DDoS攻击原理及防护课件

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,DDOS,攻击与防范,绿盟科技,马林平,DDOS攻击与防范绿盟科技 马林平,1 DDoS,攻击的历史,4,常见,DDoS,工具,3 DDoS,防护思路及防护算法,2 DDoS,攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,DDoS,攻击历史,01,探索期,02,03,04,工具化,武器化,普及化,DDoS攻击历史01探索期020304工具化武器化普及化,DDoS,攻击历史,DDoS攻击历史,事件,：第一次拒绝服务攻击（,Panic attack,）,时间：,1996,年,后果：至少,6000,名用户无法接受邮件,探索期,-,个人黑客的攻击,事件 ：第一次拒绝服务攻击（Panic attack）探索期,事件,：第一次分布式拒绝服务攻击（,Trinoo,）,时间：,1999,年,后果：连续多天的服务终止,探索期,-,个人黑客的攻击,事件 ：第一次分布式拒绝服务攻击（Trinoo）探索期-,工具化,-,有组织攻击,事件,：燕子行动,时间：,2012,年,后果：大部分美国金融机构的在线银行业务遭到攻击,工具化-有组织攻击事件 ：燕子行动,工具化,-,有组织攻击,事件,：史上最大规模的,DDoS,时间：,2013,年,后果：,300Gbit/s,的攻击流量,工具化-有组织攻击事件 ：史上最大规模的DDoS,武器化,-,网络战,事件,：爱沙尼亚战争,时间：,2007,年,后果：一个国家从互联网上消失,武器化-网络战事件 ：爱沙尼亚战争,武器化,-,网络战,事件,：格鲁吉亚战争,时间：,2008,年,后果：格鲁吉亚网络全面瘫痪,武器化-网络战事件 ：格鲁吉亚战争,武器化,-,网络战,事件,：韩国网站遭受攻击,时间：,2009,年,至今,后果：攻击持续进行,武器化-网络战事件 ：韩国网站遭受攻击,事件,:,匿名者挑战山达基教会,时间：,2008,年,后果：,LOIC,的大范围使用,普及化,-,黑客行动主义,事件 : 匿名者挑战山达基教会普及化-黑客行动主义,事件,:,海康威视后门,时间：,2014,年,后果：,DNS,大面积不能解析,普及化,-,黑客行动主义,事件 : 海康威视后门普及化-黑客行动主义,DNSPOD,“,519,”断网事件,背景,.com,ISP,.net,.org,root,缓存服务器,解析服务器,根域服务器,顶级域服务器,授权域服务器,电信运营商,客户端,DNSPOD“519”断网事件 背景.com.bao,“,519,”断网事件,前奏,.com,ISP,.net,.org,root,缓存服务器,解析服务器,根域服务器,顶级域服务器,授权域服务器,电信运营商,DNSPOD,5,月,18,日,DNSPOD,遭拒绝服务攻击，主站无法访问,10G,客户端,“519”断网事件 前奏.com.baofeng.c,“,519,”断网事件,断网,.com,.net,.org,root,客户端,根域服务器,顶级域服务器,授权域服务器,电信运营商,DNSPOD,5,月,19,日,DNSPOD,更大流量拒绝服务攻击，整体瘫痪,10G,缓存过期,超时重试,大量,DNS,查询,ISP,缓存服务器,解析服务器,“519”断网事件 断网.com.baofeng.c,DDOS,形势,-,智能设备发起的,DDoS,攻击增多,DDOS形势-智能设备发起的DDoS攻击增多,DDoS,攻击的动机,技术炫耀、报复心理,针对系统漏洞,捣乱行为,商业利益驱使,不正当竞争间接获利,商业敲诈,政治因素,名族主义,意识形态差别,DDoS攻击的动机技术炫耀、报复心理,DDOS,攻击地下产业化,直接发展,收购肉鸡,制造、控制，,培训、租售,学习、,赚钱,僵尸网络,工具、病毒制作,传播销售,攻击工具,漏洞研究、目标破解,漏洞研究,攻击实施者,广告,经纪人,需求方、,服务获取者、,资金注入者,培训,我们在同一个地下产业体系对抗,地下黑客攻击网络,DDOS攻击地下产业化直接发展收购肉鸡制造、控制，学习、僵尸,上述现象的背后,原始的经济驱动力,ToolkitDeveloper,Malware,Developer,Virus,Spyware,工具滥用者,-,“市场与销售”？