DDoS攻击原理及防护.ppt

DDOS攻击与防范绿盟科技￿￿1￿￿DDoS攻击的历史4￿￿常见DDoS工具3￿￿DDoS防护思路及防护算法2￿￿DDoS攻击方式目录DDoS攻击历史01探索期探索期020304工具化工具化武器化武器化普及化普及化DDoS攻击历史事件事件￿：第一次拒：第一次拒绝服服务攻攻击（（Panic￿attack））时间：：1996年年后果：至少后果：至少6000名用名用户无法接受无法接受邮件件探索期---个人黑客的攻击事件事件￿：第一次分布式拒：第一次分布式拒绝服服务攻攻击（（Trinoo））时间：：1999年年后果：后果：连续多天的服多天的服务终止止探索期---个人黑客的攻击工具化---有组织攻击事件事件￿：燕子行：燕子行动时间：：2012年年后果：大部分美国金融机构的在后果：大部分美国金融机构的银行行业务遭到攻遭到攻击工具化---有组织攻击事件事件￿：史上最大：史上最大规模的模的DDoS时间：：2013年年后果：后果：300Gbit/s的攻的攻击流量流量武器化---网络战事件事件￿：：爱沙尼沙尼亚战争争时间：：2007年年后果：一个国家从互后果：一个国家从互联网上消失网上消失武器化---网络战事件事件￿：格：格鲁吉吉亚战争争时间：：2008年年后果：格后果：格鲁吉吉亚网网络全面全面瘫痪武器化---网络战事件事件￿：：韩国网站遭受攻国网站遭受攻击时间：：2009年年~至今至今后果：攻后果：攻击持持续进行行事件事件￿:￿匿名者挑匿名者挑战山达基教会山达基教会时间：：2008年年后果：后果：LOIC的大范的大范围使用使用普及化---黑客行动主义事件事件￿:￿海康威海康威视后后门时间：：2014年年后果：后果：DNS大面大面积不能解析不能解析普及化---黑客行动主义DNSPOD“5·19”断网事件 —— 背景ISP.net.orgroot缓存服务器解析服务器根域服根域服务务器器顶级顶级域服域服务务器器授授权权域服域服务务器器电信运营商客户端“5·19”断网事件 —— 前奏ISP.net.orgroot缓存服务器解析服务器根域服根域服务务器器顶级顶级域服域服务务器器授授权权域服域服务务器器电信运营商DNSPOD5 月 18 日 DNSPOD 遭拒绝服务攻击，主站无法访问10G10G客户端“5·19”断网事件 —— 断网.orgroot客户端根域服根域服务务器器顶级顶级域服域服务务器器授授权权域服域服务务器器电信运营商DNSPOD5 月 19 日 DNSPOD 更大流量拒绝服务攻击，整体瘫痪10G10Gcom缓缓存存存存过过期期期期超超超超时时重重重重试试大量大量大量大量 DNSDNS查询查询ISP缓存服务器解析服务器DDOS形势---智能设备发起的DDoS攻击增多DDoS攻击的动机•技术炫耀、报复心理–针对系统漏洞–捣乱行为•商业利益驱使–不正当竞争间接获利–商业敲诈•政治因素–名族主义–意识形态差别DDOS攻击地下产业化直接发展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后 – 原始的经济驱动力 ToolkitDeveloperMalware￿DeveloperVirusSpyware工具滥用者-“市场与销售”？Building￿BotnetsBotnets:Rent￿/￿Sale￿/￿Blackmail￿Information￿theftSensitive￿information￿leakage￿真正的攻击者-“用户与合作者”？DDoSSpammingPhishingIdentity￿theft最终价值TrojanSocial￿engineeringDirect￿Attack工具编写者-“研发人员”？Worm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈魔高一尺，道高一丈2015年全年DDoS攻击数量为179,298次，平均20+次/小时。

