《DOS攻击与防护》由会员分享,可在线阅读,更多相关《DOS攻击与防护(60页珍藏版)》请在金锄头文库上搜索。
1、 2013 绿盟科技 DOS攻击与防护 目录 2 知己知彼DOS攻击详解与防护 1 简单探索DOS的分类和简介 3 居家旅行必备抓包分析 简单探索DOS分类和简介 DOS攻击和防护 DOS攻击在众多的网络攻击技术中是一种简单有效并 且具有很大危害性的攻击方法 目的特点: 通过各种手段消耗网络带宽和系统资源 攻击系统缺陷,使正常系统的正常服务陷于瘫痪状态 DDOS攻击是基于DOS攻击的一种特殊形式 攻击者将多台受控制的计算机联合起来向目标计算机 发起DOS攻击 特点 大规模协作的攻击方式 对象 比较大的商业站点,具有较大的破坏性 DDoS 类型的划分 应用层 垃圾邮件、病毒邮件 DNS Floo
2、d 网络层 SYN Flood、ICMP Flood 伪造 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰 攻击类型划分II 堆栈突破型(利用主机/设备漏洞) 远程溢出拒绝服务攻击 网络流量型(利用网络通讯协议) SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood 攻击类型划分I 我没发 过请求 DDoS攻击介绍SYN Flood SYN_RECV状态 半开连接队列 遍历,消耗CPU 和内存 SYN|ACK 重试 SYN Timeout: 30秒2分钟
3、 无暇理睬正常的连接请求 拒绝服务 SYN (我可以连接吗?) ACK (可以)/SYN(请确认!) 攻击者 受害者 伪造地址进行SYN 请求 为何还 没回应 就是让 你白等 不能建立正常的连接! SYN Flood 攻击原理攻击表象 DDoS攻击介绍ACK Flood 大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACK Flood流量要较大才会 对服务器造成影响 ACK (你得查查我连过你没) 攻击者 受害者 查查看表 内有没有 你就慢 慢查吧 ACK Flood 攻击原理 攻击表象 ACK/RST(我没有连过你呀) 攻击者 受害者 大量tcp connect 这么多?
4、不能建立正常的连接 DDoS攻击介绍Connection Flood 正常tcp connect 正常用户 正常tcp connect 攻击表象 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 利用真实 IP 地址(代理服 务器、广告页面)在服务器 上建立大量连接 服务器上残余连接(WAIT状 态)过多,效率降低,甚至 资源耗尽,无法响应 蠕虫传播过程中会出现大 量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫 描行为 消耗骨干设备的资源,如 防火墙的连接数 Connection Flood 攻击原理 攻击者 受害者(We
5、b Server) 正常HTTP Get请求 不能建立正常的连接 DDoS攻击介绍HTTP Get Flood 正常HTTP Get Flood 正常用户 正常HTTP Get Flood 攻击表象 利用代理服务器向受害者发 起大量HTTP Get请求 主要请求动态页面,涉及到 数据库访问操作 数据库负载以及数据库连接 池负载极高,无法响应正常 请求 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 正常HTTP Get Flood 受害者(DB Server) DB连接池 用完啦! DB连接池 占 用 占
6、用 占 用 HTTP Get Flood 攻击原理 知己知彼DOS攻击详解与防护 TCP数据包格式 客户端向服务器发送包含初始序 列值的数据段,开启通信会话 TCP/IP三次握手 服务器发送包含确认值的数据 段,其值等于收到的序列值加1 ,并加上其自身的同步序列值 。该值比序列号大 1,因为 ACK 总是下一个预期字节或二 进制八位数。通过此确认值, 客户端可以将响应和上一次发 送到服务器的数据段联接起来 TCP/IP三次握手 发送带确认值的客户端响应 ,其值等于接受的序列值 加1 TCP/IP三次握手 SYN Flood TCP客户端 客户端端口 (103465535) TCP服务器端 服务
7、器端口 (11023熟知端 口) SYN ACK SYN/ACK 1 2 3 . . . SYN SYN Cookie/SYN Proxy防护 syn syn/ack ack Client Server ADS Syn syn/ack ack ack1 ack2 SynCookie 存在的问题 代理的性能 反向探测量数量=攻击包数量,上行 带宽堵死 Safereset防护 syn syn/ack(特殊的) Reset Client ServerADS Syn syn/ack ack ack1 加入信任 客户端再次自动发起 SYN的时间3-6秒 ACK Flood 发送大量的 ACK 包冲击设备
8、 服务器回应 ACK/RST 包,消耗资 源 正常连接ack包承载数据传输,容 易误判 带宽阻塞 连接建立 TCP客户端 TCP服务器端 数据 DATA ACK 1 2 数据传输 ACK-FLood普通算法 ack Client ServerADS 断开连接 syn SYN防御算法 l存在的问题 -会话中断1次 Syn syn/ack ack ack1 ACK-FLood高级防御算法 ack Client ServerADS 加入信任 ack1 进入防御状态 查无此人 syn SYN防御算法 l存在的问题 -攻击开始后启用无效 -必须攻击开始前进行学习 ACK-FLood攻击 Client 具
