《DDOS抗拒绝服务.ppt》由会员分享,可在线阅读,更多相关《DDOS抗拒绝服务.ppt(41页珍藏版)》请在金锄头文库上搜索。
1、DoS & Anti-DoS,拒绝服务攻击的检测与防护,DDoS攻击基础知识,每日DoS攻击事件统计趋势,2007年上半年,全球平均每天发生6,110次DoS攻击,DoS攻击目标的国家分布,中国成为全球DoS攻击第二大目标,攻击目标的分类排行,互联网服务提供商成为DoS主要的攻击目标 被攻击的目标群比较广泛,涉及各行各业。,每天活跃的僵尸主机,平均每天活跃的僵尸主机数量达到了57,717台,感染主机数的国家排名,在2007年上半年,中国拥有全球最多的僵尸主机,攻击来源的国家分布,中国在攻击来源的国家分布中,排在第二位,近期各地DDoS攻击事件,电信运营商所关心的攻击影响 大流量,几个G10几个
2、G 跨省、跨运营商,追查困难 对网络设备的影响,以及对下层链路的堵塞 对IDC的攻击,门户网站或电子商务所关心的攻击影响 流量型攻击 应用型攻击,如针对百度的CC型攻击及针对新网DNS攻击 对客户的应用系统影响很大,DDoS技术篇,攻击与防御技术,DoS攻击的本质,利用木桶原理,寻找并利用系统应用的瓶颈 阻塞和耗尽,DoS/DDoS类型的划分,应用层 垃圾邮件、病毒邮件 DNS Flood 网络层 SYN Flood、ICMP Flood 伪造 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰,攻击类型划分II,堆栈突破型(利用主机/设备漏洞) 远程溢出拒绝服务攻击 网络流量型(利用网
3、络通讯协议) SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood,攻击类型划分I,DDoS攻击工具的发展,独立的一对一攻击程序 Winnuke Teardrop 集合的攻击工具包或工具 Ttools rape DDoS攻击工具 TFN/TFN 2K 自动漏洞利用蠕虫 引发不可控的大规模拒绝服务攻击 红色代码 SQL Slammer,DDoS攻击发展趋势,目标 网站-网络基础设施(路由器/交换机/DNS等) 流量 从几兆-几十兆-1G甚至更高 10K pps-10
4、0K pps -1M pps 技术 真实IP地址-IP欺骗技术 单一攻击源-多个攻击源 简单协议承载-复杂协议承载 智能化,试图绕过IDS或FW 形式 DRDoS/ACK Flood Zombie Net/BOTNET Proxy Connection Flood DNS Flood,当前DDoS攻击的形势,当前DDoS攻击流量特点,攻击源和目的 多对一攻击 协议载体特性 ICMP/UDP/HTTP/DNS/应用协议 攻击变种多 攻击的危害性 PPS数或Session数高 攻击流量对合法流量影响较大,n*G攻击时代到来 攻击其他特点 人为控制,具备明确目的性 目标明确,多为商业站点、敏感站点和
5、骨干网设备 爆发无征兆,短时间内流量发生较大变化,DoS/DDoS攻击演变,大流量&应用层 混合型 分布式攻击,大流量型 分布式攻击,系统漏洞型,Phase 1,Phase 2,Phase 3,以小搏大 以大压小,技术型 带宽和流量的斗争,Direct DDoS Attack,Attacker,Masters Mi,From: Xi (spoofed) To: Victim V ,attack packet,From: Xi (spoofed) To: Agent Ai ,control packet,From: Xi (spoofed) To: Master Mi ,control pack
6、et,Victim V,Agents Ai,控制,Reflector DDoS Attack,Attacker,Victim V,Agents Ai,From: V (spoofed) To: Reflector Ri ,attack trigger packet,From: Xi (spoofed) To: Agent Ai ,control packet,From: Xi (spoofed) To: Master Mi ,control packet,From: Ri To: Victim V ,attack packet,Masters Mi,Note: Reflectors are N
7、OT compromised. They simply answer requests.,欺骗,我没发过请求,DDoS攻击介绍SYN Flood,SYN_RECV状态 半开连接队列 遍历,消耗CPU和内存 SYN|ACK 重试 SYN Timeout:30秒2分钟 无暇理睬正常的连接请求拒绝服务,SYN (我可以连接吗?),ACK (可以)/SYN(请确认!),攻击者,受害者,伪造地址进行SYN 请求,不能建立正常的连接!,SYN Flood 攻击原理,攻击表象,DDoS攻击介绍ACK Flood,大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACK Flood流量要较大才会
8、对服务器造成影响,ACK (你得查查我连过你没),攻击者,受害者,查查看表内有没有,ACK Flood 攻击原理,攻击表象,ACK/RST(我没有连过你呀),攻击者,受害者,大量tcp connect,不能建立正常的连接,DDoS攻击介绍Connection Flood,正常用户,正常tcp connect,攻击表象,利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源,如防火墙的连接数,Connecti
