《互联网网络安全应急演练材料》由会员分享,可在线阅读,更多相关《互联网网络安全应急演练材料(38页珍藏版)》请在金锄头文库上搜索。
1、互联网分布式拒绝服务攻击和防护 安全应急演练总结,提纲,二:流量清洗的原理,三:本次演练情况,一:分布式拒绝服务攻击DDoS背景,五:总结和思考,四:城域网僵尸网络DDoS事件,DDoS概念,DoS Denial of Service的简称,拒绝服务。属于攻击早期形态,由于攻击者带宽、CPU等资源不足,较难形成威胁。如果是目标有明显漏洞,不需要僵尸网络,攻击成本较低。 DDoS 分布式拒绝服务(Distributed Denial of Service)。当前主流攻击手段,带宽消耗、主机消耗、打漏洞都可以。 DRDoS Distributed Reflection Denial of Serv
2、ice Attack的缩写。分布式反射拒绝服务。起源smurf局域网广播反射攻击。但广域网较少广播反射,主要形态是用小包换大包的方式,操作麻烦,效果不强,不是主流攻击手段。,DDoS攻击的本质,利用木桶原理,寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板,DoS/DDoS类型的划分,应用层 垃圾邮件、病毒邮件 DNS Flood - CC 网络层 SYN Flood、ICMP Flood 伪造 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰,攻击类型划分II,堆栈突破型(利用主机/设备漏洞) 远程溢出拒绝服务攻击 网络流量型(利用网
3、络通讯协议) SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood,攻击类型划分I,DDoS 工具,CC攻击和僵尸网络Botnet,CC & Botnet,DDoS攻击的动机,技术炫耀、报复心理 针对系统漏洞 捣乱行为 商业利益驱使 不正当竞争间接获利 商业敲诈 政治因素,DDOS攻击地下产业化,漏洞研究、目标破解,漏洞研究,我们在同一个地下产业体系对抗,地下黑客攻击网络,上述现象的背后 原始的经济驱动力,Toolkit Developer,Malware Dev
4、eloper,Virus,Spyware,工具滥用者- “市场与销售”?,Building Botnets,Botnets: Rent / Sale / Blackmail,Information theft,Sensitive information leakage,真正的攻击者- “用户与合作者”?,DDoS,Spamming,Phishing,Identity theft,最终价值,Trojan,Social engineering,Direct Attack,工具编写者- “研发人员”?,Worm,间谍活动 企业/政府,欺诈销售,点击率,非法/恶意竞争,偷窃,勒索盈利,商业销售,金融欺
5、诈,DDOS的黑色产业链,DDoS攻击的特点,网络接入控制,提纲,二:流量清洗的原理,三:本次演练情况,一:分布式拒绝服务攻击DDoS背景,五:总结和思考,四:城域网僵尸网络DDoS事件,流量清洗系统的关键点,三位一体的流量发现和清洗手段,流量清洗工作原理,重要业务,流量限速,1、IP合法性检查 源、目的地址检查/验证,2、协议栈行为模式分析 协议合法性检查,3、特定应用防护 四到七层特定攻击防护,4、用户行为模式分析 用户行为异常检查和处理,流量清洗中心,交付已过滤的内容,CMNET互联网,省网出口,“多层识别和过滤机制,特定应用防护,协议栈行为分析,用户行为模式分析,动态指纹识别,反欺骗,