,Building Botnets,Botnet,s,:,Rent / Sale / Blackmail,Information theft,Sensitive information leakage,真正的攻击者,-,“用户与合作者”？,DDoS,Spamming,Phishing,Identity theft,最终价值,Trojan,Social engineering,Direct Attack,工具编写者,-,“研发人员”？,Worm,间谍活动,企业,/,政府,欺诈销售,点击率,非法,/,恶意竞争,偷窃,勒索盈利,商业销售,金融欺诈,上述现象的背后 原始的经济驱动力 ToolkitDev,魔高一尺，道高一丈,流量大,频次高,复杂化,产业化,2015,年全年,DDoS,攻击数量为,179,298,次，平均,20+,次,/,小时。,魔高一尺，道高一丈流量大频次高复杂化产业化2015年全年DD,1. DDoS,攻击峰值流量将再创新高；,2.,反射式,DDoS,攻击技术会继续演进；,3. DNS,服务将迎来更多的,DDoS,攻击；,4.,针对行业的,DDoS,攻击将持续存在。,预测未来,1. DDoS攻击峰值流量将再创新高；预测未来,1 DDoS,攻击的历史,4,常见,DDoS,工具,3 DDoS,防护思路及防护算法,2 DDoS,攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,DDoS,攻击本质,利用木桶原理，寻找并利用系统应用的瓶颈,阻塞和耗尽,当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板,DDoS攻击本质利用木桶原理，寻找并利用系统应用的瓶颈,不要以为可以防住真正的,DDoS,好比减肥药，一直在治疗，从未见疗效,真正海量的,DDoS,可以直接阻塞互联网,DDoS,攻击只针对有意义的目标,如果没被,DDoS,过，说明确实没啥值得攻击的,DDoS,是攻击者的资源，这个资源不是拿来乱用的,如果攻击没有效果，持续的时间不会很长,无效的攻击持续的时间越久，被追踪反查的概率越大,被消灭掉一个,C&C,服务器，相当于被打掉了一个,Botnet,DDoS,基本常识,不要以为可以防住真正的DDoS好比减肥药，一直在治疗，从未见,低调行事，被攻击者盯上的概率小,闷声发大财，显得挣钱不容易,很少看见知名的,MSSP,去宣扬我帮谁谁挡住多大的,DDoS,能防住的攻击通常简单，简单的未必防得住,成功的,DDoS,伴随着攻击者对攻击目标的深入调研,利用漏洞，应用脆弱点，一击定乾坤,攻击是动态的过程，攻防双方都需要不断调整,防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段,小股多段脉冲攻击试探，海量流量一举攻瘫,DDoS,基本常识,低调行事，被攻击者盯上的概率小闷声发大财，显得挣钱不容易很少,安全服务总是在攻击防不住的时候才被想起来,DDoS,是典型的事件触发型市场,应急，演练，预案在遭受攻击之前，很少受重视,DDoS,防护也是讲天时、地利、人和的,攻击者会选择最合适的时间，比如某个业务盛大上线那一刻,我防住家门口，他堵住你上游，上游防护比下游效果好,对于安全事件，需要有安全组织，安全人员，安全制度,攻击成本的降低，导致了攻击水平的降低,免费攻击工具的普及降低了门槛，也使得很多攻击非常业余,DDoS,防御基本常识,安全服务总是在攻击防不住的时候才被想起来DDoS是典型的事件,方式,传统的,DDOS,攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的，数百万计受感染机器在用户不知情中参与攻击,目标,路由器，交换机，防火墙，,Web,服务器，应用服务器，,DNS,服务器，邮件服务器，甚至数据中心,后果,直接导致攻击目标,CPU,高，内存满，应用忙，系统瘫，带宽拥堵，转发困难，并发耗尽等等，结果是网络应用甚至基础设施不可用,什么是,DDoS,方式传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的,1,、,流量,D,；,2,、,流速,D,以力取胜，拥塞链路，典型代表,为,ICMP Flood,和,UDP Flood,3,、,慢速,D,；,4,、,漏洞,D,以巧取胜，,攻击于无形,，每隔,几十秒,发一个包甚至只,要发,一个包，就可以让,业务,服务器不再响应。