DDoS攻击原理及防护方法论

DDoS攻击原理及防护方法论(1)从07年的爱沙尼亚DDoS信息战，到今年广西南宁30个网吧遭受到DDoS勒索，再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈，攻击事件明显增多，攻击流量也明显增大，形势十分严峻，超过1G的攻击流量频频出现，CNCERT/CC掌握的数据表明，最高时达到了12G，这样流量，甚至连专业的机房都无法抵挡。更为严峻的是：利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链！并且，攻击者实施成本极低，在网上可以随便搜索到一大堆攻击脚本、工具工具，对攻击者的技术要求也越来越低。相反的是，专业抗DDoS设备的价格十分昂贵，而且对于攻击源的追查难度极大，防护成本远远大于攻击成本。本文将对DDoS攻击的原理做一个剖析，并提供一些解决方法。一.DDoS攻击什么是DDoS？DDoS是英文DistributedDenialofService的缩写，意即分布式拒绝服务,DDoS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。首先，我们来了解一下相关定义。服务：系统提供的，用户在对其使用中会受益的功能拒绝服务：任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。拒绝服务攻击：是指攻击者通过某种手段，有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低分布式拒绝服务攻击：处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。您所在的位置：首页网络安全专家专栏DDoS攻击原理及防护方法论(2)戴鹏飞51CTO.com我要评论(0)摘要：本文将对DDoS攻击的原理做一个剖析，并提供一些解决方法。标签：DDoS攻击原理防护Oracle帮您准确洞察各个物流环节二.数据包结构要了解DDoS的攻击原理，就要首先了解一下数据包的结构，才能知根知底，追本溯源。首先来回顾一下数据包的结构。2.1IP报文结构图2.2TCP报文结构图一个TCP报头的标识（codebits）字段包含6个标志位：SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接FIN：表示发送端已经没有数据要求传输了，希望释放连接。RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。PSH：如果置位，接收端应尽快把数据传送给应用层,不必等缓冲区满再发送。2.3UDP报文结构图2.4ICMP报文结构图图三.DDoS攻击方式3.1SYNFlood攻击SYN-Flood攻击是当前网络上最为常见的DDoS攻击，也是最为经典的拒绝服务攻击，它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现，但至今仍然显示出强大的生命力。很多操作系统，甚至防火墙、路由器都无法有效地防御这种攻击，而且由于它可以方便地伪造源地址，追查起来非常困难。它的数据包特征通常是，源发送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回复。3.1.1原理例如，攻击者首先伪造地址对服务器发起SYN请求（我可以建立连接吗？），服务器就会回应一个ACK+SYN（可以+请确认）。而真实的IP会认为，我没有发送请求，不作回应。服务器没有收到回应，会重试3-5次并且等待一个SYNTime（一般30秒-2分钟）后，丢弃这个连接。如果攻击者大量发送这种伪造源地址的SYN请求，服务器端将会消耗非常多的资源来处理这种半连接，保存遍历会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。最后的结果是服务器无暇理睬正常的连接请求—拒绝服务。在服务器上用netstat–an命令查看SYN_RECV状态的话，就可以看到：图如果我们抓包来看：图可以看到大量的SYN包没有ACK回应。3.1.2SYNFlood防护目前市面上有些防火墙具有SYNProxy功能，这种方法一般是定每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阀值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同安全区域（zone）中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。但是，这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈；RandomDrop：随机丢包的方式虽然可以减轻服务器的负载，但是正常连接的成功率也会降低很多；特征匹配：IPS上会常用的手段，在攻击发生的当时统计攻击报文的特征，定义特征库，例如过滤不带TCPOptions的syn包等；早期攻击工具（例如synkiller，xdos，hgod等）通常是发送64字节的TCPSYN报文，而主机操作系统在发起TCP连接请求时发送SYN报文是大于64字节的。因此可以在关键节点上设置策略过滤64字节的TCPSYN报文，某些宣传具有防护SYNFlood攻击的产品就是这么做的。随着工具的改进，发出的TCPSYN报文完全模拟常见的通用操作系统，并且IP头和TCP头的字段完全随机，这时就无法在设备上根据特定的规则来过滤攻击报文。