6、5、动态指纹识别 动态检查和生成攻击指纹并匹配攻击数据,6、流量限速 未知可疑流量限速,互联网无锡出口旁路流量清洗工作过程,异常流量探测,异常流量防御,受保护的服务器,业务管理系统,1,2.1,Netflow数据输出,正常流量不受影响,正常流量不受影响,发现攻击通知业务管理系统,通知防御设备,开启攻击防御,流量回注,受保护的服务器,2.2,DDOS流量清洗DNS Flood的基本原理,静态过滤:基于预先设置的黑名单列表及报文特征过滤规则过滤异常DNS报文。 合法性检测:基于协议合法性检测过滤畸形报文。 源合法性认证:基于传输协议层源认证和应用层源证防范虚假源攻击,可防范DNS query fl
7、ood、DNS reply flood及针对DNS服务器发起的各类TCP flood。 会话检查:通过检查DNS会话可防范DNS缓存投毒攻击、DNS反射攻击。 行为分析:正常情况下DNS服务器回应报文中No such name报文较少,但如果某时刻No such name报文突增,必然发生DNS query flood攻击;监控DNS域名TOPN和访问源TOPN,形成常用域名TOPN和大客户IP TOPN基线,当监控到访问流量和TOPN基线相比偏差较大,即可判定攻击发生;TOPN域名可用于清洗设备为减缓DNS服务器压力提供动态cache功能;TOPN源可作为信誉IP,攻击发生时直接作为白名单,
8、减少防范对大客户IP的访问影响。 流量整形:经过上述层层过滤后,如果流量还很大,超过服务器的实际带宽,则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。,DNS Query flood攻击原理,Query flood. 攻击者利用僵尸网络向DNS服务器发送海量不存在的域名解析请求,致使DNS服务器严重超载,严重时甚至造成链路拥塞,无法继续响应正常用户的DNS请求,从而达到攻击的目的。攻击发生时,会发现链路中存在大量DNS服务器回应的域名不存在报文。一般这种攻击报文的最大特点是源IP是虚假源,即不是僵尸主机自身IP地址。,Reply flood. 当用户访问网络时会向DNS缓存服务器发
9、出域名查询请求,DNS缓存服务器并不具备域名和IP地址对应关系,它会向DNS授权服务器发出查询请求,DNS授权服务器回应的DNS Reply报文给出该域名对应的IP地址。攻击者则调用僵尸网络冒充DNS授权服务器发送大量DNS Reply报文,导致DNS缓存服务器CPU处理繁忙,严重时甚至造成链路拥塞,无法响应正常用户DNS请求。一般这种攻击报文的最大特点是源IP是虚假源,即不是僵尸主机自身IP地址。,DNS缓存投毒攻击,DDOS流量检测的常见问题,基于传输协议的源验证核心思想是向访问防护目标的源IP发送带有cookie的探测报文,如果该源真实存在,则会对探测报文回应,且回应报文携带cookie
10、。清洗中心通过校验cookie,即可确认该源IP是否真实存在。通过认证的源加入白名单,其后续报文清洗中心直接转发。攻击源因无法通过认证,报文无法通过。该技术可有效防御虚假源发起的SYN Flood、SYN-ACK Flood、ACK Flood、TCP Fragment Flood攻击。,真实源Flood攻击-对不存在域名的海量请求,基于DNS应用协议的客户端服务器交互模型,识别报文是真实应用客户端访问行为还是僵尸网络攻击行为,通过认证的源加入白名单,其后续报文直接转发,未经过认证的报文被清洗设备丢弃。可有效防范虚假源发起的DNS Query Flood和DNS Reply Flood。,对授
11、权服务器的Query flood攻击,真实源Flood攻击-对不存在域名的海量请求,除了流量清洗系统能够对DNS查询进行挑战外,智能化的DNS系统对异常请求进行本地解析也能够缓解一部分压力。,基于特征的清洗,特征过滤防范适合防范真实源或利用真实源IP发起的报文具有特征的Flood攻击。支持基于异常事件自动抓包,抓包支持抽样比,可对攻击流量进行均匀、全面抓包。抓取的报文发送到管理中心存储成文件,管理中心支持基于抓包文件提取攻击特征,下发到清洗设备作为攻击流量过滤条件。,部分黑客工具,协议报文上有固定的特征,采用基于特征的清洗方式,效果明显,DNS动态CACHE被攻击时的应急措施,自动学习域名请求
