《DDoS的灾难性攻击解析与应对》由会员分享,可在线阅读,更多相关《DDoS的灾难性攻击解析与应对(42页珍藏版)》请在金锄头文库上搜索。
1、DDoS的灾难性攻击解析与应对 技术创新,变革未来 目录 历史背景 风险管理 网络攻击和应对措施 架构视图 历史时间线 第一次攻击:1999年-2000年 2005年:微软提出STRIDE威胁模型 身份欺骗 篡改数据 否认 信息泄漏 拒绝服务 权限提升 D?DoS “分布式攻击”与“非分布式攻击”的区别十分模糊。 传统意义上来说,分布式攻击有多个来源。 来源是什么?是一个IP地址还是一台物理机呢? 如果是一台物理机,是一个虚拟机发起的攻击吗? 亦或是同一台物理虚拟监视器下的多个虚拟机? 如果这些虚拟机经常在数台物理机间迁移呢? 假如我的电脑遭到了分布式攻击,我该如何判断攻击是单个来源还是多个来
2、源呢? 假如攻击来自某个IP地址,那么我们该如何处理虚假流量呢? D?DoS 因此,需要运用不同的思维来理解: 拒绝服务(DoS)(正如STRIDE模型的一样):软件中存在 的弱点(比如像Ping of Death的空指针解引用。) 分布式拒绝服务(DDoS):消耗计算资源。 风险管理 STRIDE和其他威胁模型的基本思想是风险评估、建模以及管理。 可能性/影响矩阵图 轻微影响 可能性极低 不太可能 中度影响 可能 非常可能 轻度影响中度影响重大影响严重影响 可能性/影响矩阵图 轻微影响 可能性极低 不太可能 中度影响 可能 非常可能 轻度影响中度影响重大影响严重影响 2018年分布式拒绝 服
3、务(DDoS)攻击 影响: 严重影响 可能性: ? 风险管理 攻击者的动机 寻求快乐! 敲诈勒索 自我炫耀 政治目的 报复 市场竞争 转移注意力 (比如窃取信息时) 防止他人访问不利于自己的 信息。 很难评估和控制 大致可预测! 网络资源耗竭 现在,计算机网络由多层构成。 当至少一个网络层级停止提供服务后,用户将无法接收到相关网络资源。 因此,不同网络层级受到影响将形成不同的DDoS攻击: L2 普通带宽消耗 L3 L4 L5 L6 L7 应用特有的 瓶颈问题 超负荷使用 TCP/TLS的边 缘案例 攻击案例 L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)
4、 基础设施层攻击 典型放大攻击 多台服务器通过互联 网向客户发送的数据 比接收到的多。 UDP服务通常不会检 查源IP地址。 这种漏洞给了DDoS 放大攻击可乘之机。 攻击者受害者 来源(Src):受害者 (受到欺骗) 目的(Dst):放大 攻击“ANY? com.” 1Gbps 来源(Src):放大攻击 目的(Dst):受害者 “com. NS i.gtld-.” 29Gbps 脆弱的协议 长长的协议清单 大多数协议早已过时 诸如游戏协议类的当 前协议包括: 网络时间协议(NTP) RIPv1 DNS协议 PORTMAP协议 简单网络管理协议 字符发生器协议 (SNMP) (CHARGEN)
5、 简单服务发现协议 雷神之锤协议 (SSDP) (Quake) 互联网控制消息协议 Steam协议 (ICMP) Memcached协议 网路基本输入输出系 统协议(NetBIOS) 脆弱的服务器 大多数过时的服务器 最终会被更新 替换 或遭到淘汰。 因此放大器的数量呈稳 定的下降趋势。 然而,时不时会出现新 的脆弱协议。 放大器总 数 放大器总数累积放大的可能性 累积放大的可能 性 源地址所有权的证明 例如,基于UDP的低时延的互联网传输层协议(QUIC)(由国际互联网工程任务组设 计的传输层协议): 初次握手包有1280字节 源地址验证 其他UDP协议必须执行类似的过程。 L2-L3 攻击
6、缓解 在受害者看来: Anycast网络检验到位 进行清单管理,清除来路不明的通信服务器(比如UDP服务连接HTTP服务器) 限速控制不太重要的网络流量 挑战和握手(稍后会详细介绍) 在互联网服务供应商(ISP)看来: 抵抗典型攻击的简单启发法 远程触发黑洞技术(让客户自行解决问题。) 攻击案例 L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可) 基础设施层攻击 攻击案例 L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可) 基础设施层攻击 L4-L6 SYN洪水攻击、TCP连接攻击、 Sockstress攻击等。 TLS攻击
7、攻击案例 L2-3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可) 基础设施层攻击 L4-6 SYN洪水攻击、TCP连接攻击、 Sockstress攻击等。 TLS攻击 一次攻击可以同时影响多 个网络层级。 联合攻击 比如,NTP放大攻击和SYN洪水攻击同时进行。 联合攻击的目的在于转移负责人的注意力,防止他们专心解 决真正的威胁。 分批联合攻击 联合攻击的目的在于转移负责人的注意力,防止他们专心解决真正的威胁。 21:30:01.226868 IP 94.251.116.51 178.248.233.141: GREv0, length 544: IP 184.22
8、4.242.144.65323 167.42.221.164.80: UDP , length 512 21:30:01.226873 IP 46.227.212.111 178.248.233.141: GREv0, length 544: IP 90.185.119.106.50021 179.57.238.88.80: UDP , length 512 L4+ 攻击缓解 SYN洪水攻击:基于3次握手过程的SYN cookies和SYN 代理 (proxy)可以帮助受害者检查源IP地址。 其它基于数据包的洪水攻击:进行相同攻击的握手与挑战 剩余部分:会话分析、启发式、黑名单 在没有验证源I
