DDOS抗拒绝服务ppt课件

DoS Anti DoS 拒绝服务攻击的检测与防护 DDoS攻击基础知识 每日DoS攻击事件统计趋势 2007年上半年 全球平均每天发生6 110次DoS攻击 DoS攻击目标的国家分布 中国成为全球DoS攻击第二大目标 攻击目标的分类排行 互联网服务提供商成为DoS主要的攻击目标被攻击的目标群比较广泛 涉及各行各业 每天活跃的僵尸主机 平均每天活跃的僵尸主机数量达到了57 717台 感染主机数的国家排名 在2007年上半年 中国拥有全球最多的僵尸主机 攻击来源的国家分布 中国在攻击来源的国家分布中 排在第二位 近期各地DDoS攻击事件 电信运营商所关心的攻击影响大流量 几个G 10几个G跨省 跨运营商 追查困难对网络设备的影响 以及对下层链路的堵塞对IDC的攻击 门户网站或电子商务所关心的攻击影响流量型攻击应用型攻击 如针对百度的CC型攻击及针对新网DNS攻击对客户的应用系统影响很大 DDoS技术篇 攻击与防御技术 DoS攻击的本质 利用木桶原理 寻找并利用系统应用的瓶颈阻塞和耗尽 DoS DDoS类型的划分 应用层垃圾邮件 病毒邮件DNSFlood网络层SYNFlood ICMPFlood伪造链路层ARP伪造报文物理层直接线路破坏电磁干扰 攻击类型划分II 堆栈突破型 利用主机 设备漏洞 远程溢出拒绝服务攻击网络流量型 利用网络通讯协议 SYNFloodACKFloodICMPFloodUDPFlood UDPDNSQueryFloodConnectionFloodHTTPGetFlood 攻击类型划分I DDoS攻击工具的发展 独立的一对一攻击程序WinnukeTeardrop集合的攻击工具包或工具TtoolsrapeDDoS攻击工具TFN TFN2K自动漏洞利用蠕虫引发不可控的大规模拒绝服务攻击红色代码SQLSlammer DDoS攻击发展趋势 目标网站 网络基础设施 路由器 交换机 DNS等 流量从几兆 几十兆 1G甚至更高10Kpps 100Kpps 1Mpps技术真实IP地址 IP欺骗技术单一攻击源 多个攻击源简单协议承载 复杂协议承载智能化 试图绕过IDS或FW形式DRDoS ACKFloodZombieNet BOTNETProxyConnectionFloodDNSFlood 当前DDoS攻击的形势 当前DDoS攻击流量特点 攻击源和目的多对一攻击协议载体特性ICMP UDP HTTP DNS 应用协议攻击变种多攻击的危害性PPS数或Session数高攻击流量对合法流量影响较大 n G攻击时代到来攻击其他特点人为控制 具备明确目的性目标明确 多为商业站点 敏感站点和骨干网设备爆发无征兆 短时间内流量发生较大变化 DoS DDoS攻击演变 大流量 应用层混合型分布式攻击 大流量型分布式攻击 系统漏洞型 Phase1 Phase2 Phase3 以小搏大以大压小 技术型带宽和流量的斗争 DirectDDoSAttack Attacker MastersMi From Xi spoofed To VictimV attackpacket From Xi spoofed To AgentAi controlpacket From Xi spoofed To MasterMi controlpacket VictimV AgentsAi 控制 ReflectorDDoSAttack Attacker VictimV AgentsAi From V spoofed To ReflectorRi attacktriggerpacket From Xi spoofed To AgentAi controlpacket From Xi spoofed To MasterMi controlpacket From RiTo VictimV attackpacket MastersMi Note ReflectorsareNOTcompromised Theysimplyanswerrequests 欺骗 我没发过请求 DDoS攻击介绍 SYNFlood SYN RECV状态半开连接队列遍历 消耗CPU和内存SYN ACK重试SYNTimeout 30秒 2分钟无暇理睬正常的连接请求 拒绝服务 SYN 我可以连接吗 ACK 可以 SYN 请确认 攻击者 受害者 伪造地址进行SYN请求 不能建立正常的连接 SYNFlood攻击原理 攻击表象 DDoS攻击介绍 ACKFlood 大量ACK冲击服务器受害者资源消耗查表回应ACK RSTACKFlood流量要较大才会对服务器造成影响 ACK 你得查查我连过你没 攻击者 受害者 查查看表内有没有 ACKFlood攻击原理 攻击表象 ACK RST 我没有连过你呀 攻击者 受害者 大量tcpconnect 不能建立正常的连接 DDoS攻击介绍 ConnectionFlood 正常用户 正常tcpconnect 攻击表象 利用真实IP地址 代理服务器 广告页面 在服务器上建立大量连接服务器上残余连接 WAIT状态 过多 效率降低 甚至资源耗尽 无法响应蠕虫传播过程中会出现大量源IP地址相同的包 对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源 如防火墙的连接数 ConnectionFlood攻击原理 攻击者 受害者 WebServer 正常HTTPGet请求 不能建立正常的连接 DDoS攻击介绍 HTTPGetFlood 正常用户 正常HTTPGetFlood 攻击表象 利用代理服务器向受害者发起大量HTTPGet请求主要请求动态页面 涉及到数据库访问操作数据库负载以及数据库连接池负载极高 