拒绝服务攻击

绿盟科技©2011绿盟科技拒绝服务攻击1脆弱的互联网3常见拒绝服务攻击行为2拒绝服务攻击基础知识4如何组织大规模的拒绝服务攻击5拒绝服务攻击检测和防御脆弱的互联网DDoS攻击变得越来越普遍•有意识的攻击–Yahoo、ebay等网站被拒绝服务攻击，累计损失12亿美元–2001年CERT被拒绝服务攻击–2002年Microsoft被DDoS攻击，造成约5000万美元损失–2002年CNNIC被拒绝服务攻击–2003年全球13台根DNS中有8台被大规模拒绝服务–有组织、有预谋的涉及金钱利益的拒绝攻击出现DDoS攻击发展趋势行为特征攻击规模承载协议•目标–网站-〉网络基础设施（路由器/交换机/DNS等）•流量–从几兆-〉几十兆-〉1G甚至更高–10Kpps--〉100Kpps-〉1Mpps•技术–真实IP地址-〉IP欺骗技术–单一攻击源-〉多个攻击源–简单协议承载-〉复杂协议承载–智能化，试图绕过IDS或FW•形式–DRDoS/ACKFlood–ZombieNet/BOTNET–ProxyConnectionFlood–DNSFlood拒绝服务攻击基础知识什么是DDoS•DDoS概念（DistributedDenialofService）–服务（Service）•系统提供从而为用户服务的功能–拒绝服务（DenialofService）•任何对服务的干扰从而使其可用性降低乃至失去可用性的行为•TCP/IP协议栈的无偏差传送数据的特性为拒绝服务提供了可能性•如何找到并且利用系统瓶颈成为了关键（木桶原理）–分布式拒绝服务攻击（DistributedDenialofService）•一个或多个攻击者控制处于不同位置的多台机器同时对攻击者实施攻击行为拒绝服务攻击现象•拒绝服务攻击可能出现在从物理层至应用层中的任意一层攻击者正常用户受害者设备损坏、服务中止、资源消耗物理破坏僵尸网络傀儡机无法正常访问常见拒绝服务攻击行为•WinNuke•碎片攻击•Land攻击•PingofDeath堆栈突破型（利用主机/设备漏洞）•SYNFlood•ACKFlood•ICMPFlood•UDPDNSQueryFlood•ConnectionFloodHTTPGetFlood资源消耗型（利用网络通讯协议）攻击类型划分•垃圾邮件、病毒邮件•DNSFlood应用层•Syn-Flood、ICMPFlood•伪造网络层•ARP伪造报文链路层•直接线路破坏•电磁干扰物理层攻击类型划分（Cont）DirectDDoSAttack控制主机From:Xi(spoofed)To:VictimV…attackpacketFrom:Xi(spoofed)To:AgentAi…controlpacketFrom:攻击者To:控制主机…controlpacketBot攻击者受害者amplificationnetworkReflectorsRiReflectorDDoSAttack（DRDoS）BotFrom:V(spoofed)To:ReflectorRi…attacktriggerpacketFrom:Xi(spoofed)To:AgentAi…controlpacketFrom:Xi(spoofed)To:MasterMi…controlpacketFrom:RiTo:VictimV…attackpacket控制主机Note:ReflectorsareNOTcompromised.Theysimplyanswerrequests.欺骗攻击者受害者DDoS攻击步骤攻击者受害者Step1获取目标信息僵尸网络WhoisNslookupGoogleTracerouteScanStep2占领傀儡主机溢出提权注入攻击蠕虫购买Bot雇用BotnetStep3发起攻击堆栈破坏SYN-FloodCC…………受害者WinNuke攻击攻击者攻击原理•利用漏洞–Windows系统TCP/IPOOB带外紧急数据拒绝服务攻击漏洞•影响系统–WindowsNT3.5–Windows95•攻击效果–攻击端口通常为139–被攻击服务器蓝屏•变种攻击–WinNuke2–Pnuke•防护方法–防火墙过滤–打补丁URG=1碎片攻击（TearDrop）攻击原理•利用漏洞–Windows/Linux系统内核碎片重组远程拒绝服务攻击漏洞•影响系统–Linux（1.x-2.0x）–WindowsNT/95•攻击效果–堆栈损坏–系统挂起•攻击工具–TearDrop、Bonk•防护方法–防火墙过滤–打补丁碎片攻击（TearDrop）150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=120150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=80X=(偏移2+包长2)-包长1=?重组重组XX碎片攻击（PingofDeath）攻击原理•利用漏洞–路由器、操作系统的ICMPBug•影响系统–某些路由器–WindowsNT/95•攻击效果–内存分配错误–TCP/IP堆栈崩溃•攻击工具–Ssping、jolt、IceNewk等•防护方法–防火墙过滤–系统升级Land攻击受害者攻击者跟自己建立连接？攻击原理•利用漏洞–系统对具有相同的目的和源IP以及SYN标致设置的IP包不适当的处理。•影响系统–WindowsXPSP2–WindowsServer2003–Unix•攻击效果–15-30秒的DoS–explorer僵死–CPU使用率达到100%•攻击工具–LaTierra.c、land5.exe•防护方法–打补丁LAND攻击SrcIP=DetIPSrcPort=DetPort循环攻击受害者A攻击者受害者B冒充A向B发送一个UDPEcho请求怎么这么多A的UDP包？怎么这么多B的UDP包？