,此,类攻击主要是利用协议或,应用,软件的漏洞发起，例如,匿名组织的,Slowloris,攻击,5,、,并发,D,；,6,、,请求,D,混合,类型,，既利用了系统,和协议,的缺陷，又具备了,高速的并发和,海量的流量，例如,SYN Flood,攻击、,HTTP Flood,、,DNS Query Flood,攻击，是当前,最,主流,的,攻击方式,DDoS,攻击分类（流量特性）,1、流量D；2、流速D以力取胜，拥塞链路，典型代表为ICMP,连接耗尽型,包括,SYN,F,lood,，连接数攻击等,带宽耗尽型,包括,Ack,F,lood,UDP,F,lood,ICMP,F,lood,分片攻击等,应用,层攻击,包括,HTTP Get,F,lood,CC,HTTP P,ost,慢速攻击，,DNS,F,lood,，以及针对各种游戏和数据库的攻击方式,DDoS,攻击分类（攻击方式）,连接耗尽型包括SYN Flood，连接数攻击等带宽耗尽型包括,连接耗尽型,-SYN Flood,SYN,（我可以连接吗？）,ACK,（可以）,/SYN,（请确认！）,ACK,（确认连接）,发起方,应答方,正常的三次握手过程,SYN,（我可以连接吗？）,ACK,（可以）,/SYN,（请确认！）,攻击者,受害者,伪造地址进行,SYN,请求,为何还没回应,就是让你白等,不能建立正常的连接！,SYN Flood,攻击原理,SYN_RECV,状态,半开连接队列,遍历，消耗,CPU,和内存,SYN|ACK,重试,SYN Timeout,：,30,秒,2,分钟,无暇理睬正常的连接请求，造成拒绝服务,危害,我没发过请求,连接耗尽型-SYN FloodSYN （我可以连接吗？）,如果一个系统（或主机）负荷突然升高甚至失去响应，使用,Netstat,命令能看到大量,SYN_RCVD,的半连接（数量,500,或占总连接数的,10%,以上），可以认定，这个系统（或主机）遭到了,Synflood,攻击。,SYN Flood,侦察,如果一个系统（或主机）负荷突然升高甚至失去响应，使用Nets,SYN,攻击包样本,SYN,攻击包样本,SYN攻击包样本SYN攻击包样本,SYN Flood,程序实现,SYN Flood程序实现,连接耗尽型,-Connection Flood,正常,tcp connect,攻击者,受害者,大量,tcp connect,这么多？,不能建立正常的连接,正常,tcp connect,正常用户,正常,tcp connect,攻击表象,正常,tcp connect,正常,tcp connect,正常,tcp connect,正常,tcp connect,利用真实,IP,地址（代理服务器、广告页面）在服务器上建立大量连接,服务器上残余连接,(WAIT,状态,),过多，效率降低，甚至资源耗尽，无法响应,蠕虫传播过程中会出现大量源,IP,地址相同的包，对于,TCP,蠕虫则表现为大范围扫描行为,消耗骨干设备的资源，如防火墙的连接数,Connection Flood,攻击原理,连接耗尽型-Connection Flood正常tcp,Connection Flood,攻击,报文,在受攻击的服务器上使用,netstat an,来看：,Connection Flood攻击报文 在受攻击的服务器上,带宽耗尽型,-ICMP Flood,针对同一目标,IP,的,ICMP,包在一侧大量出现,内容和大小都比较固定,ICMP,（,request,包）,攻击者,受害者,攻击,ICMP Flood,攻击原理,攻击表象,正常,tcp connect,ICMP,（,request,包）,ICMP,（,request,包）,ICMP,（,request,包）,ICMP,（,request,包）,ICMP,（,request,包）,ICMP,（,request,包）,ICMP,（,request,包）,带宽耗尽型-ICMP Flood针对同一目标IP的ICM,ICMP Flood,攻击,报文,ICMP Flood攻击报文,带宽耗尽型,-UDP Flood,大量,UDP,冲击服务器,受害者带宽消耗,UDP