1、 2016 绿盟科技DDOS攻击与防范绿盟科技 马林平D D O S 攻击与防范绿盟科技 马林平1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录1 D D o S 攻击的历史4 常见D D o S 工具3 D D o SDDoS攻击历史01探索期020304工具化武器化普及化D D o S 攻击历史0 1 探索期0 2 0 3 0 4 工具化武器化普及化DDoS攻击历史D D o S 攻击历史事件:第一次拒绝服务攻击(Panic attack)时间:1996年后果:至少6000名用户无法接受邮件探索期-个人黑客的攻击事件:第一次拒绝服务攻击(P
2、a n i c a t t a c k)探索期事件:第一次分布式拒绝服务攻击(Trinoo)时间:1999年后果:连续多天的服务终止探索期-个人黑客的攻击事件:第一次分布式拒绝服务攻击(T r i n o o)探索期-工具化-有组织攻击事件:燕子行动时间:2012年后果:大部分美国金融机构的在线银行业务遭到攻击工具化-有组织攻击事件:燕子行动工具化-有组织攻击事件:史上最大规模的DDoS时间:2013年后果:300Gbit/s的攻击流量工具化-有组织攻击事件:史上最大规模的D D o S武器化-网络战事件:爱沙尼亚战争时间:2007年后果:一个国家从互联网上消失武器化-网络战事件:爱沙尼亚战争
3、武器化-网络战事件:格鲁吉亚战争时间:2008年后果:格鲁吉亚网络全面瘫痪武器化-网络战事件:格鲁吉亚战争武器化-网络战事件:韩国网站遭受攻击时间:2009年至今后果:攻击持续进行武器化-网络战事件:韩国网站遭受攻击事件:匿名者挑战山达基教会时间:2008年后果:LOIC的大范围使用普及化-黑客行动主义事件:匿名者挑战山达基教会普及化-黑客行动主义事件:海康威视后门时间:2014年后果:DNS大面积不能解析普及化-黑客行动主义事件:海康威视后门普及化-黑客行动主义DNSPOD“519”断网事件 背景ISP.net.orgroot缓存服务器解析服务器电信运营商客户端D N S P O D“5 1
4、 9”断网事件 背景.c o m.b a o“519”断网事件 前奏ISP.net.orgroot缓存服务器解析服务器电信运营商DNSPOD5 月 18 日 DNSPOD 遭拒绝服务攻击,主站无法访问客户端“5 1 9”断网事件 前奏.c o m.b a o f e n g.c“519”断网事件 断网.orgroot客户端电信运营商DNSPOD5 月 19 日 DNSPOD 更大流量拒绝服务攻击,整体瘫痪ISP缓存服务器解析服务器“5 1 9”断网事件 断网.c o m.b a o f e n g.cDDOS形势-智能设备发起的DDoS攻击增多D D O S 形势-智能设备发起的D D o S
5、 攻击增多DDoS攻击的动机 技术炫耀、报复心理 针对系统漏洞 捣乱行为 商业利益驱使 不正当竞争间接获利 商业敲诈 政治因素 名族主义 意识形态差别D D o S 攻击的动机技术炫耀、报复心理DDOS攻击地下产业化直接发展收购肉鸡制造、控制,培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络D D O S 攻击地下产业化直接发展收购肉鸡制造、控制,学习、僵尸上述现象的背后 原始的经济驱动力 ToolkitDeveloperMalware DeveloperVir
6、usSpyware工具滥用者-“市场与销售”?Building BotnetsBotnets:Rent/Sale/Blackmail Information theftSensitive information leakage 真正的攻击者-“用户与合作者”?DDoSSpammingPhishingIdentity theft最终价值TrojanSocial engineeringDirect Attack工具编写者-“研发人员”?Worm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈上述现象的背后 原始的经济驱动力 T o o l k i tD e v魔高一尺,道
7、高一丈流量大频次高复杂化产业化2015年全年DDoS攻击数量为179,298次,平均20+次/小时。魔高一尺,道高一丈流量大频次高复杂化产业化2 0 1 5 年全年D D 1.DDoS攻击峰值流量将再创新高;2.反射式DDoS攻击技术会继续演进;3.DNS服务将迎来更多的DDoS攻击;4.针对行业的DDoS攻击将持续存在。预测未来 1.D D o S 攻击峰值流量将再创新高;预测未来 1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录1 D D o S 攻击的历史4 常见D D o S 工具3 D D o SDDoS攻击本质 利用木桶原理,寻找并利