•1. DDoS攻击峰值流量将再创新高；•2. 反射式DDoS攻击技术会继续演进；•3. DNS服务将迎来更多的DDoS攻击；•4. 针对行业的DDoS攻击将持续存在预测未来 1￿￿DDoS攻击的历史4￿￿常见DDoS工具3￿￿DDoS防护思路及防护算法2￿￿DDoS攻击方式目录DDoS攻击本质•利用木桶原理，寻找并利用系统应用的瓶颈•阻塞和耗尽•当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板DDoS基本常识DDoS基本常识DDoS防御基本常识什么是DDoSDDoS攻击分类（流量特性）DDoS攻击分类（攻击方式）连接耗尽型---SYN FloodSYN （我可以（我可以连接接吗？）？）ACK （可以）（可以）/SYN（（请确确认！）！）ACK （确（确认连接）接）发起方起方应答方答方正常的三次握手正常的三次握手过程程SYN （我可以（我可以连接接吗？）？）ACK （可以）（可以）/SYN（（请确确认！）！）攻攻击者者受害者受害者伪造地址造地址进行行SYN 请求求为何何还没没回回应就是就是让你白等你白等不能建立正常的不能建立正常的连接！接！SYN Flood 攻攻击原理原理•SYN_RECV￿状态•半开连接队列–遍历，消耗CPU和内存–SYN|ACK￿￿重试–SYN￿Timeout：30秒~2分钟•无暇理睬正常的连接请求，造成拒绝服务危害危害我没发过请求•如果一个系统（或主机）负荷突然升高甚至失去响应，使用Netstat命令能看到大量SYN_RCVD的半连接（数量>500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了Synflood攻击。

SYN Flood侦察SYN攻击包样本SYN Flood程序实现连接耗尽型---Connection Flood正常tcp connect攻击者受害者大量tcp connect这么多？不能建立正常的连接正常tcp connect正常用户正常tcp connect攻攻击表象表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect•利用真实￿IP￿地址（代理服务器、广告页面）在服务器上建立大量连接•服 务 器 上 残 余 连 接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应•蠕虫传播过程中会出现大量源IP地址相同的包，对于￿TCP￿蠕虫则表现为大范围扫描行为•消耗骨干设备的资源，如防火墙的连接数Connection Flood 攻攻击原理原理Connection Flood攻击报文 在受攻击的服务器上使用netstat –an来看：带宽耗尽型---ICMP Flood•针对同一目标IP的ICMP包在一侧大量出现•内容和大小都比较固定ICMP （request 包）攻击者受害者攻击ICMP Flood 攻击原理攻击原理攻击表象攻击表象正常tcp connectICMP （request 包）ICMP （request 包）ICMP （request 包）ICMP （request 包）ICMP （request 包）ICMP （request 包）ICMP （request 包）ICMP Flood攻击报文带宽耗尽型---UDP Flood•大量UDP冲击服务器•受害者带宽消耗•UDP Flood流量不仅仅影响服务器，还会对整个传输链路造成阻塞•对于需要维持会话表的网络设备，比如防火墙，IPS，负载均衡器等具备非常严重的杀伤力UDP （非业务数据）攻击者受害者网卡出口堵塞，收不了数据包了占用带宽UDP Flood 攻击原理攻击表象丢弃UDP （大包/负载）带宽耗尽型—反射攻击攻击者攻击者被攻击者被攻击者放大网络放大网络放大网络放大网络v 源源IP=被攻击者的被攻击者的IPICMP请求（求（smurf））DNS请求求SYN请求（求（land））NTP请求求SNMP请求求DoS攻击•采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常主机的回应报文达到攻击受害者的目的。

