互联网网络安全应急演练材料

互联网分布式拒绝服务攻击和防护

安全应急演练总结

提纲二：流量清洗的原理三：本次演练情况一：分布式拒绝服务攻击DDoS背景五：总结和思考四：城域网僵尸网络DDoS事件DDoS概念DoSDenialofService的简称，拒绝服务。属于攻击早期形态，由于攻击者带宽、CPU等资源不足，较难形成威胁。如果是目标有明显漏洞，不需要僵尸网络，攻击成本较低。DDoS分布式拒绝服务(DistributedDenialofService)。当前主流攻击手段，带宽消耗、主机消耗、打漏洞都可以。DRDoSDistributedReflectionDenialofServiceAttack的缩写。分布式反射拒绝服务。起源smurf局域网广播反射攻击。但广域网较少广播反射，主要形态是用小包换大包的方式，操作麻烦，效果不强，不是主流攻击手段。DDoS攻击的本质利用木桶原理，寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板DoS/DDoS类型的划分应用层垃圾邮件、病毒邮件DNSFlood--CC网络层SYNFlood、ICMPFlood伪造链路层ARP伪造报文物理层直接线路破坏电磁干扰攻击类型划分II堆栈突破型（利用主机/设备漏洞）远程溢出拒绝服务攻击网络流量型（利用网络通讯协议）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood攻击类型划分IDDoS工具CC攻击和僵尸网络BotnetCC&BotnetDDoS攻击的动机技术炫耀、报复心理针对系统漏洞捣乱行为商业利益驱使不正当竞争间接获利商业敲诈政治因素DDOS攻击地下产业化直接发展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后–原始的经济驱动力

Toolkit

DeveloperMalware

DeveloperVirusSpyware工具滥用者-“市场与销售”？BuildingBotnetsBotnets:Rent/Sale/BlackmailInformationtheftSensitiveinformationleakage真正的攻击者-“用户与合作者”？DDoSSpammingPhishingIdentitytheft最终价值TrojanSocialengineeringDirectAttack工具编写者-“研发人员”？Worm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈DDOS的黑色产业链DDoS攻击的特点网络接入控制DDoS攻击发生频率高，且呈海量趋势攻击应用服务，经济利益为原始驱动带宽型攻击混杂应用型攻击，极难防御海量流量破坏运营商基础网络的可用性僵尸网络数量众多，发动攻击难度很小提纲二：流量清洗的原理三：本次演练情况一：分布式拒绝服务攻击DDoS背景五：总结和思考四：城域网僵尸网络DDoS事件流量清洗系统的关键点海量清洗高性能运算集群可扩展流量感知攻击流量检测数据统计分析应用防护DNS防护Http应用防护CC防护可控可管集群设备管理集中策略分发关联分析防护效用防护目标覆盖性防护系统可用性三位一体的流量发现和清洗手段集中进行监测,过滤和清洗DDoS异常检测集中监控、管理分析取证DDoS防护过滤多层异常检测及防护过滤算法串联、旁路、集群多种部署SPAN/Netflow/Cflow/NetStream多手段异常流量检测集中监控、管理、流量分析、多形式报表、取证流量清洗工作原理重要业务流量限速1、IP合法性检查源、目的地址检查/验证2、协议栈行为模式分析协议合法性检查3、特定应用防护

四到七层特定攻击防护4、用户行为模式分析用户行为异常检查和处理流量清洗中心交付已过滤的内容CMNET互联网省网出口“多层识别和过滤机制特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗5、动态指纹识别动态检查和生成攻击指纹并匹配攻击数据6、流量限速未知可疑流量限速互联网无锡出口旁路流量清洗工作过程异常流量探测异常流量防御受保护的服务器

业务管理系统12.1Netflow数据输出正常流量不受影响正常流量不受影响发现攻击通知业务管理系统通知防御设备，开启攻击防御流量回注3.1牵引流量,对异常流量进行清洗流量牵引受保护的服务器

