DDOS攻击与防御

1、DDOS攻击及防御攻击及防御2015年1月DOS攻击简介拒绝服务，(DoS,Denial of Service的简称)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。常见的DOS攻击手段有：Syn Flood、UDP Flood、ICMP Flood和Ping of Death黑客主机黑客主机受害主机受害主机DoS攻击攻击DDOS攻击简介分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DD

2、oS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。常见的DOS攻击手段有： IP Spoofing、 LAND attack、ICMP Flood和Application受害主机受害主机DoS攻击攻击傀儡控制主机傀儡控制主机傀儡攻击主机群傀儡攻击主机群随着随着网络技术的不断发展，网络中存在多种攻击行为，目网络技术的不断发展，网络中存在多种攻击行为，

3、目前网络主流的攻击方法如下：前网络主流的攻击方法如下：l Syn Floodl UDP Floodl ICMP Floodl Ping of Deathl Land attackl IP SpoofingDDOS防御简介1.1. 核心层核心层边界防御边界防御2.2. 汇聚层汇聚层内部隔离内部隔离3.3. 接入层接入层本地防御本地防御边界防御我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、硬件的稳定性带来的系统中断。边界是指

4、网络与外界互通引起的安全问题，有入侵、病毒与攻击。内部隔离DMZ：英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。本地防御linuxlinux防火墙：

5、防火墙：iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来管理网络数据包的移动与转送。本地防御IPSIPS防御：防御：Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。软件的源代码可以通过/获得。网关模式配置网关模式配置: :sudo iptables -I FORWARD -j NFQUEUEsudo iptables -I FORWARD -j NFQUEUE本地模式配置：本

6、地模式配置：sudo iptables -I INPUT -j NFQUEUEsudo iptables -I INPUT -j NFQUEUEsudo iptables -I OUTPUT -j NFQUEUEsudo iptables -I OUTPUT -j NFQUEUE启动启动suricatasuricata：sudo suricata -c /etc/suricata/suricata.yaml -q 0sudo suricata -c /etc/suricata/suricata.yaml -q 0本地防御SuricataSuricata规则规则#these are more p

7、ermanent, C&C related#alert http $EXTERNAL_NET any - $HTTP_SERVERS any (msg:ET TROJAN E-Jihad 3.0 DDoS HTTP Activity INBOUND; flow:established,to_server; content:GET; nocase; http_method; content:User-Agent|3a| Attacker|0d 0a|; http_header; reference:url, classtype:denial-of-service; sid:2007687

8、; rev:10;)alert http $EXTERNAL_NET any - $HOME_NET any (msg:ET WEB_SERVER LOIC Javascript DDoS Inbound; flow:established,to_server; content:GET; http_method; content:?id=; http_uri; content:&msg=; http_uri; distance:13; within:5; pcre:/?id=0-913&msg=&+$/U; threshold: type both, track by_

9、src, count 5, seconds 60; reference:url,/diary/Javascript+DDoS+Tool+Analysis/12442; reference:url, classtype:attempted-dos; sid:2014140; rev:5;)6.4.2 抗渗透 a） 测试方法 1） 采用渗透测试工具或专用性能测试设备，对防火墙进行各种拒绝服务攻击。攻击手段至少包括:Syn Flood、UDP Flood、ICMP Flood和Ping of Death； GBT 202812006 防火墙技术要求和测试评价方法黑客主机黑客主

10、机受害服务器受害服务器Syn=10 number=10Ack(s)= Syn=10 +1=11Syn(s)=100number=100Ack=Syn(s)+1=101XSYN flood attackSYN flood attack安装安装iptablesiptables对特定对特定ipip进行屏蔽进行屏蔽A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimitB. 配置相应的iptables规则示例如下：(1)控制单个IP在一定的时间内允许新建立的连接数(#单个IP在60秒内只允许最多新建30个连接)iptables -A INPUT -p

11、 tcp -dport 80 -syn -m recent -name webpool -rcheck -seconds 60 -hitcount 30 j REJECT(2)范围内允许通过 iptables -A INPUT -p tcp -dport 80 -syn -m recent -name webpool -set -j ACCEPTLand attack黑客主机黑客主机DataDataSynSourceDestination受害服务器受害服务器黑客主机黑客主机DataD

12、ataSynSourceDestination针对land attack防护，主要通过分析判断数据包的源地址和目标地址是否相同来确认是否是Land attack。在配置安全网关时加载这一安全策略来过滤掉land attack数据报文，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的地址，从而可以有效地防范Land attack。Land attack受害服务器受害服务器UDP flood attackUDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood

13、经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。黑客主机黑客主机5353DataDataUDPDestination受害服务器受害服务器DportUDP flood attackA.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimitB. 配置相应的iptables规则示例如下：(1)控制单个

14、IP在一定的时间内允许指定端口UDP数量(#单个IP在60秒内只允许最多新建30个DNS请求)iptables -A INPUT -p udp -dport 53 -m recent -name webpool -rcheck -seconds 60 -hitcount 30 j DROP(2)范围内允许通过 iptables -A INPUT -p udp -dport 53 -m recent -name webpool -set -j ACCEPT黑客主机黑客主机5353DataDataUDPDestination受害服务器受害服务器Dport安装安装iptablesiptables对特定对特定ipip进行屏蔽进行屏蔽ping of death死亡之Ping，（英文：ping of death, POD），是一种向目标电脑发送错误封包的或恶意的ping指令的攻击方式。通常，一次ping大小为32字节（若考虑IP标头则为84字节）。在当时，大部分电脑无法处理大