8、用系统应用的瓶颈 阻塞和耗尽 当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板D D o S 攻击本质利用木桶原理,寻找并利用系统应用的瓶颈 好比减肥药,一直在治疗,从未见疗效 真正海量的DDoS可以直接阻塞互联网不要以为可以防住真正的DDoS 如果没被DDoS过,说明确实没啥值得攻击的 DDoS是攻击者的资源,这个资源不是拿来乱用的DDoS攻击只针对有意义的目标 无效的攻击持续的时间越久,被追踪反查的概率越大 被消灭掉一个C&C服务器,相当于被打掉了一个Botnet如果攻击没有效果,持续的时间不会很长DDoS基本常识不要以为可以防住真正的D D o S 好比减肥药,一直在治疗
9、,从未见 闷声发大财,显得挣钱不容易 很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS低调行事,被攻击者盯上的概率小 成功的DDoS伴随着攻击者对攻击目标的深入调研 利用漏洞,应用脆弱点,一击定乾坤能防住的攻击通常简单,简单的未必防得住 防住了攻击千万不能掉以轻心,可能攻方正在调整攻击手段 小股多段脉冲攻击试探,海量流量一举攻瘫攻击是动态的过程,攻防双方都需要不断调整DDoS基本常识低调行事,被攻击者盯上的概率小闷声发大财,显得挣钱不容易很少 DDoS是典型的事件触发型市场 应急,演练,预案在遭受攻击之前,很少受重视安全服务总是在攻击防不住的时候才被想起来 攻击者会选择最合适的时间,比如
10、某个业务盛大上线那一刻 我防住家门口,他堵住你上游,上游防护比下游效果好 对于安全事件,需要有安全组织,安全人员,安全制度DDoS防护也是讲天时、地利、人和的 免费攻击工具的普及降低了门槛,也使得很多攻击非常业余攻击成本的降低,导致了攻击水平的降低DDoS防御基本常识安全服务总是在攻击防不住的时候才被想起来D D o S 是典型的事件 传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的,数百万计受感染机器在用户不知情中参与攻击方式 路由器,交换机,防火墙,Web服务器,应用服务器,DNS服务器,邮件服务器,甚至数据中心目标 直接导致攻击目标CPU高,内存满,应用忙,系统瘫,
11、带宽拥堵,转发困难,并发耗尽等等,结果是网络应用甚至基础设施不可用后果什么是DDoS方式传统的D D O S 攻击是通过黑客在全球范围互联网用户中建立的 以力取胜,拥塞链路,典型代表为ICMP Flood和UDP Flood1、流量D;2、流速D 以巧取胜,攻击于无形,每隔几十秒发一个包甚至只要发一个包,就可以让业务服务器不再响应。此类攻击主要是利用协议或应用软件的漏洞发起,例如匿名组织的Slowloris攻击3、慢速D;4、漏洞D 混合类型,既利用了系统和协议的缺陷,又具备了高速的并发和海量的流量,例如SYN Flood攻击、HTTP Flood、DNS Query Flood攻击,是当前最
12、主流的攻击方式5、并发D;6、请求DDDoS攻击分类(流量特性)1、流量D;2、流速D 以力取胜,拥塞链路,典型代表为I C M P 包括SYN Flood,连接数攻击等连接耗尽型 包括Ack Flood,UDP Flood,ICMP Flood,分片攻击等带宽耗尽型 包括HTTP Get Flood,CC,HTTP Post慢速攻击,DNS Flood,以及针对各种游戏和数据库的攻击方式应用层攻击DDoS攻击分类(攻击方式)连接耗尽型包括S Y N F l o o d,连接数攻击等带宽耗尽型包括连接耗尽型-SYN FloodSYN(我可以连接吗?)ACK(可以)/SYN(请确认!)ACK(确
13、认连接)发起方应答方正常的三次握手过程SYN(我可以连接吗?)ACK(可以)/SYN(请确认!)攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接!SYN Flood 攻击原理SYN_RECV 状态半开连接队列遍历,消耗CPU和内存SYN|ACK 重试SYN Timeout:30秒2分钟无暇理睬正常的连接请求,造成拒绝服务危害我没发过请求连接耗尽型-S Y N F l o o d S Y N (我可以连接吗?)如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat命令能看到大量SYN_RCVD的半连接(数量500或占总连接数的10%以上),可以认定,这个