Smurf, DNS反射攻击等•攻击者既需要掌握Botnet，也需要准备大量的存活跳板机，比如开放DNS服务器•反射攻击会有流量放大的效应，制造出的大流量攻击非常难以防御反射攻反射攻击原理原理放大反射倍数700倍1、NTP放大反射放大反射25倍2、SNMP放大反射放大反射10倍3、DNS放大反射放大反射应用资源攻击---DNS Query Floodl字符串匹配查找是 DNS 服务器的主要负载l一台 DNS 服务器所能承受的递归动态域名查询的上限是每秒钟50000个请求l一台家用PC主机可以很轻易地发出每秒几万个请求lDNS是互联网的核心设备，一旦DNS服务器被攻击，影响极大l运营商城域网DNS服务器被攻击越来越频繁DNS Query Flood 危害性危害性攻攻击手段手段lSpoof IP 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应l蠕虫扩散带来的大量域名解析请求l利用城域网 DNS服务器作为Botnet发起攻击DNS报文样本 应用资源攻击---HTTP Flood/CC攻击攻击者受害者(Web Server)正常HTTP Get请求不能建立正常的连接正常HTTP Get Flood正常用户正常HTTP Get Flood攻击表象攻击表象•利用代理服务器向受害者发起大量HTTP Get请求•主要请求动态页面，涉及到数据库访问操作•数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB连接池用完啦！！DB连接池占用占用占用HTTP Get Flood 攻击原理攻击原理1￿￿DDoS攻击的历史4￿￿常见DDoS工具3￿￿DDoS防护思路及防护算法2￿￿DDoS攻击方式目录ADS流量清洗工作原理企业用户企业用户流量限速IPIP合法性合法性检查检查源、目的地址检查/验证流量清洗中心流量清洗中心交付已过滤的内容Internet城域网特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗协议栈行为协议栈行为模式分析模式分析协议合法性检查特定应用特定应用防护防护　四到七层特定攻击防护用户行为用户行为模式分析模式分析用户行为异常检查和处理动态指纹动态指纹识别识别检查和生成攻击指纹并匹配攻击数据流量限速流量限速未知可疑流量限速SYN Flood 防护方法lRandom Drop：–随机丢包的方式虽然可以减轻服务器的负载，但是正常连接成功率也会降低很多l 特征匹配：–在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带TCP Options 的SYN 包等。

如果攻击包完全随机生成则无能为力lSYN Cookie ：–可以避免由于SYN攻击造成的TCP传输控制模块TCB资源耗尽，将有连接的TCP握手变成了无连接模式，减轻了被攻击者的压力，但是SYN Cookie校验也是耗费性能的lSYN Proxy ：–完美解决SYN攻击的算法，但是非常耗费设备性能，在非对称网络不适用synsyn/ack(Cookie)ackClientServerSyn’syn/ack’ack’ack1ack2分配TCB资源代理后续报文TCP Connection Flood 攻击与防护•使用Proxy或者Botnet，向服务器某个应用端口（如80）建立大量的TCP连接•建立连接后，模拟正常应用的数据包以便长时间占用连接•通常一个应用服务都有连接数上限，当达到这个上限时，正常的客户端就无法再连接成功TCP Connection Flood 攻攻击受害者TCP Connection•限制单个IP地址的连接数量•对于Botnet目前没有太好的方法去防护TCP Connection Flood 防防护DDoS攻击防护思路防护DDoS的最佳实践常见DDoS防护DDoS防防护各类防护方案特点分析01.防火防火墙&IPS抗抗D防火墙产品的抗D模块无法检测应用层攻击，并且受会话性能的影响无法应对大流量攻击清洗的需求。

03.云清洗抗云清洗抗D服服务节省硬件采购和部署成本，防护性能弹性大，但是服务费用高，清洗策略不可控，全部依赖第三方运营02.CDN防防护DDoSCDN防护是将攻击流量负载到多个节点，节点性能无法应对大流量攻击，并且攻击透传回源无法防护04.专有的抗有的抗D设备专有的抗D设备部署在本地网络出口，满足各类DDoS攻击防护但要与云清洗配合才能解决带宽拥塞场景下的DDoS防护1￿￿DDoS攻击的历史4￿￿常见DDoS工具3￿￿DDoS防护思路及防护算法2￿￿DDoS攻击方式目录DoSendLOICTHC SSL DOSHulk谢谢！。