPU资源占用占用占用CacheCache代理 服务器WEB CC 攻击攻击者受害者(Web Server)大量HWEBCC防护攻击者(Web Server)正常用户正常HTTP Get 请求(DB Server)你是假的！我挡DB连接池占用占用占用CacheCache代理 服务器HTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodWEB CC 防护攻击者(Web Server)正常用户正常WEBCC防护手段阈值统计单个个源源连接接整整个个源源请求求单个个目的目的连接接整整个个目的目的连接接动态平滑曲平滑曲线倍倍数数CC 防防护重定向重定向验证URL 回回探探 ETag 标签Cookies标签ASCII码AdvanceURL回探回探（url与与syncookie的的组合）合）优先于syn/ack/http flood防御效果显著白名单白名单关键URL保护WEB CC 防护手段CC 防护重定向验证优先于syn/ac拒绝服务的攻击趋势攻击流量海量针对应用服务的攻击增多，DDOS攻击已形成成熟的产业链，背后的经济利益成为攻击的原始驱动。攻击方式更为复杂，带宽型攻击夹杂应用型攻击的混合攻击增多，且极难防御。大量可轻易获得的僵尸网络及僵尸工具用来发动DDOS攻击，攻击难度降低，DDOS攻击发生频率增大。目的更加商业化-物流抢夺客户资源，网游争夺玩家2024/6/1843拒绝服务的攻击趋势攻击流量海量2023/8/943混合型APT威胁2024/6/1844混合型APT威胁2023/8/944下期相约分解欲欲知知如如何何防防范范2024/6/1845下期相约分解欲知如何防范2023/8/945