DDoS攻击原理及防护

©2016绿盟科技攻击历史事件：第一次拒绝服务攻击（Panicattack）时间：1996年后果：至少6000名用户无法接受邮件探索期---个人黑客的攻击事件：第一次分布式拒绝服务攻击（Trinoo）时间：1999年后果：连续多天的服务终止探索期---个人黑客的攻击工具化---有组织攻击事件：燕子行动时间：2012年后果：大部分美国金融机构的在线银行业务遭到攻击工具化---有组织攻击事件：史上最大规模的DDoS时间：2013年后果：300Gbit/s的攻击流量武器化---网络战事件：爱沙尼亚战争时间：2007年后果：一个国家从互联网上消失武器化---网络战事件：格鲁吉亚战争时间：2008年后果：格鲁吉亚网络全面瘫痪武器化---网络战事件：韩国网站遭受攻击时间：2009年~至今后果：攻击持续进行事件:匿名者挑战山达基教会时间：2008年后果：LOIC的大范围使用普及化---黑客行动主义事件:海康威视后门时间：2014年后果：DNS大面积不能解析普及化---黑客行动主义DNSPOD“5·19”断网事件——背景.com.baofeng.comlive.baofeng.comISP.net.orgroot缓存服务器解析服务器根域服务器顶级域服务器授权域服务器电信运营商active.baofeng.comdownload.baofeng.com.verycd.com.4399.com客户端“5·19”断网事件——前奏.com.baofeng.comlive.baofeng.comISP.net.orgroot缓存服务器解析服务器根域服务器顶级域服务器授权域服务器电信运营商DNSPODactive.baofeng.comdownload.baofeng.com.verycd.com.4399.com5月18日DNSPOD遭拒绝服务攻击，主站无法访问10G客户端“5·19”断网事件——断网.com.baofeng.comlive.baofeng.com.net.orgroot客户端根域服务器顶级域服务器授权域服务器电信运营商DNSPODactive.baofeng.comdownload.baofeng.com.verycd.com.4399.com5月19日DNSPOD更大流量拒绝服务攻击，整体瘫痪10Gbaofeng.com缓存过期超时重试大量DNS查询ISP缓存服务器解析服务器DDOS形势---智能设备发起的DDoS攻击增多DDoS攻击的动机•技术炫耀、报复心理–针对系统漏洞–捣乱行为•商业利益驱使–不正当竞争间接获利–商业敲诈•政治因素–名族主义–意识形态差别DDOS攻击地下产业化制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后–原始的经济驱动力ToolkitDeveloperMalwareDeveloperVirusSpyware工具滥用者-“市场与销售”？BuildingBotnetsBotnets:Rent/Sale/BlackmailInformationtheftSensitiveinformationleakage真正的攻击者-“用户与合作者”？DDoSSpammingPhishingIdentitytheft最终价值TrojanSocialengineeringDirectAttack工具编写者-“研发人员”？Worm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈魔高一尺，道高一丈2015年全年DDoS攻击数量为179,298次，平均20+次/小时。•1.DDoS攻击峰值流量将再创新高；•2.反射式DDoS攻击技术会继续演进；•3.DNS服务将迎来更多的DDoS攻击；•4.针对行业的DDoS攻击将持续存在。预测未来1DDoS攻击的历史4常见DDoS工具3DDoS防护思路及防护算法2DDoS攻击方式目录DDoS攻击本质•利用木桶原理，寻找并利用系统应用的瓶颈•阻塞和耗尽•当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板•好比减肥药，一直在治疗，从未见疗效•真正海量的DDoS可以直接阻塞互联网不要以为可以防住真正的DDoS•如果没被DDoS过，说明确实没啥值得攻击的•DDoS是攻击者的资源，这个资源不是拿来乱用的DDoS攻击只针对有意义的目标•无效的攻击持续的时间越久，被追踪反查的概率越大•被消灭掉一个C&C服务器，相当于被打掉了一个Botnet如果攻击没有效果，持续的时间不会很长DDoS基本常识•闷声发大财，显得挣钱不容易•很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS低调行事，被攻击者盯上的概率小•成功的DDoS伴随着攻击者对攻击目标的深入调研•利用漏洞，应用脆弱点，一击定乾坤能防住的攻击通常简单，简单的未必防得住•防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段•小股多段脉冲攻击试探，海量流量一举攻瘫攻击是动态的过程，攻防双方都需要不断调整DDoS基本常识•DDoS是典型的事件触发型市场•应急，演练，预案在遭受攻击之前，很少受重视安全服务总是在攻击防不住的时候才被想起来•攻击者会选择最合适的时间，比如某个业务盛大上线那一刻•我防住家门口，他堵住你上游，上游防护比下游效果好•对于安全事件，需要有安全组织，安全人员，安全制度DDoS防护也是讲天时、地利、人和的•免费攻击工具的普及降低了门槛，也使得很多攻击非常业余攻击成本的降低，导致了攻击水平的降低DDoS防御基本常识•传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的，数百万计受感染机器在用户不知情中参与攻击方式•路由器，交换机，防火墙，Web服务器，应用服务器，DNS服务器，邮件服务器，甚至数据中心目标•直接导致攻击目标CPU高，内存满，应用忙，系统瘫，带宽拥堵，转发困难，并发耗尽等等，结果是网络应用甚至基础设施不可用后果什么是DDoS•以力取胜，拥塞链路，典型代表为ICMPFlood和UDPFlood1、流量D；2、流速D•以巧取胜，攻击于无形，每隔几十秒发一个包甚至只要发一个包，就可以让业务服务器不再响应。