12、TOPN,记录TOPN热点域名,可替代被防护的DNS服务器应答客户端的请求,减少DNS服务器的负载。遇到大规模攻击的时候。甚至可以固定TOP1000的域名,直接由设备替代DNS缓存服务器,直接回复DNS 查询。,真实源Flood攻击- 519暴风影音断网事件,.com,,,ISP,.net,.org,root,缓存服务器,解析服务器,根域服务器,顶级域服务器,授权域服务器,,,,,客户端,海量客户端发起的海量DNS请求,导致链路拥塞,DNS服务器处理繁忙,提纲,二:流量清洗的原理,三:本次演练情况,一:分布式拒绝服务攻击DDoS背景,五:总结和思考,四:城域网僵尸网络DDoS事件,无锡出口网络
13、拓扑,DNS系统在100MB攻击流下的表现,CPU从开启防护时的5%升高到26%,DNS对于流量攻击的测试情况,DNS Flood流量打到75万QPS时,DNS的缓存服务器系统负荷还在正常范围内,流量清洗系统的负载也在正常范围内,但是发起的DNS请求大部分解析失败;攻击流量下降到55万QPS的时候,系统解析恢复正常;目前分析是流量清洗系统对部分正常请求产生的误杀,并且系统的主动探测对session的要求比较高。,对WEB的攻击,1、 攻击WEB服务器,僵尸网络 大量的CC 攻击 2、 攻击WEB服务器,BPS http get 攻击 3、 攻击WEB服务器,BPS 对ftp的syn flood
14、 攻击 4、 攻击WEB服务器,混合流量攻击 5、攻击WEB 存在的apache cve2011-3192 的DOS漏洞,对于web网站的混合流量攻击江苏无线城市网站演练,现网流量清洗设备对WEB的防护效果较好,每秒新建连接请求达到80万时,可以在一分钟能把成功建立的连接控制在8万以下,对业务影响较小。1. 系统对混合流量攻击web网站的清洗效果较好,在BPS系统1G的混合流量攻击下,无线城市网站可正常访问,未出现业务异常。2. 30台设备的小规模僵尸网 络发起的CC攻击未对网站造成影响。,对江苏DNS无锡节点的演练过程,1、攻击DNS服务器,僵尸网络UDP 攻击 2、攻击DNS服务器,僵尸网
15、络随机域名查询攻击 3、攻击DNS服务器,BPS 随机域名查询攻击 4、攻击DNS服务器,混合流量攻击 结果分析:僵尸网络、BPS设备 发送的随机域名查询攻击效果差异较小,主要体现在性能上,40万qps时 DNS工作正常,55万qps时 DNS 查询开始超时,75万qps时,DNS完全停止服务,2011年底互联网南京出口DNS flood演练情况,优化后的结果 E8080测试结果(PPS) 入接口流量 出接口流量 670000 32000 200000 12000 400000 20000E1000E-D测试结果(PPS) 480000 28000,优化:DNS的会话的老化时间改为10秒,默认
16、的数值是2分钟,系统优化效果明显,南京出口华为8080设备与SIG的联动,1、误判问题:现在的SIG平台将客户的WAP、 GPRS地址池的IP都判断成受攻击IP?局方的WAP,GPRS网络用户,一般通过防火墙做NAT后,来访问公网。NAT地址池中的IP地址往往比较少,所以一个区域的WAP,GPRS用户,对外往往显示为同一个或少数几个IP。现网SIG监控链路是在用户做NAT后。所以从单IP来看,流量往往比较大。现网判定攻击的策略是针对单个IP速率配置,当速率超过设置的阀值,就会被判为攻击。所以导致客户的WAP,GPRS的地址池中的IP容易被认为是攻击,等待用户手动下发引流策略。WAP,GPRS的用户一般都是私网IP在防火墙上NAT,不是NAT SERVER.都是内网用户访问外网,外网用户无法直接访问内网用户,存在被攻击的可能性很小。现在已经加到大客户里面,配置策略,不防护。,