14、系统(或主机)遭到了Synflood攻击。SYN Flood侦察如果一个系统(或主机)负荷突然升高甚至失去响应,使用N e t sSYN攻击包样本S Y N 攻击包样本S Y N 攻击包样本SYN Flood程序实现S Y N F l o o d 程序实现连接耗尽型-Connection Flood正常tcp connect攻击者受害者大量tcp connect这么多?不能建立正常的连接正常tcp connect正常用户正常tcp connect攻击表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect利用真实 IP 地址(代理服务器、广告
15、页面)在服务器上建立大量连接服 务 器 上 残 余 连 接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为消耗骨干设备的资源,如防火墙的连接数Connection Flood 攻击原理连接耗尽型-C o n n e c t i o n F l o o d 正常t c p Connection Flood攻击报文 在受攻击的服务器上使用netstat an来看:C o n n e c t i o n F l o o d 攻击报文 在受攻击的服务器上带宽耗尽型-ICMP Flood针对同一目标IP的ICMP包
16、在一侧大量出现内容和大小都比较固定ICMP(request 包)攻击者受害者攻击ICMP Flood 攻击原理攻击原理攻击表象攻击表象正常tcp connectICMP(request 包)ICMP(request 包)ICMP(request 包)ICMP(request 包)ICMP(request 包)ICMP(request 包)ICMP(request 包)带宽耗尽型-I C M P F l o o d 针对同一目标I P 的I C MICMP Flood攻击报文I C M P F l o o d 攻击报文带宽耗尽型-UDP Flood大量UDP冲击服务器受害者带宽消耗UDP Flo
17、od流量不仅仅影响服务器,还会对整个传输链路造成阻塞对于需要维持会话表的网络设备,比如防火墙,IPS,负载均衡器等具备非常严重的杀伤力UDP(非业务数据)攻击者受害者网卡出口堵塞,收不了数据包了占用带宽UDP Flood 攻击原理攻击表象丢弃UDP(大包/负载)带宽耗尽型-U D P F l o o d 大量U D P 冲击服务器U D P带宽耗尽型反射攻击攻击者攻击者被攻击者被攻击者v 源源IP=被攻击者的被攻击者的IPICMP请求(smurf)DNS请求SYN请求(land)NTP请求SNMP请求DoS攻击采用受害者的IP作为源IP,向正常网络发送大量报文,利用这些正常主机的回应报文达到攻
18、击受害者的目的。Smurf,DNS反射攻击等攻击者既需要掌握Botnet,也需要准备大量的存活跳板机,比如开放DNS服务器反射攻击会有流量放大的效应,制造出的大流量攻击非常难以防御反射攻击原理带宽耗尽型反射攻击攻击者被攻击者放大网络 源I P=被攻击者放大反射倍数700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射放大反射倍数7 0 0 倍1、N T P 放大反射2 5 倍2、S N M P 放大应用资源攻击-DNS Query Floodl 字符串匹配查找是 DNS 服务器的主要负载。l 一台 DNS 服务器所能承受的递归动态域名查询的上限是每秒钟50000个请求。l
19、 一台家用PC主机可以很轻易地发出每秒几万个请求。l DNS是互联网的核心设备,一旦DNS服务器被攻击,影响极大。l 运营商城域网DNS服务器被攻击越来越频繁DNS Query Flood 危害性攻击手段l Spoof IP 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求,引起连锁反应。l 蠕虫扩散带来的大量域名解析请求。l 利用城域网 DNS服务器作为Botnet发起攻击应用资源攻击-D N S Q u e r y F l o o d 字符串匹配查DNS报文样本 D N S 样本D N S 报文样本 应用资源攻击-HTTP Flood/CC攻击攻击者受害者(Web Serve
20、r)正常HTTP Get请求不能建立正常的连接正常HTTP Get Flood正常用户正常HTTP Get Flood攻击表象攻击表象利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面,涉及到数据库访问操作数据库负载以及数据库连接池负载极高,无法响应正常请求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB连接池用完啦!DB连接池占用占用占用HTTP Get Flood 攻击原理攻击原理应用资源攻击-H T T P F l o o d/C