这时就需要根据经验判断IP包头里TTL值不合理的数据包并阻断，但这种手工的方法成本高、效率低。图是某攻击工具属性设置。图SYNCookie：就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。但SYNCookie依赖于对方使用真实的IP地址，如果攻击者利用SOCK_RAW随机改写IP报文中的源地址，这个方法就没效果了。3.1.3商业产品的防护算法syncookie/synproxy类防护算法：这种算法对所有的syn包均主动回应，探测发起syn包的源IP地址是否真实存在；如果该IP地址真实存在，则该IP会回应防护设备的探测包，从而建立TCP连接；大多数的国内外抗拒绝服务产品采用此类算法。safereset算法：此算法对所有的syn包均主动回应，探测包特意构造错误的字段，真实存在的IP地址会发送rst包给防护设备，然后发起第2次连接，从而建立TCP连接；部分国外产品采用了这样的防护算法。syn重传算法：该算法利用了TCP/IP协议的重传特性，来自某个源IP的第一个syn包到达时被直接丢弃并记录状态，在该源IP的第2个syn包到达时进行验证，然后放行。综合防护算法：结合了以上算法的优点，并引入了IP信誉机制。当来自某个源IP的第一个syn包到达时，如果该IP的信誉值较高，则采用syncookie算法；而对于信誉值较低的源IP，则基于协议栈行为模式，如果syn包得到验证，则对该连接进入syncookie校验，一旦该IP的连接得到验证则提高其信誉值。有些设备还采用了表结构来存放协议栈行为模式特征值，大大减少了存储量。图如图所示，DDoS攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。这种攻击大多数是由黑客非法控制的电脑实施的。黑客非法控制一些电脑之后，把这些电脑转变为由地下网络远程控制的“bots”，然后用这些电脑实施DDoS攻击。黑客还以每台为单位，低价出租这些用于攻击的电脑，真正拥有这些电脑的主人并不知道自己的计算机已经被用来攻击别人。由于有数百万台电脑现在已经被黑客变成了“bots”，因此这种攻击将非常猛烈。被DDoS攻击时的现象：网络中充斥着大量的无用的数据包；制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求；严重时会造成系统死机。由于网络层的拒绝服务攻击有的利用了网络协议的漏洞，有的则抢占网络或者设备有限的处理能力，使得对拒绝服务攻击的防治成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备，在发生DDoS攻击的时候往往成为整个网络的瓶颈，造成全网的瘫痪。三.DDoS攻击方式3.1SYNFlood攻击SYN-Flood攻击是当前网络上最为常见的DDoS攻击，也是最为经典的拒绝服务攻击，它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现，但至今仍然显示出强大的生命力。很多操作系统，甚至防火墙、路由器都无法有效地防御这种攻击，而且由于它可以方便地伪造源地址，追查起来非常困难。它的数据包特征通常是，源发送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回复。3.1.1原理例如，攻击者首先伪造地址对服务器发起SYN请求（我可以建立连接吗？），服务器就会回应一个ACK+SYN（可以+请确认）。而真实的IP会认为，我没有发送请求，不作回应。服务器没有收到回应，会重试3-5次并且等待一个SYNTime（一般30秒-2分钟）后，丢弃这个连接。如果攻击者大量发送这种伪造源地址的SYN请求，服务器端将会消耗非常多的资源来处理这种半连接，保存遍历会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。最后的结果是服务器无暇理睬正常的连接请求—拒绝服务。在服务器上用netstat–an命令查看SYN_RECV状态的话，就可以看到：图如果我们抓包来看：图可以看到大量的SYN包没有ACK回应。3.1.2SYNFlood防护目前市面上有些防火墙具有SYNProxy功能，这种方法一般是定每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阀值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同安全区域（zone）中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。但是，这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈；RandomDrop：随机丢包的方式虽然可以减轻服务器的负载，但是正常连接的成功率也会降低很多；特征匹配：IPS上会常用的手段，在攻击发生的当时统计攻击报文的特征，定义特征库，例如过滤不带TCPOptions的syn包等；早期攻击工具（例如synkiller，xdos，hgod等）通常是发送64字节的TCPSYN报文，而主机操作系统在发起TCP连接请求时发送SYN报文是大于64字节的。因此可以在关键节点上设置策略过滤64字节的TCPSYN报文，某些宣传具有防护SYNFlood攻击的产品就是这么做的。随着工具的改进，发出的TCPSYN报文完全模拟常见的通用操作系统，并且IP头和TCP头的字段完全随机，这时就无法在设备上根据特定的规则来过滤攻击报文。这时就需要根据经验判断IP包头里TTL值不合理的数据包并阻断，但这种手