1、网络安全 DDoS之江湖风云录(上)汉柏科技有限公司 张少奎引言虚拟专虚拟专用网用网防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测网络安全网络安全整体形象图整体形象图入侵防护入侵防护抗拒绝服务抗拒绝服务2022-12-16302DDoS江湖风云03DDoS到底是什么011DDoS江湖传言DDoS独白 网络上有一票人,他们自称网络上有一票人,他们自称DDoSDDoS军团军团 他们具有独特的宣言他们具有独特的宣言2022-12-165 横冲直闯,遮天蔽日,肆意妄为!横冲直闯,遮天蔽日,肆意妄为!DDoS传闻(1)很 嚣 张!2022-12-166 所到之处,无孔不入,毁灭一切!所到之处,
2、无孔不入,毁灭一切!DDoS传闻(2)很 疯 狂!2022-12-167 漫漫无源,汹涌多变!漫漫无源,汹涌多变!DDoS传闻(3)很 自 大!2022-12-168 劫匪、强盗、截拳道劫匪、强盗、截拳道都是神马都是神马,硬杀伤硬杀伤直接击倒直接击倒DDoS传闻(4)很 霸道!2022-12-169 喜欢群殴,从不单挑喜欢群殴,从不单挑!DDoS传闻(5)很 团 伙!2022-12-161002DDoS江湖风云03DDoS到底是什么011DDoS江湖传言攻击之殇-我们身边的DDoS攻击(1)2009年5月19日“暴风影音”断网事件攻击之殇-我们身边的DDoS攻击(2)2022-12-16132
3、009年5月19日“暴风影音”断网事件游戏私服引起DNSPOD被10Gbps流量攻击暴风影音的在线广告不能弹出过多暴风用户,导致运营商主DNS服务器过高负荷,攻击之殇-我们身边的DDoS攻击(3)2022-12-1614攻击之殇-我们身边的DDoS攻击(4)2022-12-1615 2010年百度百度域名注册商(美国的REGISTER)系统存在漏洞遭篡改对应的DNS服务器解析内容被劫持更换,主域名被解析到一个荷兰的IP;访问百度时页面自动跳转到一租用雅虎服务器的空间,会出现伊朗网军黑客留下的“Iranian Cyber Army”阿拉伯文字;同时百度旗下子网站也无法访问;最终雅虎服务器由于页面
4、请求数量过于庞大导致瘫痪;攻击之殇-我们身边的DDoS攻击(5)2022-12-1616伊朗人为什么要黑百度,真相已经揭晓,政治抗议只是表面原因,其实伊朗人为什么要黑百度,真相已经揭晓,政治抗议只是表面原因,其实由于美国的军事打击和政由于美国的军事打击和政治威胁,伊朗人准备大批量购买火箭筒,前段时间看了中国在世界宣传的中国治威胁,伊朗人准备大批量购买火箭筒,前段时间看了中国在世界宣传的中国制造广告制造广告,于是来百度,于是来百度搜索,但是遭遇百度的竞价排名,伊朗人选购了搜索结果排名第一位的火箭筒,到手之后发现这些火搜索,但是遭遇百度的竞价排名,伊朗人选购了搜索结果排名第一位的火箭筒,到手之后发
5、现这些火箭筒尽然是从民间不法商贩手中收缴回来的劣质烟花爆竹上当受骗箭筒尽然是从民间不法商贩手中收缴回来的劣质烟花爆竹上当受骗!伊朗人出于气愤,遂黑了百伊朗人出于气愤,遂黑了百度。度。攻击之殇-我们身边的DDoS攻击(5)2022-12-1617DDoS技术门槛低,易发起攻击之殇-我们身边的DDoS攻击(6)2022-12-1618攻击之殇-我们身边的DDoS攻击(7)2022-12-1619攻击之殇-我们身边的DDoS攻击(8)2022-12-1620Anonymous组织扬言13个DNS根服务器攻击之殇-我们身边的DDoS攻击(9)2022-12-1621智能手机,电子商战“小三小三”之战之
6、战2022-12-1622小结:为什么发起拒绝服务攻击 土壤条件具足土壤条件具足Internet用户增多接入网络链路的带宽增大应用系统多样化,更直接攻击工具泛滥,技术门槛变低日益复杂化的商业竞争、网络敲诈等高度集中的云计算中心个人情绪发泄化技术炫耀、上访、私愤等2022-12-1623小结:为什么发起拒绝服务攻击 从发起的动机来讲,分为恶意和无意两种方式。从发起的动机来讲,分为恶意和无意两种方式。恶意居多。恶意居多。政治目的商业竞争打击报复网络敲诈网络竞拍 无心之过无心之过电子购票奥运会售票网站深圳大运会网站 联通iphone商城2022-12-1624应用型DDoS无害论?应用层攻击的应用层
7、攻击的一个一个特点是请求本身都是正常特点是请求本身都是正常用户发起用户发起的。的。通晓系统业务,目的性更强通晓系统业务,目的性更强 危害最大,最难以防范!危害最大,最难以防范!四两拨千斤四两拨千斤2022-12-1625其他知己知彼,百战不殆安全的避风港在哪?2022-12-1626什么是DDoS2022-12-1627什么是DoSDoSDoS(Denial of Service Denial of Service,拒绝服务)属于攻击早期形态。,拒绝服务)属于攻击早期形态。具有具有一对一的攻击一对一的攻击特点特点。2022-12-1628什么是DDoSDDoSDDoS(Distributed
8、Denial of ServiceDistributed Denial of Service,分布式拒绝服务),是在传统,分布式拒绝服务),是在传统的的DoSDoS攻击的基础上产生的一种攻击手段,攻击者通过远程控制多个僵尸攻击的基础上产生的一种攻击手段,攻击者通过远程控制多个僵尸主机,对攻击目标实行一种多对一的攻击方式。主机,对攻击目标实行一种多对一的攻击方式。大家一起上,围攻光明顶2022-12-1629什么是DRDoSDRDoSDRDoS(Distributed Reflection Denial of Service Distributed Reflection Denial of Se
