DDoS攻击原理及防护

1、 2016 绿盟科技 DDOS攻击与防范 绿盟科技 马林平 1 DDoS攻击的历史 4 常见DDoS工具 3 DDoS防护思路及防护算法 2 DDoS攻击方式 目录 DDoS攻击历史 01 探索期 020304 工具化武器化 普及化 DDoS攻击历史 事件 ：第一次拒绝服务攻击（Panic attack） 时间：1996年 后果：至少6000名用户无法接受邮件 探索期-个人黑客的攻击 事件 ：第一次分布式拒绝服务攻击（Trinoo） 时间：1999年 后果：连续多天的服务终止 探索期-个人黑客的攻击 工具化-有组织攻击 事件 ：燕子行动 时间：2012年 后果：大部分美国金融机构的在线银行业务

2、遭到攻击 工具化-有组织攻击 事件 ：史上最大规模的DDoS 时间：2013年 后果：300Gbit/s的攻击流量 武器化-网络战 事件 ：爱沙尼亚战争 时间：2007年 后果：一个国家从互联网上消失 武器化-网络战 事件 ：格鲁吉亚战争 时间：2008年 后果：格鲁吉亚网络全面瘫痪 武器化-网络战 事件 ：韩国网站遭受攻击 时间：2009年至今 后果：攻击持续进行 事件 : 匿名者挑战山达基教会 时间：2008年 后果：LOIC的大范围使用 普及化-黑客行动主义 事件 : 海康威视后门 时间：2014年 后果：DNS大面积不能解析 普及化-黑客行动主义 DNSPOD “519”断网事件 背景

3、 .com ISP . root 缓存服务器解析服务器 电信运营商 客户端 “519”断网事件 前奏 .com ISP . root 缓存服务器解析服务器 电信运营商 DNSPOD 5 月 18 日 DNSPOD 遭拒绝服 务攻击，主站无法 访问 客户端 “519”断网事件 断网 .com . root 客户端 电信运营商 DNSPOD 5 月 19 日 DNSPOD 更大流量 拒绝服务攻击，整 体瘫痪 ISP 缓存服务器解析服务器 DDOS形势-智能设备发起的DDoS攻击增多 DDoS攻击的动机 技术炫耀、报复心理 针对系统漏洞 捣乱行为 商业利益驱

4、使 不正当竞争间接获利 商业敲诈 政治因素 名族主义 意识形态差别 DDOS攻击地下产业化 直接发展 收购肉鸡 制造、控制， 培训、租售 学习、 赚钱 僵尸网络 工具、病毒 制作 传播销售 攻击工具 漏洞研究、 目标破解 漏洞研究 攻击实施者 广告 经纪人 需求方、 服务获取者、 资金注入者 培训 我们在同一个地 下产业体系对抗 地下黑客攻击网络 上述现象的背后 原始的经济驱动力 Toolkit Developer Malware Developer Virus Spyware 工具滥用者- “市场与销售”？ Building Botnets Botnets: Rent / Sale / Bl

5、ackmail Information theft Sensitive information leakage 真正的攻击者- “用户与合作者”？ DDoS Spamming Phishing Identity theft 最终价值 Trojan Social engineering Direct Attack 工具编写者- “研发人员”？ Worm 间谍活动 企业/政府 欺诈销售 点击率 非法/恶意竞争 偷窃 勒索盈利 商业销售 金融欺诈 魔高一尺，道高一丈 流量 大 频次 高 复杂 化 产业 化 2015年全年DDoS攻击数量为 179,298次，平均20+次/小时。 1. DDoS攻击峰

6、值流量将再创新高； 2. 反射式DDoS攻击技术会继续演进； 3. DNS服务将迎来更多的DDoS攻击； 4. 针对行业的DDoS攻击将持续存在。 预测未来 1 DDoS攻击的历史 4 常见DDoS工具 3 DDoS防护思路及防护算法 2 DDoS攻击方式 目录 DDoS攻击本质 利用木桶原理，寻找并利用 系统应用的瓶颈 阻塞和耗尽 当前的问题：用户的带宽小 于攻击的规模，造成访问带 宽成为木桶的短板 好比减肥药，一直在治疗，从未见疗效 真正海量的DDoS可以直接阻塞互联网 不要以为可以防住真正的DDoS 如果没被DDoS过，说明确实没啥值得攻击的 DDoS是攻击者的资源，这个资源不是拿来乱用

7、的 DDoS攻击只针对有意义的目标 无效的攻击持续的时间越久，被追踪反查的概率越大 被消灭掉一个C&C服务器，相当于被打掉了一个Botnet 如果攻击没有效果，持续的时间不会很长 DDoS基本常识 闷声发大财，显得挣钱不容易 很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS 低调行事，被攻击者盯上的概率小 成功的DDoS伴随着攻击者对攻击目标的深入调研 利用漏洞，应用脆弱点，一击定乾坤 能防住的攻击通常简单，简单的未必防得住 防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段 小股多段脉冲攻击试探，海量流量一举攻瘫 攻击是动态的过程，攻防双方都需要不断调整 DDoS基本常识 DDoS是