Flood,流量不仅仅影响服务器，还会对整个传输链路造成阻塞,对于需要维持会话表的网络设备，比如防火墙，,IPS,，负载均衡器等具备非常严重的杀伤力,UDP,（非业务数据）,攻击者,受害者,网卡出口堵塞，收不了数据包了,占用,带宽,UDP Flood,攻击原理,攻击表象,丢弃,UDP,（大包,/,负载）,带宽耗尽型-UDP Flood大量UDP冲击服务器UDP,带宽耗尽型,反射攻击,攻击者,被攻击者,放大网络,源,IP=,被攻击者的,IP,ICMP,请求（,smurf,）,DNS,请求,SYN,请求（,land,）,NTP,请求,SNMP,请求,DoS,攻击,采用受害者的,IP,作为源,IP,，向正常网络发送大量报文，利用这些正常主机的回应报文达到攻击受害者的目的。,Smurf,DNS,反射攻击等,攻击者既需要掌握,Botnet,，也需要准备大量的存活跳板机，比如开放,DNS,服务器,反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御,反射攻击原理,带宽耗尽型反射攻击攻击者被攻击者放大网络 源IP=被攻击者,放大反射倍数,700,倍,1,、,NTP,放大反射,25,倍,2,、,SNMP,放大反射,10,倍,3,、,DNS,放大反射,放大反射倍数700倍1、NTP放大反射25倍2、SNMP放大,应用资源攻击,-DNS Query Flood,字符串匹配查找是,DNS,服务器的主要负载。,一台,DNS,服务器所能承受的递归动态域名查询的上限是每秒钟,50000,个请求。,一台家用,PC,主机可以很轻易地发出每秒几万个请求。,DNS,是互联网的核心设备，一旦,DNS,服务器被攻击，影响极大。,运营商城域网,DNS,服务器被攻击越来越频繁,DNS Query Flood,危害性,攻击手段,Spoof IP,随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应。,蠕虫扩散带来的大量域名解析请求。,利用城域网,DNS,服务器作为,Botnet,发起攻击,应用资源攻击-DNS Query Flood字符串匹配查,DNS,样本,DNS,报文样本,DNS样本DNS报文样本,应用资源攻击,-HTTP Flood/CC,攻击,攻击者,受害者,(Web Server),正常HTTP Get请求,不能建立正常的连接,正常,HTTP Get Flood,正常用户,正常,HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量,HTTP Get,请求,主要请求动态页面，涉及到数据库访问操作,数据库负载以及数据库连接池负载极高，无法响应正常请求,正常,HTTP Get Flood,正常,HTTP Get Flood,正常,HTTP Get Flood,正常,HTTP Get Flood,正常,HTTP Get Flood,受害者,(DB Server),DB,连接池,用完啦！,DB,连接池,占用,占用,占用,HTTP Get Flood,攻击原理,应用资源攻击-HTTP Flood/CC攻击攻击者受害者,1 DDoS,攻击的历史,4,常见,DDoS,工具,3 DDoS,防护思路及防护算法,2 DDoS,攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,ADS,流量清洗工作原理,企业用户,流量限速,IP,合法性检查,源、目的地址检查,/,验证,流量清洗中心,交付已过滤的内容,Internet,城域网,特定应用防护,协议栈行为分析,用户行为模式分析,动态指纹识别,反欺骗,协议栈行为模式分析,协议合法性检查,特定应用防护,四到七层特定攻击防护,用户行为模式分析,用户行为异常检查和处理,动态指纹识别,检查和生成攻击指纹并匹配攻击数据,流量限速,未知可疑流量限速,ADS流量清洗工作原理企业用户流量限速IP合法性检查流量清洗,SYN Flood,防护方法,Random Drop,：,随机丢包的方式虽然可以减轻服务器的负载，但是正常连接成功率也会降低很多,特征匹配：,在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带,TCP Options,的,SYN,包等。