此类攻击主要是利用协议或应用软件的漏洞发起，例如匿名组织的Slowloris攻击3、慢速D；4、漏洞D•混合类型，既利用了系统和协议的缺陷，又具备了高速的并发和海量的流量，例如SYNFlood攻击、HTTPFlood、DNSQueryFlood攻击，是当前最主流的攻击方式5、并发D；6、请求DDDoS攻击分类（流量特性）•包括SYNFlood，连接数攻击等连接耗尽型•包括AckFlood,UDPFlood,ICMPFlood,分片攻击等带宽耗尽型•包括HTTPGetFlood,CC,HTTPPost慢速攻击，DNSFlood，以及针对各种游戏和数据库的攻击方式应用层攻击DDoS攻击分类（攻击方式）连接耗尽型---SYNFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手过程SYN（我可以连接吗？）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理•SYN_RECV状态•半开连接队列–遍历，消耗CPU和内存–SYN|ACK重试–SYNTimeout：30秒~2分钟•无暇理睬正常的连接请求，造成拒绝服务危害我没发过请求•如果一个系统（或主机）负荷突然升高甚至失去响应，使用Netstat命令能看到大量SYN_RCVD的半连接（数量500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了Synflood攻击。SYNFlood侦察SYN攻击包样本SYNFlood程序实现连接耗尽型---ConnectionFlood正常tcpconnect攻击者受害者大量tcpconnect这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect•利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接•服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应•蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为•消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理ConnectionFlood攻击报文在受攻击的服务器上使用netstat–an来看：带宽耗尽型---ICMPFlood•针对同一目标IP的ICMP包在一侧大量出现•内容和大小都比较固定ICMP（request包）攻击者受害者攻击ICMPFlood攻击原理攻击表象正常tcpconnectICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMPFlood攻击报文带宽耗尽型---UDPFlood•大量UDP冲击服务器•受害者带宽消耗•UDPFlood流量不仅仅影响服务器，还会对整个传输链路造成阻塞•对于需要维持会话表的网络设备，比如防火墙，IPS，负载均衡器等具备非常严重的杀伤力UDP（非业务数据）攻击者受害者网卡出口堵塞，收不了数据包了占用带宽UDPFlood攻击原理攻击表象UDP（大包/负载）带宽耗尽型—反射攻击攻击者被攻击者放大网络源IP=被攻击者的IPICMP请求（smurf）DNS请求SYN请求（land）NTP请求SNMP请求DoS攻击•采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常主机的回应报文达到攻击受害者的目的。Smurf,DNS反射攻击等•攻击者既需要掌握Botnet，也需要准备大量的存活跳板机，比如开放DNS服务器•反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御反射攻击原理放大反射倍数700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射应用资源攻击---DNSQueryFlood字符串匹配查找是DNS服务器的主要负载。一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟50000个请求。一台家用PC主机可以很轻易地发出每秒几万个请求。DNS是互联网的核心设备，一旦DNS服务器被攻击，影响极大。运营商城域网DNS服务器被攻击越来越频繁DNSQueryFlood危害性攻击手段SpoofIP随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应。蠕虫扩散带来的大量域名解析请求。利用城域网DNS服务器作为Botnet发起攻击DNS报文样本应用资源攻击---HTTPFlood/CC攻击攻击者受害者(WebServer)正常HTTPGet请求正常HTTPGetFlood正常用户攻击表象•利用代理服务器向受害者发起大量HTTPGet请求•主要请求动态页面，涉及到数据库访问操作•数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理1DDoS攻击的历史4常见DDoS工具3DDoS防护思路及防护算法2DDoS攻击方式目录ADS流量清洗工作原理企业用户流量限速IP合法性检查源、目的地址检查/验证流量清洗中