8、典型的事件触发型市场 应急，演练，预案在遭受攻击之前，很少受重视 安全服务总是在攻击防不住的时候才被想起来 攻击者会选择最合适的时间，比如某个业务盛大上线那一刻 我防住家门口，他堵住你上游，上游防护比下游效果好 对于安全事件，需要有安全组织，安全人员，安全制度 DDoS防护也是讲天时、地利、人和的 免费攻击工具的普及降低了门槛，也使得很多攻击非常业余 攻击成本的降低，导致了攻击水平的降低 DDoS防御基本常识 传统的DDOS攻击是通过黑客在全球范围互联网用户中建 立的僵尸网络发出的，数百万计受感染机器在用户不知情 中参与攻击 方式 路由器，交换机，防火墙，Web服务器，应用服务器， DNS服务

9、器，邮件服务器，甚至数据中心 目标 直接导致攻击目标CPU高，内存满，应用忙，系统瘫，带 宽拥堵，转发困难，并发耗尽等等，结果是网络应用甚至 基础设施不可用 后果 什么是DDoS 以力取胜，拥塞链路，典型代表为ICMP Flood和UDP Flood 1、流量D；2、流速D 以巧取胜，攻击于无形，每隔几十秒发一个包甚至只要发一 个包，就可以让业务服务器不再响应。此类攻击主要是利用 协议或应用软件的漏洞发起，例如匿名组织的Slowloris攻击 3、慢速D；4、漏洞D 混合类型，既利用了系统和协议的缺陷，又具备了高速的并 发和海量的流量，例如SYN Flood攻击、HTTP Flood、DNS

10、Query Flood攻击，是当前最主流的攻击方式 5、并发D；6、请求D DDoS攻击分类（流量特性） 包括SYN Flood，连接数攻击等 连接耗尽型 包括Ack Flood,UDP Flood,ICMP Flood,分片攻击等 带宽耗尽型 包括HTTP Get Flood,CC,HTTP Post慢速攻击，DNS Flood，以及针对各种游戏和数据库的攻击方式 应用层攻击 DDoS攻击分类（攻击方式） 连接耗尽型-SYN Flood SYN （我可以连接吗？） ACK （可以）/SYN（请确认！） ACK （确认连接） 发起方 应答方 正常的三次握手过程 SYN （我可以连接吗？） AC

11、K （可以）/SYN（请确认！） 攻击者 受害者 伪造地址进行SYN 请 求 为何还没 回应 就是让 你白等 不能建立正常的连接！ SYN Flood 攻击原理 SYN_RECV 状态 半开连接队列 遍历，消耗CPU 和内存 SYN|ACK 重试 SYN Timeout： 30秒2分钟 无暇理睬正常的连接 请求，造成拒绝服务 危害 我没 发过 请求 如果一个系统（或主机）负荷突然升高甚至失去 响应，使用Netstat命令能看到大量SYN_RCVD的 半连接（数量500或占总连接数的10%以上）， 可以认定，这个系统（或主机）遭到了Synflood攻 击。 SYN Flood侦察 SYN攻击包样

12、本 SYN Flood程序实现 连接耗尽型-Connection Flood 正常tcp connect 攻击者 受害者 大量tcp connect 这么多？ 不能建立正常的连接 正常tcp connect 正常用户 正常tcp connect 攻击表象 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 利用真实 IP 地址（代理 服务器、广告页面）在 服务器上建立大量连接 服 务 器 上 残 余 连 接 (WAIT状态)过多，效率 降低，甚至资源耗尽， 无法响应 蠕虫传播过程中会出现 大量源IP地址相同的包， 对于 TCP 蠕虫则

13、表现为 大范围扫描行为 消耗骨干设备的资源， 如防火墙的连接数 Connection Flood 攻击原理 Connection Flood攻击报文 在受攻击的服务器上使用netstat an来看： 带宽耗尽型-ICMP Flood 针对同一目标IP的 ICMP包在一侧大量出 现 内容和大小都比较固定 ICMP （request 包） 攻击者 受害者 攻击 ICMP Flood 攻击原理攻击原理攻击表象攻击表象 正常tcp connect ICMP （request 包） ICMP （request 包） ICMP （request 包） ICMP （request 包） ICMP （requ