9、rvice,分布式反,分布式反射拒绝服务)与射拒绝服务)与DoSDoS、DDoSDDoS不同,起源不同,起源smurfsmurf局域网广播反射攻击。局域网广播反射攻击。靠的是将受害者靠的是将受害者IPIP地址作为源地址的数据包发给反射服务器,然后地址作为源地址的数据包发给反射服务器,然后反射服务器对源反射服务器对源IPIP地址(受害者)做出大量数据包回应,形成地址(受害者)做出大量数据包回应,形成DoSDoS攻击。攻击。多对一的攻击方式。多对一的攻击方式。套牌让真车主蒙冤2022-12-1630受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团DDoS攻击模型2022-
10、12-1631拒绝服务攻击的常见类型 从影响的对象范围看,分为如下二类从影响的对象范围看,分为如下二类流量型 这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。应用型2022-12-1632拒绝服务攻击的常见类型 从影响的对象范围看,分为如下二类从影响的对象范围看,分为如下二类流量型应用型 利用诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理正常访问请求的目的,比如Http Get攻击和DNS欺骗就是该类型的攻击。
11、2022-12-1633 SYN FLOOD 原理:TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS)时,就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含 SYN 包,其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应,并等待连接已建立的确认信息。但由于该 IP 地址是伪造的,服务器无法等到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击者发送大量这样的
12、连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用户的 TCP 连接请求。攻击类型2022-12-1634用用netstat na命令查命令查看看SYN_RECV状态状态半开连接队列半开连接队列 遍历,消耗遍历,消耗CPU和内存和内存 SYN|ACK 重试重试(3-5次)次)SYN Timeout:30秒秒2分钟分钟无暇理睬正常的连无暇理睬正常的连接请求接请求拒绝服务拒绝服务攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接!SYN Flood 攻击原理攻击表象我怎么连不上2022-12-1635SYN-Flood-经典的攻击现象被攻击服务器上ne
13、tstat an:2022-12-1636大量大量UDPUDP冲击服务器冲击服务器受害者带宽消耗受害者带宽消耗UDP FloodUDP Flood流量不仅仅影流量不仅仅影响服务器,还会对整个传响服务器,还会对整个传输链路造成阻塞输链路造成阻塞UDP(非业务数据)攻击者受害者查查看表内有没有占用带宽UDP Flood 攻击原理攻击表象丢弃UDP(大包/负载)2022-12-1637 UDP-Flood UDP-Flood数据包分析数据包分析2022-12-1638WEB CC 概念原意是challenge collapsar(挑战黑洞)。通过模拟多个用户(多少线程就是多少用户)不停的进行访问(访
14、问那些需要大量数据操作,就是需要大量CPU时间的页面)或者模拟大量用户登陆服务器(最常见的是登陆游戏服务器)。WEB CC 攻击攻击者受害者(Web Server)大量HTTP Get请求不能得到服务器响应HTTP Get Flood正常用户正常HTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get Flood受害者(DB Server)DB连接池用完啦!DB连接池/CPU资源占用占用占用CacheCache代理 服务器WEB CC 防护攻击者(Web Server)正常用户正常HTTP Ge
15、t 请求(DB Server)你是假的!我挡DB连接池占用占用占用CacheCache代理 服务器HTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodHTTP Get FloodWEB CC 防护手段阈值统计阈值统计单个单个源源连连接接整整个个源源请请求求单个单个目的目的连连接接整整个个目的目的连连接接动态动态平滑曲平滑曲线线倍倍数数CC 防防护护重定向重定向验证验证URL 回回探探 ETag 标签标签Cookies标签标签ASCII码码AdvanceURL回探回探(url与与syncookie的的组组合)合)优先于syn/ack/http flood防御效果显著白名单白名单关键URL保护拒绝服务的攻击趋势攻击流量海量针对应用服务的攻击增多,DDOS攻击已形成成熟的产业链,背后的经济利益成为攻击的原始驱动。攻击方式更为复杂,带宽型攻击夹杂应用型攻击的混合攻击增多,且极难防御。大量可轻易获得的僵尸网络及僵尸工具用来发动DDOS攻击,攻击难度降低,DDOS攻击发生频率增大。目的更加商业化-物流抢夺客户资源,网游争夺玩家 2022-12-1643混合型APT威胁2022-12-1644下期相约分解欲欲知如何防范知如何防范2022-12-1645