2.23.2将攻击的实时信息通知业务管理系统攻击停止，通知业务管理系统4DDOS流量清洗DNSFlood的基本原理静态过滤：基于预先设置的黑名单列表及报文特征过滤规则过滤异常DNS报文。合法性检测：基于协议合法性检测过滤畸形报文。源合法性认证：基于传输协议层源认证和应用层源证防范虚假源攻击，可防范DNSqueryflood、DNSreplyflood及针对DNS服务器发起的各类TCPflood。会话检查：通过检查DNS会话可防范DNS缓存投毒攻击、DNS反射攻击。行为分析：正常情况下DNS服务器回应报文中Nosuchname报文较少，但如果某时刻Nosuchname报文突增，必然发生DNSqueryflood攻击；监控DNS域名TOPN和访问源TOPN，形成常用域名TOPN和大客户IPTOPN基线，当监控到访问流量和TOPN基线相比偏差较大，即可判定攻击发生；TOPN域名可用于清洗设备为减缓DNS服务器压力提供动态cache功能；TOPN源可作为信誉IP，攻击发生时直接作为白名单，减少防范对大客户IP的访问影响。流量整形：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。.DNSQueryflood攻击原理Queryflood.攻击者利用僵尸网络向DNS服务器发送海量不存在的域名解析请求，致使DNS服务器严重超载，严重时甚至造成链路拥塞，无法继续响应正常用户的DNS请求，从而达到攻击的目的。攻击发生时，会发现链路中存在大量DNS服务器回应的域名不存在报文。一般这种攻击报文的最大特点是源IP是虚假源，即不是僵尸主机自身IP地址。Replyflood.当用户访问网络时会向DNS缓存服务器发出域名查询请求，DNS缓存服务器并不具备域名和IP地址对应关系，它会向DNS授权服务器发出查询请求，DNS授权服务器回应的DNSReply报文给出该域名对应的IP地址。攻击者则调用僵尸网络冒充DNS授权服务器发送大量DNSReply报文，导致DNS缓存服务器CPU处理繁忙，严重时甚至造成链路拥塞，无法响应正常用户DNS请求。一般这种攻击报文的最大特点是源IP是虚假源，即不是僵尸主机自身IP地址。.DNS缓存投毒攻击.DDOS流量检测的常见问题基于传输协议的源验证核心思想是向访问防护目标的源IP发送带有cookie的探测报文，如果该源真实存在，则会对探测报文回应，且回应报文携带cookie。清洗中心通过校验cookie，即可确认该源IP是否真实存在。通过认证的源加入白名单，其后续报文清洗中心直接转发。攻击源因无法通过认证，报文无法通过。该技术可有效防御虚假源发起的SYNFlood、SYN-ACKFlood、ACKFlood、TCPFragmentFlood攻击。.真实源Flood攻击--对不存在域名的海量请求基于DNS应用协议的客户端服务器交互模型，识别报文是真实应用客户端访问行为还是僵尸网络攻击行为，通过认证的源加入白名单，其后续报文直接转发，未经过认证的报文被清洗设备丢弃。可有效防范虚假源发起的DNSQueryFlood和DNSReplyFlood。.对授权服务器的Queryflood攻击.真实源Flood攻击--对不存在域名的海量请求除了流量清洗系统能够对DNS查询进行挑战外，智能化的DNS系统对异常请求进行本地解析也能够缓解一部分压力。.基于特征的清洗特征过滤防范适合防范真实源或利用真实源IP发起的报文具有特征的Flood攻击。支持基于异常事件自动抓包，抓包支持抽样比，可对攻击流量进行均匀、全面抓包。抓取的报文发送到管理中心存储成文件，管理中心支持基于抓包文件提取攻击特征，下发到清洗设备作为攻击流量过滤条件。部分黑客工具，协议报文上有固定的特征，采用基于特征的清洗方式，效果明显.DNS动态CACHE—被攻击时的应急措施自动学习域名请求TOPN，记录TOPN热点域名，可替代被防护的DNS服务器应答客户端的请求，减少DNS服务器的负载。遇到大规模攻击的时候。甚至可以固定TOP1000的域名，直接由设备替代DNS缓存服务器，直接回复DNS查询。.真实源Flood攻击--5·19暴风影音断网事件.com.ISP.root缓存服务器解析服务器根域服务器顶级域服务器授权域服务器电信运营商DNSPOD..4399.com5月18日DNSPOD遭拒绝服务攻击，主站无法访问10G客户端大量DNS查询缓存过期超时重试海量客户端发起的海量DNS请求，导致链路拥塞，DNS服务器处理繁忙提纲二：流量清洗的原理三：本次演练情况一：分布式拒绝服务攻击DDoS背景五：总结和思考四：城域网僵尸网络DDoS事件无锡出口网络拓扑DNS系统在100MB攻击流下的表现CPU从开启防护时的5%升高到26%DNS对于流量攻击的测试情况DNSFlood流量打到75万QPS时，DNS的缓存服务器系统负荷还在正常范围内，流量清洗系统的负载也在正常范围内，但是发起的DNS请求大部分解析失败；攻击流量下降到55万QPS的时候，系统解析恢复正常；目前分析是流量清洗系统对部分正常请求产生的误杀，并且系统的主动探测对session的要求比较高。对WEB的攻击

1、攻击WEB服务器，僵尸网络

大量的CC攻击2、攻击WEB服务器，BPShttpget

攻击3、攻击WEB服务器，BPS对ftp的synflood攻击4、攻击WEB服务器，混合流量攻击5、攻击WEB存在的apachecve2011-3192的DOS漏洞对于web网站的混合流量攻击—江苏无线城市网站演练现网流量清洗设备对WEB的防护效果较好，每秒新建连接请求达到80万时，可以在一分钟能把成功建立的连接控制在8万以下，对业务影响较小。1.系统对混合流量攻击web网站的清洗效果较好，在BPS系统1G的混合流量攻击下，无线城市网站可正常访问，未出现业务异常。2.30台设备的小规模僵尸网络发起的CC攻击未对网站造成影响。对江苏DNS无锡节点的演练过程1、攻击DNS服务器，僵尸网络UDP攻击2、攻击DNS服务器，僵尸网络随机域名查询攻击3、攻击DNS服务器，BPS随机域名查询攻击4、攻击DNS服务器，混合流量攻击结果分析：僵尸网络、BPS设备发送的随机域名查询攻击效果差异较小，主要体现在性能上，40万qps时DNS工作正常，55万qps时DNS查询开始超时，75万qps时，DNS完全停止服务2011年底互联网南京出口DNSflood演练情况优化后的结果E8080测试结果（PPS）入接口流量出接口流量670000

320002000001200040000020000E1000E-D测试结果（PPS）48000028000优化：DNS的会话的老化时间改为10秒，默认的数值是2分钟，系统优化效果明显南京出口华为8080设备与