无法响应正常请求 受害者 DBServer DB连接池用完啦 DB连接池 占用 占用 占用 HTTPGetFlood攻击原理 常见的DoS攻击判断方法 判断与分析方法网络流量的明显特征操作系统告警单机分析arp Netstate 本机sniffer输出单机分析抓包分析 中小规模的网络网络设备的输出 中小规模的网络Netflow分析 骨干网级别的分析方式 常见传统缓解攻击的方法 缓解拒绝服务攻击 轮询 负载均衡 Cache路由器系统加固 IIS Apache SynCookie技术借助安全设备 Source Guard syn isn ack isn 1 Target synack cky isn 1 WS 0 Statecreatedonlyforauthenticatedconnections syn isn synack isn isn 1 ack cky 1 ack isn 1 WS0 Sequence adaptation statelesspart SYNCookies DDoS防御流程 绿盟黑洞 智能判断是否存在攻击流量梯度算法衡量承受能力的参照物对不同协议的数据包采用不同处理办法TCP协议 反向探测 指纹识别UDP协议 指纹识别算法ICMP协议 指纹识别算法对特定应用采用反向探测 自学习方法 工作流程 SYNFlood的防护机制 防护算法 统计每个主机的TCPSYNpps 超过设定的阈值后触发防护机制做一定数量的反向探测IP信誉机制 TTLSYNProxy Cookie优点从理论上可以完全解决synflood攻击可以保证正常的连接可以建立缺点只适用于SYNFlood攻击增加了网络流量 加重网络负载CPU要做大量的计算 负载很高需要保存大量的数据 UDPFlood攻击防护 UDP正常应用的基本特性UDP包的数量在双向基本相等UDP包的大小及内容是随机的UDPFlood的统计特性同一目标IP的UDP包一侧大量突现UDP包的大小及内容相对固定 UDP应用统计特性 忘掉协议 建立曲线 一旦曲线变化过大 触发检测机制 UDPFlood防护 触发机制流量自学习 UDPDNSQueryFlood攻击防护 字符串匹配查找是DNS服务器的主要负载微软的统计数据 一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求一台P3的主机可以很轻易地发出每秒上万个请求随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求 引起连锁反应蠕虫扩散带来的大量域名解析请求 攻击的危害性和DNS服务器的脆弱性 在通用UDPFlood防护算法上加入对UDPDNSQueryFlood攻击的防护根据域名IP自学习结果主动回应 减轻服务器负载 内建高速DNSCache 根据域名信誉机制过滤部分解析请求对突然发起大量频度较低的域名解析请求的源IP地址进行带宽限制结合IP信誉机制 在攻击发生时降低很少发起域名解析请求的源IP地址的优先级限制每个源IP地址每秒的域名解析请求次数 UDPDNSQueryFlood防护 ConnectionFlood和蠕虫扩散 利用真实IP地址 代理服务器 广告页面 在服务器上建立大量连接服务器上残余连接 WAIT状态 过多 效率降低 甚至资源耗尽 无法响应蠕虫代码比较简单 行为也较简单 传播过程中会出现大量源IP地址相同的包 对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源如防火墙的连接数 ConnectionFlood防护机制 主动清除残余连接对恶意连接的IP进行封禁限制每个源IP的连接数可以对特定的URL进行防护反查Proxy后面发起HTTPGetFlood的源 GetFlood防护算法 HTTPGetFlood防护 对网络数据包进行HTTP协议解码 分析出HTTPGet请求及其参数 如URL等 统计到达每个服务器的每秒钟的GET请求数 如果超过设定的阈值触发防护机制 判断某个GET请求是否来自代理服务器 如果是 则直接回应一个带key的响应要求请求发起端作出相应的回馈 如果发起端并不响应则说明是利用工具发起的请求 这样HTTPGet请求就无法到达服务器 达到防护的效果 如果请求不是来自代理服务器 则根据历史统计的结果计算可能是恶意请求的概率 若超过一定的概率则回应一个带key的响应要求请求发起端作出相应的回馈 如果发起端并不响应则说明是利用工具发起的请求 这样HTTPGet请求就无法到达服务器 达到防护的效果 HTTPGetFlood防护算法I 应用篇 部署方式和关键技术 串联部署 设计目标 部署要点 零安装 零配置 即插即用网络隐身 无IP地址配置 少量服务器小型网络防火墙 WAN WAN Router Switch 不足 单点故障网络拥塞规模受限 串联集群部署 基于流量牵引的旁路技术 Router Router 攻击检测 Probe流量牵引 Defender攻击防护 Defender流量注入 Defender管理呈现 Datacenter 与路由器协调 告警 通知防护 Defender 攻击检测 Probe Datacenter 为何采用旁路的方式 异常流量检测 流量牵引技术 自动或手动实现牵引由Defender与牵引路由器间运行路由协议 目前支持BGP OSPF RIP协议 建议采用BGP协议 集群扩展 支持一到多台Defender 建议采用多台扩展方式冗余备份 海量处理能力智能调度 基于IP牵引 流量注入技术 将经过防护设备过滤后的流量返回网络的过程支持多种注入方式 根据实际拓扑决定单个下一跳 注入下一跳路