21、 C 攻击攻击者受害者1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录1 D D o S 攻击的历史4 常见D D o S 工具3 D D o SADS流量清洗工作原理企业用户企业用户流量限速源、目的地址检查/验证流量清洗中心流量清洗中心交付已过滤的内容Internet城域网特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗协议合法性检查四到七层特定攻击防护用户行为异常检查和处理检查和生成攻击指纹并匹配攻击数据未知可疑流量限速A D S 流量清洗工作原理企业用户流量限速I P 合法性检查流量清洗SYN Flood 防护方法l Rando
22、m Drop:随机丢包的方式虽然可以减轻服务器的负载,但是正常连接成功率也会降低很多l 特征匹配:在攻击发生的当时统计攻击报文的特征,定义特征库;例如过滤不带TCP Options 的SYN 包等。如果攻击包完全随机生成则无能为力l SYN Cookie:可以避免由于SYN攻击造成的TCP传输控制模块TCB资源耗尽,将有连接的TCP握手变成了无连接模式,减轻了被攻击者的压力,但是SYN Cookie校验也是耗费性能的l SYN Proxy:完美解决SYN攻击的算法,但是非常耗费设备性能,在非对称网络不适用synsyn/ack(Cookie)ackClientServerSynsyn/ackac
23、kack1ack2分配TCB资源代理后续报文S Y N F l o o d 防护方法R a n d o m D r o p:s y n sTCP Connection Flood 攻击与防护使用Proxy或者Botnet,向服务器某个应用端口(如80)建立大量的TCP连接建立连接后,模拟正常应用的数据包以便长时间占用连接通常一个应用服务都有连接数上限,当达到这个上限时,正常的客户端就无法再连接成功TCP Connection Flood 攻击受害者Proxy或者BotnetTCP Connection限制单个IP地址的连接数量对于Botnet目前没有太好的方法去防护TCP Connection
24、 Flood 防护T C P C o n n e c t i o n F l o o d 攻击与防护使用P r 定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固定期扫描和加固自身业务设备 建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击确保资源冗余,提升耐打能力 关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率服务最小化,关停不必要的服务和端口 三分产品技术,七分设计服务
25、,除了防护产品本身的功能、性能、稳定性,易用性等方面,还需要考虑防护产品厂家的技术实力,服务和支持能力,应急经验等选择专业的产品和服务DDoS攻击防护思路定期扫描和加固自身业务设备定期扫描现有的网络主节点及主机,清 守住自家门口,在本地网络边界上部署抗DDoS设备,在出口带宽未堵塞的情况下,尽可能处理掉非带宽占用型的DDoS攻击:如SYN Flood、HTTP GET、DNS攻击、慢速攻击等本地第一层DDoS防护 当攻击流量超过本地出口带宽和DDoS防护设备处理能力是,采用上游运营商或MSSP提供的云端清洗服务云端第二层DDoS防护 如果攻击的强度连上游运营商和MSSP也无法承受,必须考虑横向
26、多方合作,在各自的控制范围内抑制本网发出的攻击流量源端第三层DDoS防护防护DDoS的最佳实践本地第一层D D o S 防护守住自家门口,在本地网络边界上部署抗D常见DDoS防护DDoS防护各类防护方案特点分析01.防火墙&IPS抗D防火墙产品的抗D模块无法检测应用层攻击,并且受会话性能的影响无法应对大流量攻击清洗的需求。03.云清洗抗D服务节省硬件采购和部署成本,防护性能弹性大,但是服务费用高,清洗策略不可控,全部依赖第三方运营。02.CDN防护DDoSCDN防护是将攻击流量负载到多个节点,节点性能无法应对大流量攻击,并且攻击透传回源无法防护。04.专有的抗D设备专有的抗D设备部署在本地网络出口,满足各类DDoS攻击防护。但要与云清洗配合才能解决带宽拥塞场景下的DDoS防护。常见D D o S 防护D D o S 防护各类防护方案特点分析0 1.防火墙1 DDoS攻击的历史4 常见DDoS工具3 DDoS防护思路及防护算法2 DDoS攻击方式目录1 D D o S 攻击的历史4 常见D D o S 工具3 D D o SDoSendD o S e n dLOICL O I CTHC SSL DOST H C S S L D O SHulkH u l k谢谢!谢谢!祝您成功!知识回顾K n o w l e d g e R e v i e w 祝您成功!