14、est 包） ICMP （request 包） ICMP （request 包） ICMP Flood攻击报文 带宽耗尽型-UDP Flood 大量UDP冲击服务器 受害者带宽消耗 UDP Flood流量不仅仅影 响服务器，还会对整个传 输链路造成阻塞 对于需要维持会话表的网 络设备，比如防火墙， IPS，负载均衡器等具备 非常严重的杀伤力 UDP （非业务数据） 攻击者 受害者 网卡出口堵 塞，收不了 数据包了 占用 带宽 UDP Flood 攻击原理攻击表象 丢弃 UDP （大包/负载） 带宽耗尽型反射攻击 攻击者攻击者 被攻击者被攻击者 v 源源IP=被攻击者的被攻击者的IP ICMP请

15、求（smurf） DNS请求 SYN请求（land） NTP请求 SNMP请求 DoS攻击 采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常主机的 回应报文达到攻击受害者的目的。Smurf, DNS反射攻击等 攻击者既需要掌握Botnet，也需要准备大量的存活跳板机，比如开放DNS服 务器 反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御 反射攻击原理 放大反射倍数 700倍 1、NTP放大反射 25倍 2、SNMP放大反射 10倍 3、DNS放大反射 应用资源攻击-DNS Query Flood l 字符串匹配查找是 DNS 服务器的主要负载。 l 一台 DNS 服

16、务器所能承受的递归动态域名查询的上限是每秒钟 50000个请求。 l 一台家用PC主机可以很轻易地发出每秒几万个请求。 l DNS是互联网的核心设备，一旦DNS服务器被攻击，影响极大。 l 运营商城域网DNS服务器被攻击越来越频繁 DNS Query Flood 危害性 攻击手段 l Spoof IP 随机生成域名使得服务器必须使用递归查询 向上层服务器发出解析请求，引起连锁反应。 l 蠕虫扩散带来的大量域名解析请求。 l 利用城域网 DNS服务器作为Botnet发起攻击 DNS报文样本 应用资源攻击-HTTP Flood/CC攻击 攻击者 受害者(Web Server) 正常HTTP Get

17、请求 不能建立正常的连接 正常HTTP Get Flood 正常用户 正常HTTP Get Flood 攻击表象攻击表象 利用代理服务器向受害 者发起大量HTTP Get 请求 主要请求动态页面，涉 及到数据库访问操作 数据库负载以及数据库 连接池负载极高，无法 响应正常请求 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 受害者(DB Server) DB连接池 用完啦！ DB连接池 占 用 占 用 占 用 HTTP Get Flood 攻击原理攻击原理 1 DDoS攻击

18、的历史 4 常见DDoS工具 3 DDoS防护思路及防护算法 2 DDoS攻击方式 目录 ADS流量清洗工作原理 企业用户企业用户 流量限速 源、目的 地址检查/ 验证 流量清洗中心流量清洗中心 交付已过滤的 内容 Internet 城域网 特 定 应 用 防 护 协 议 栈 行 为 分 析 用 户 行 为 模 式 分 析 动 态 指 纹 识 别 反 欺 骗 协议合法性 检查 四到七层 特定攻击 防护 用户行为 异常检查 和处理 检查和生 成攻击指 纹并匹配 攻击数据 未知可疑 流量限速 SYN Flood 防护方法 l Random Drop： 随机丢包的方式虽然可以减轻服务器的 负载，但是

19、正常连接成功率也会降低很 多 l 特征匹配： 在攻击发生的当时统计攻击报文的特征， 定义特征库；例如过滤不带TCP Options 的SYN 包等。如果攻击包完全 随机生成则无能为力 l SYN Cookie ： 可以避免由于SYN攻击造成的TCP传输 控制模块TCB资源耗尽，将有连接的 TCP握手变成了无连接模式，减轻了被 攻击者的压力，但是SYN Cookie校验也 是耗费性能的 l SYN Proxy ： 完美解决SYN攻击的算法，但是非常耗 费设备性能，在非对称网络不适用 syn syn/ack(Cookie) ack Client Server Syn syn/ack ack ack

20、1 ack2 分配TCB 资源 代理后 续报文 TCP Connection Flood 攻击与防护 使用Proxy或者Botnet，向服务器某个应用端口（如80）建立 大量的TCP连接 建立连接后，模拟正常应用的数据包以便长时间占用连接 通常一个应用服务都有连接数上限，当达到这个上限时，正 常的客户端就无法再连接成功 TCP Connection Flood 攻击 受害者 Proxy或者 Botnet TCP Connection 限制单个IP地址的连接数量 对于Botnet目前没有太好的方法去防护 TCP Connection Flood 防护 定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全 配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固 定期扫描和加固自身业务设备 建立多节点负载均衡，配备多线路高带宽，配备强大的运算能力，借此“吸 收”DDoS攻击 确保资源冗余，提升耐打能力 关停不必要的服务和端口，实现服务最小化，例如WWW服务器只开放80而将 其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻 击所影响的概率 服务最小化，关停不必要的服务和端口 三分产品技术，七分设计服务，除了防护产品本身的