建立了一个无限的连接攻击原理•利用漏洞•影响系统•攻击效果–产生大量无用包–阻塞带宽•攻击工具–LaTierra.c、land5.exe•防护方法–过滤特定的包–关闭不需要的服务，如UDPChargen、UDPEcho、Time、Daytime等SYN-Flood攻击我没发过请求•SYN_RECV状态•半开连接队列–遍历，消耗CPU和内存–SYN|ACK重试–SYNTimeout：30秒~2分钟•无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！攻击表象SYN-Flood攻击•伪造地址进行SYN请求，产生半开连接•服务器消耗大量的资源（内存为主）维护半开连接表•表现为netstat–an看到大量的SYN_RECV（500或总连接数的10％）•大多数的服务器在20Mbps/4wpps情况下基本瘫痪ACK-Flood•大量ACK冲击服务器•受害者资源消耗–查表–回应ACK/RST•ACKFlood流量要较大才会对服务器造成影响ACK（你得查查我连过你没）攻击者受害者查查看表内有没有你就慢慢查吧ACKFlood攻击原理攻击表象ACK/RST（我没有连过你呀）Connection-Flood攻击攻击者受害者大量tcpconnect这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect•利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接•服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应•蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为•消耗骨干设备的资源，如防火墙的连接数HTTPGetFlood攻击者受害者(WebServer)正常HTTPGet请求正常HTTPGetFlood正常用户攻击表象•利用代理服务器向受害者发起大量HTTPGet请求•主要请求动态页面，涉及到数据库访问操作•数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用反射攻击-Smurf攻击攻击者受害者伪造受害者的源地址发送ICMPECHO到广播地址攻击表象•在局域网中的攻击手段，它的作用原理是基于广播地址与回应请求。•防御方法：在路由器上进行设置，在收到定向广播数据包时将其丢弃。internetDNSDDoS拒绝服务攻击检测和防御拒绝服务攻击的现象•异常现象1：–出现明显超出正常工作时的极限通信流量。拒绝服务攻击的现象•异常现象2–netstat–na，观察到大量的SYN_RECEIVED的连接状态。–Snnifer抓包发现存在大量的SYN-ACK数据包。拒绝服务攻击的现象•异常现象3：–网络中出现特大型的ICMP和UDP数据包。拒绝服务攻击的现象•异常现象4：–服务器负载很高–链接数据库失败–通过“Netstat–es”查看，服务器的建立连接数超过正常水平。连接状态(netstat–an)出现较多的TIME_WAIT。拒绝服务攻击的现象•异常现象5：–数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。TFN2K发送的控制信息数据包就是这种类型的数据包。拒绝服务攻击的现象•异常现象6–检测到大量的ICMP不可达消息，这是因为攻击者利用伪造的数据包对你的网络进行攻击，而你的系统响应这些伪造数据包后，哪些作为相应的数据包无法送达目的。（可能是攻击者伪造了没有主机或者主机没有活动的IP地址）常见的检测方式•基于SNMP的流量监控系统•基于Netflow的流量分析系统•基于SPAN的流量分析系统•用户申告监控手段对比监控手段优点缺点SNMP易于部署准确了解流量情况只能了解攻击规模缺乏细节，难于有针对性地处理NetFlow可发现流量细节技术相对成熟有现成的产品对网络设备性能有影响对复杂的应用缺乏分析能力Sniffer能够看到最详细的数据包部署困难、存在性能瓶颈对分析人员能力要求高用户申告了解最终用户的感觉难于获得技术信息被动处理，时效性差成为用户的出气筒Netflow源设备统计查询结果输出Flow收集器Flow分析器Netflow工作架构常见传统缓解攻击的方法•轮询，负载均衡，Cache•路由器•系统加固（IIS，Apache）•SynCookie技术•借助安全设备Linux＋Apache网络参数调整：/etc/sysctl.conf•#增加连接数：net.ipv4.tcp_max_syn_backlog=2048•#检查syncookies值：net.ipv4.tcp_syncookies=1•#减少重新连接次数：net.ipv4.tcp_synack_retries=2•#发送keepalive消息间隔时间修改：net.ipv4.tcp_keepalive_time=300•#会话结束等待时间修改：net.ipv4.tcp_fin_timeout=20•#TCP检测连接中断的数量修改：net.ipv4.tcp_keepalive_probes=4•#把不符合rfc1377文档的包丢弃：net.ipv4.tcp_rfc1337=1•#加快接收客户端的连接速度：net.ipv4.tcp_abort_on_overflow=1•/sbin/sysctl-p•/sbin/sysctl-wnet.ipv4.route.flush=1Linux＋ApacheApache参数调整：httpd.conf•KeepAliveOn•MaxKeepAliveRequests1000•KeepAliveTimeout3•MinSpareServers8•MaxSpareServers13•MaxRequestsPerChild50Windows＋IIS[HKEY_LOCAL_MACHINE\SY