9、备信任 ack TCP客户端 UDP Flood TCP服务器端UDP1 IP:随机 流量:大 包:小包 UDP,无连接状态的防御 1、限速 2、报文内容特征-模式匹配 3、IP特征ACL 4、随机丢包 ICMP Flood 的攻击原理和ACK Flood原理类似,属 于流量型的攻击方式,也是利用大的流量给服务器 带来较大的负载,影响服务器的正常服务。由于目 前很多防火墙直接过滤ICMP报文,因此ICMP Flood 出现的频度较低。 防护:其防御也很简单,直接过滤ICMP报文。 ICMP Flood 连接耗尽攻击 TCP客户端 客户端端口 (103465535) TCP服务器端 服务器端口
10、(11023) ESTABLISHED ESTABLISHED ESTABLISHED Time:long long long . . . 连接耗尽防护 1、限制每一个源IP的连接数量,对肉鸡群无效 2、对恶意连接的IP进行封禁。 3、主动清除残余连接。 4、可以对特定的URL进行防护。 HTTP GET Flood TCP客户端 客户端端口 (103465535) TCP服务器端 调用数据库页面 ESTABLISHED ESTABLISHED ESTABLISHED . . . MSSQL MYSQL ORACLE 肉鸡Http get可三次握手 代理服务器发起 图形验证码防护 脚本解析防护
11、 智力型 名称描述防御 Slowloris 极低的速录往服务器发送HTTP请求。由于 Web Server对于并发的连接数都有一定的 上限,因此若是恶意地占用住这些连接不 释放,那么Web Server的所有连接都将被 恶意连接占用,从而无法接受新的连接, 导致拒绝服务 限制连接数:比如在APACHE 中由MaxClients的值定义。 HTTP POST DOS 类似Slowloris,指定Content-Length的值。限制连接数 Server Limit DOS Cookie过长造成的拒绝服务调整Apache配置参数 LimitRequestFieldSize 面对DDOS攻击的策略方
12、法 流量分析方法 流量数据所含有的信息: 空间信息:地域,IP地址,AS号, 时间信息:时间片,时间段(时间片整数倍)时,日,月,年 技术指标信息:应用类型,TCP-flag, ToS, 包大小 三种信息构成三个维度 数据分析 就是将流量数据分割成一个一个数据立方,从不同的 视角透视数据立方,得出在指定的时间或空间范围内,技术指 标数据对不同维度的分布。 流量分析的方法论 流量分析的方法论 流量分析的方法论 流量分析的方法论 基于流技术的流量分析的有效性探讨: 大流量环境下,分析7层数据很难满足性能要求 流技术提供的信息虽然粗糙,但可以用于效率较高的“初筛” “初筛”与“特异性检验”结合是未来
13、的发展趋势时间信息 对于检测异常流量,流数据所提供的信息是足够,通过统计的 方法可以快速的发现异常流量。 由于流数据中还包含一些镜像/分光数据所没有的信息,如路由 信息、自治域信息、物理端口信息,这些信息对分析流量的地 域分布。 有的用户对信息内容的保密非常重视,镜像/分光数据容易有可 能造成信息泄漏。 NetFlow定义 由7个独立关键字定义: 源 IP 地址 目的 IP 地址 源端口 目的端口 第三层协议类型 TOS 字节 (DSCP) 输入逻辑端口 (端口索引号) 输出数据 NetFlow的生成 1.Create and update flows in NetFlow Cache Ina
14、ctive timer expired (15 sec is default) Active timer expired (30 min (1800 sec) is default) NetFlow cache is full (oldest flows are expired) RST or FIN TCP Flag Header Export Packet Payload (30-50 flows) 2.Expiration 3.Aggregation? e.g. Protocol-Port Aggregation Scheme becomes 4.Export Version Yes N
15、o Aggregated Flows export Version 8 or 9 Non-Aggregated Flows export Version 5 or 9 5.Transport Protocol l流量数据所含有的信息: 空间信息:地域空间,IP地址空间,AS号空间, 时间信息:时间片,时间段(时间片整数倍)时,日,月,年 技术指标信息 : 应用类型,TCP-flag,ToS, 包大小 l三种信息构成三个维度:空间、时间、业务 l流量流向定义 上行下行:有绝对坐标 发送接收:相对自身坐标 l流量分析的定义: 流量分析就是在指定的时空范围内,计算流量数据对不同维度的 统计分布。 流量分析的方法论 专网用户关注 运营商关注 网络异常流量的分类 网络层DDoS P2P下载 蠕虫传播 应用层DDoS 用户自定义 控制层攻击 二层攻击 异常流量检测方法 基线阈值法(统计异常检测法) 检测指标的选定 基线算法 实际测量值与基线对比(阈值为允许浮动的范围) 特征匹配法 基于机器学习的异常检测方法 基于数据挖掘的异常检测法(本质上也是一种统计方法) 基于神经网络的异常检测法 异常流量监测 异常流量检测的方法论 异常检测的方法: 对每个检测指标生成动态基线 实时计算检测指标的实际值 将实际值与基线值进行比对,判断是否超过阈值, 超过则认为存在异常 异常流量检测指标:网络