9、on Flood 攻击原理,攻击者,受害者(Web Server),正常HTTP Get请求,不能建立正常的连接,DDoS攻击介绍HTTP Get Flood,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HTTP Get请求 主要请求动态页面,涉及到数据库访问操作 数据库负载以及数据库连接池负载极高,无法响应正常请求,受害者(DB Server),DB连接池 用完啦!,DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,常见的DoS攻击判断方法,判断与分析方法 网络流量的明显特征 操作系统告警 单机分析 arp/Netstate/本机s
10、niffer 输出 单机分析 抓包分析 中小规模的网络 网络设备的输出 中小规模的网络 Netflow分析 -骨干网级别的分析方式,常见传统缓解攻击的方法,缓解拒绝服务攻击,轮询,负载均衡,Cache 路由器 系统加固(IIS,Apache) Syn Cookie技术 借助安全设备,Source,Guard,syn(isn#),ack(isn#+1),Target,synack(cky#,isn#+1) WS=0,State created only for authenticated connections,syn(isn#),synack(isn#,isn#+1),ack(cky#+1),
11、ack(isn#+1) WS0,Sequence # adaptation,stateless part,SYN Cookies,DDoS防御流程(绿盟黑洞),智能判断是否存在攻击 流量梯度算法 衡量承受能力的参照物 对不同协议的数据包采用不同处理办法 TCP协议:反向探测、指纹识别 UDP协议:指纹识别算法 ICMP协议:指纹识别算法 对特定应用采用反向探测、自学习方法,工作流程,SYN Flood的防护机制,防护算法,统计每个主机的 TCP SYN pps,超过设定的阈值后触发防护机制 做一定数量的反向探测 IP 信誉机制,TTL SYN Proxy/Cookie 优点 从理论上可以完全解
12、决syn flood 攻击 可以保证正常的连接可以建立 缺点 只适用于SYN Flood攻击 增加了网络流量,加重网络负载 CPU要做大量的计算,负载很高 需要保存大量的数据,UDP Flood攻击防护,UDP 正常应用的基本特性 UDP包的数量在双向基本相等 UDP包的大小及内容是随机的 UDP Flood的统计特性 同一目标 IP 的 UDP包一侧大量突现 UDP包的大小及内容相对固定,UDP 应用统计特性,忘掉协议,建立曲线,一旦曲线变化过大,触发检测机制,UDP Flood 防护,触发机制 流量自学习,UDP DNS Query Flood攻击防护,字符串匹配查找是DNS服务器的主要负
13、载 微软的统计数据,一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求 一台P3 的主机可以很轻易地发出每秒上万个请求 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求,引起连锁反应 蠕虫扩散带来的大量域名解析请求,攻击的危害性和 DNS 服务器的脆弱性,在通用 UDP Flood 防护算法上加入对 UDP DNS Query Flood 攻击的防护 根据域名 IP 自学习结果主动回应,减轻服务器负载(内建高速 DNS Cache) 根据域名信誉机制过滤部分解析请求 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制 结合 IP 信誉机制,在攻击
14、发生时降低很少发起域名解析请求的源 IP 地址的优先级 限制每个源 IP 地址每秒的域名解析请求次数,UDP DNS Query Flood防护,Connection Flood 和蠕虫扩散,利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 蠕虫代码比较简单,行为也较简单,传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源如防火墙的连接数,Connection Flood防护机制,主动清除残余连接 对恶意连接的IP进行封禁 限制每个源IP的连接数 可以对特
15、定的URL进行防护 反查Proxy后面发起HTTP Get Flood的源,Get Flood 防护算法,HTTP Get Flood 防护,对网络数据包进行HTTP协议解码,分析出HTTP Get请求及其参数(如URL等); 统计到达每个服务器的每秒钟的GET 请求数,如果超过设定的阈值触发防护机制: 判断某个GET 请求是否来自代理服务器;如果是,则直接回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求,这样HTTP Get请求就无法到达服务器,达到防护的效果。 如果请求不是来自代理服务器,则根据历史统计的结果计算可能是恶意请求的概率,若超过一
16、定的概率则回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求,这样HTTP Get请求就无法到达服务器,达到防护的效果。,HTTP Get Flood防护算法I,应用篇,部署方式和关键技术,串联部署,设计目标,部署要点,零安装,零配置,即插即用 网络隐身,无IP地址配置,少量服务器 小型网络 防火墙,WAN,WAN,Router,Switch,不足,单点故障 网络拥塞 规模受限,串联集群部署,基于流量牵引的旁路技术,Router,Router,攻击检测 Probe 流量牵引 Defender 攻击防护 Defender 流量注入 Defender 管理呈现 Datacenter,与路由器协调,告警,通知防护,Defender,