如果攻击包完全随机生成则无能为力,SYN Cookie,：,可以避免由于,SYN,攻击造成的,TCP,传输控制模块,TCB,资源耗尽，将有连接的,TCP,握手变成了无连接模式，减轻了被攻击者的压力，但是,SYN Cookie,校验也是耗费性能的,SYN Proxy,：,完美解决,SYN,攻击的算法，但是非常耗费设备性能，在非对称网络不适用,syn,syn/ack(Cookie),ack,Client,Server,Syn,syn/ack,ack,ack1,ack2,分配,TCB,资源,代理后续报文,SYN Flood 防护方法Random Drop：syns,TCP Connection Flood,攻击与防护,使用,Proxy,或者,Botnet,，向服务器某个应用端口（如,80,）建立大量的,TCP,连接,建立连接后，模拟正常应用的数据包以便长时间占用连接,通常一个应用服务都有连接数上限，当达到这个上限时，正常的客户端就无法再连接成功,TCP Connection Flood,攻击,受害者,Proxy,或者,Botnet,TCP,Connection,限制单个,IP,地址的连接数量,对于,Botnet,目前没有太好的方法去防护,TCP Connection Flood,防护,TCP Connection Flood 攻击与防护使用Pr,定期扫描和加固自身业务设备,定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固,确保资源冗余，提升耐打能力,建立多节点负载均衡，配备多线路高带宽，配备强大,的,运算能力，借此,“,吸收,”DDoS,攻击,服务最小化，关停不必要的服务和端口,关停,不必要的服务和端口，实现服务最小化，例如,WWW,服务器只开放,80,而将其,它,所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率,选择专业的产品和服务,三分产品技术，七分设计服务，除了防护产品本身的功能、性能、稳定性，易用性等方面，还需要考虑防护产品厂家的技术实力，服务和支持能力，应急经验等,DDoS,攻击防护思路,定期扫描和加固自身业务设备定期扫描现有的网络主节点及主机，清,本地,第,一,层,DDoS,防护,守住自家门口，在,本地,网络,边界上,部署抗,DDoS,设备,，在出口带宽未堵,塞的情况下,，尽可能处理掉,非带宽占用型的,DDoS,攻击：如,SYN,Flood,、,HTTP GET,、,DNS,攻击、慢速攻击,等,云端,第,二,层,DDoS,防护,当,攻击流量超过本地出口带宽和,DDoS,防护设备处理能力是，采用上游运营商或,MSSP,提供的云端清洗服务,源端,第三层,DDoS,防护,如果攻击的强度连上游运营商和,MSSP,也无法承受，必须考虑横向多方合作，在各自的控制范围内抑制本网发出的攻击流量,防护,DDoS,的最佳实践,本地第一层DDoS防护守住自家门口，在本地网络边界上部署抗D,常见,DDoS,防护,DDoS,防护,各类防护方案特点分析,01.,防火墙,&IPS,抗,D,防火墙产品的抗,D,模块无法检测应用层攻击，并且受会话性能的影响无法应对大流量攻击清洗的需求。,03.,云清洗抗,D,服务,节省硬件采购和部署成本，防护性能弹性大，但是服务费用高，清洗策略不可控，全部依赖第三方运营。,02.CDN,防护,DDoS,CDN,防护是将攻击流量负载到多个节点，节点性能无法应对大流量攻击，并且攻击透传回源无法防护。,04.,专有的抗,D,设备,专有的抗,D,设备部署在本地网络出口，满足各类,DDoS,攻击防护。但要与云清洗配合才能解决带宽拥塞场景下的,DDoS,防护。,常见DDoS防护DDoS防护各类防护方案特点分析01.防火墙,1 DDoS,攻击的历史,4,常见,DDoS,工具,3 DDoS,防护思路及防护算法,2 DDoS,攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,DoSend,DoSend,LOIC,LOIC,THC SSL DOS,THC SSL DOS,Hulk,Hulk,谢谢！,谢谢！,知识回顾,Knowledge Review,祝您成功！,知识回顾Knowledge Review祝您成功！,