9、P地址的情况下,使用黑名单或白名单十分危险! 切记进行网络资产管理! L4+ 攻击缓解 认为L4只是传输控制协议(TCP)的这种观点有误。 新型传输协议通过以下方式执行 网络服务供应商 应用程序 国际互联网工程任务组 终端用户服务器? 终端用户后台? 互联网转接与互联网服务提供商 IPv6概要 128比特位 IP地址 有可能:为地球上的每一粒沙子提供一个IP地址 不太可能:在内存中存储大量条目 大约在10年前,将整个IPv4网络列入黑名单是很糟糕的做法。 除了使用IPv6,我们别无选择。 攻击案例 L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可) 基础设施层
10、攻击 L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等 TLS攻击 攻击案例 L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可) 基础设施层攻击 L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等 TLS攻击 L7 基于应用程序的洪水攻击 WORDPRESS PINGBACK攻击 GET /whatever 用户代理:WordPress/3.9.2; verifying pingback from 192.0.2.150 同时存在150000170000 个易受攻击的服务器 支持安全套接层(SSL)与 传输层安全协议(
11、TLS) 交易速率 /bps 输入速率 传递速率输出速率 率: 率: 12月31日,星期四,15:00 输入速率:5.94 Gbps 输出速Mbps 传递速Mbps L7攻击的另一个例子:完整浏览器堆栈(FBS) 互联网机器人实际上可以比Wordpress机器更加聪明 高级僵尸网络能够使用无头浏览器(IE / Edge或Chrome) =“完整浏览器堆栈”(FBS) 僵尸网络 支持FBS的机器人能够完成复杂的挑战,如Javascript代码执行 L7攻击的另一个例子:完整浏览器堆栈(FBS) 如果进行正规的被动分析,验证码(CAPTCHA)将 是对抗FBS的最后武器。 优势: 易于实施 通常能
12、够奏效 L7攻击的另一个例子:完整浏览器堆栈(FBS) CAPTCHA弊端(1/3): 需加入用户体验(UX),可能会破坏UX本身 破坏移动设备应用程序 相较于机器人,某些情况下对人来说更加困难 L7攻击的另一个例子:完整浏览器堆栈(FBS) CAPTCHA弊端(2/3): 需加入用户体验(UX),可能会破坏UX本身 破坏移动设备应用程序 相较于机器人,某些情况下对人类来说更加困难 并非所有机器人都是恶意的,并非所有的人都是无辜的 CAPTCHA代理和CAPTCHA农场,例如 一旦用户的计算机被感染,恶意软件将会把CAPTCHA注入 该用户正在浏览的网页之中 L7攻击的另一个例子:完整浏览器堆
13、栈(FBS) CAPTCHA弊端(3/3): 需加入用户体验(UX),可能会破坏UX本身 破坏移动设备应用程序 相较于机器人,某些情况下对人类来说更加困难 并非所有机器人都是恶意的,并非所有的人都是无辜的 CAPTCHA代理和CAPTCHA农场,例如 一旦用户的计算机被感染,恶意软件将会将CAPTCHA注入该用户正在浏览 的网页之中 光学字符识别(OCR)工具快速发展 语音识别的发展速度比OCR更加迅速 “隐匿式安全”:使用开源机器学习工作比较容易破解开源类CAPTCHA举 例 : system-in-15- minutes-with-machine-learning-dbebb035a710
14、 L7攻击的另一个例子:完整浏览器堆栈(FBS) “工作量证明”,就像在客户端Javascript挖掘加密货币一样? 不可行性 a) 典型的僵尸网络可感染数十万台机器; b) 典型的Web站点正在争取页面加载时间,虽然只有几毫秒。 L7攻击的另一个例子:完整浏览器堆栈(FBS) 不同于Wordpress pingback,类似攻击在大多数情况下 并不会导致链接降级。 因而该类攻击通常不属于ISP的责任范畴 L7 攻击缓解:内容复杂 主动型: 超文本传输协议(HTTP)/JS 挑战 验证码(CAPTCHA) 被动型: 应用程序会话分析 大数据 关联、机器学习 监控、事件响应 误报和漏报 所有基于
15、学习的算法并不是那么严格。 误报:算法在没有匹配项时表现出匹配特征 漏报:算法在有匹配项时表现出无匹配特征 基本上,任何算法都可调整为0FP或0FN 事实通常介于两者之间 攻击目的决定其均衡性 攻击案例 L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻 击、放大攻击等(简单了解即可) 分类如下: 彼此独立 * 互无遗漏 基础设施层攻击 L4-L6 SYN洪水攻击、TCP连接攻击、 Sockstress攻击等 TLS攻击 L7 基于应用程序的洪水攻击 互联网包罗万象,极其复杂 数十年以来,IT界有一道广为人知的求职面试题: “当你在浏览器输入会发生什么?” 目录 按下“g”键 回车键按下
16、产生中断(非USB键盘) (Windows)一个WM_KEYDOW键盘消息被发往应用程序 (Mac OS X)一个KeyDown NSEvent被发往应用程序 (GNU/Linux)Xorg服务器监听键码值 解析全球资源定位器(URL) 输入的是全球资源定位器(URL)还是搜索的关键字? 当时发生了什么? 域名服务器(DNS)查询 使用套接字 传输层安全协议(TLS)握手 超文本传输协议(HTTP) 超文本传输协议(HTTP)服务器请求处理 当时发生了什么? 域名服务器(DNS)查询 IPv4/IPv6选择 使用套接字 深度包检测(DPI) 传输层安全协议(TLS)握手 证书吊销列表(CRL)/在线证 书状态协议(OCSP) 超文本传输协议(HTTP) 负载均衡器
