《DDoS攻击原理及防护课件.ppt》由会员分享,可在线阅读,更多相关《DDoS攻击原理及防护课件.ppt(58页珍藏版)》请在三一办公上搜索。
1、DDOS攻击与防范,绿盟科技 马林平,DDOS攻击与防范绿盟科技 马林平,1 DDoS攻击的历史,4 常见DDoS工具,3 DDoS防护思路及防护算法,2 DDoS攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,DDoS攻击历史,01,探索期,02,03,04,工具化,武器化,普及化,DDoS攻击历史01探索期020304工具化武器化普及化,DDoS攻击历史,DDoS攻击历史,事件 :第一次拒绝服务攻击(Panic attack)时间:1996年后果:至少6000名用户无法接受邮件,探索期-个人黑客的攻击,事件 :第一次拒绝服务攻击(Panic attack)探索期,事
2、件 :第一次分布式拒绝服务攻击(Trinoo)时间:1999年后果:连续多天的服务终止,探索期-个人黑客的攻击,事件 :第一次分布式拒绝服务攻击(Trinoo)探索期-,工具化-有组织攻击,事件 :燕子行动时间:2012年后果:大部分美国金融机构的在线银行业务遭到攻击,工具化-有组织攻击事件 :燕子行动,工具化-有组织攻击,事件 :史上最大规模的DDoS时间:2013年后果:300Gbit/s的攻击流量,工具化-有组织攻击事件 :史上最大规模的DDoS,武器化-网络战,事件 :爱沙尼亚战争时间:2007年后果:一个国家从互联网上消失,武器化-网络战事件 :爱沙尼亚战争,武器化-网络战,事件 :
3、格鲁吉亚战争时间:2008年后果:格鲁吉亚网络全面瘫痪,武器化-网络战事件 :格鲁吉亚战争,武器化-网络战,事件 :韩国网站遭受攻击时间:2009年至今后果:攻击持续进行,武器化-网络战事件 :韩国网站遭受攻击,事件 : 匿名者挑战山达基教会时间:2008年后果:LOIC的大范围使用,普及化-黑客行动主义,事件 : 匿名者挑战山达基教会普及化-黑客行动主义,事件 : 海康威视后门时间:2014年后果:DNS大面积不能解析,普及化-黑客行动主义,事件 : 海康威视后门普及化-黑客行动主义,“519”断网事件 背景,.com,ISP,.net,.org,root,缓存服务器,解析服务器,根域服务器
4、,顶级域服务器,授权域服务器,客户端,DNSPOD“519”断网事件 背景.com.bao,“519”断网事件 前奏,.com,ISP,.net,.org,root,缓存服务器,解析服务器,根域服务器,顶级域服务器,授权域服务器,客户端,“519”断网事件 前奏.com.baofeng.c,“519”断网事件 断网,.com,.net,.org,root,客户端,根域服务器,顶级域服务器,授权域服务器,ISP,缓存服务器,解析服务器,“519”断网事件 断网.com.baofeng.c,DDOS形势-智能设备发起的DDoS攻击增多,DDOS形势-智能设备发起的DDoS攻击增多,DDoS攻击的动
5、机,技术炫耀、报复心理针对系统漏洞捣乱行为商业利益驱使不正当竞争间接获利商业敲诈政治因素名族主义意识形态差别,DDoS攻击的动机技术炫耀、报复心理,DDOS攻击地下产业化,漏洞研究、目标破解,漏洞研究,我们在同一个地下产业体系对抗,地下黑客攻击网络,DDOS攻击地下产业化直接发展收购肉鸡制造、控制,学习、僵尸,上述现象的背后 原始的经济驱动力,工具编写者-“研发人员”?,上述现象的背后 原始的经济驱动力 ToolkitDev,魔高一尺,道高一丈,2015年全年DDoS攻击数量为179,298次,平均20+次/小时。,魔高一尺,道高一丈流量大频次高复杂化产业化2015年全年DD,1. DDoS攻
6、击峰值流量将再创新高;2. 反射式DDoS攻击技术会继续演进;3. DNS服务将迎来更多的DDoS攻击;4. 针对行业的DDoS攻击将持续存在。,预测未来,1. DDoS攻击峰值流量将再创新高;预测未来,1 DDoS攻击的历史,4 常见DDoS工具,3 DDoS防护思路及防护算法,2 DDoS攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,DDoS攻击本质,利用木桶原理,寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板,DDoS攻击本质利用木桶原理,寻找并利用系统应用的瓶颈,DDoS基本常识,不要以为可以防住真正的DDo
7、S好比减肥药,一直在治疗,从未见,DDoS基本常识,低调行事,被攻击者盯上的概率小闷声发大财,显得挣钱不容易很少,DDoS防御基本常识,安全服务总是在攻击防不住的时候才被想起来DDoS是典型的事件,什么是DDoS,方式传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的,DDoS攻击分类(流量特性),1、流量D;2、流速D以力取胜,拥塞链路,典型代表为ICMP,DDoS攻击分类(攻击方式),连接耗尽型包括SYN Flood,连接数攻击等带宽耗尽型包括,连接耗尽型-SYN Flood,发起方,应答方,正常的三次握手过程,攻击者,受害者,伪造地址进行SYN 请求,不能建立正常的连接!,SYN
8、Flood 攻击原理,SYN_RECV 状态半开连接队列遍历,消耗CPU和内存SYN|ACK 重试SYN Timeout:30秒2分钟无暇理睬正常的连接请求,造成拒绝服务,危害,我没发过请求,连接耗尽型-SYN FloodSYN (我可以连接吗?),如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat命令能看到大量SYN_RCVD的半连接(数量500或占总连接数的10%以上),可以认定,这个系统(或主机)遭到了Synflood攻击。,SYN Flood侦察,如果一个系统(或主机)负荷突然升高甚至失去响应,使用Nets,SYN攻击包样本,SYN攻击包样本,SYN攻击包样本SYN攻击
9、包样本,SYN Flood程序实现,SYN Flood程序实现,连接耗尽型-Connection Flood,正常tcp connect,攻击者,受害者,大量tcp connect,不能建立正常的连接,正常用户,正常tcp connect,攻击表象,利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为消耗骨干设备的资源,如防火墙的连接数,Connection Flood 攻击原理,连接耗尽型-Connection Flood正常
10、tcp,Connection Flood攻击报文,在受攻击的服务器上使用netstat an来看:,Connection Flood攻击报文 在受攻击的服务器上,带宽耗尽型-ICMP Flood,针对同一目标IP的ICMP包在一侧大量出现内容和大小都比较固定,ICMP (request 包),攻击者,受害者,ICMP Flood 攻击原理,攻击表象,正常tcp connect,ICMP (request 包),ICMP (request 包),ICMP (request 包),ICMP (request 包),ICMP (request 包),ICMP (request 包),ICMP (re
11、quest 包),带宽耗尽型-ICMP Flood针对同一目标IP的ICM,ICMP Flood攻击报文,ICMP Flood攻击报文,带宽耗尽型-UDP Flood,大量UDP冲击服务器受害者带宽消耗UDP Flood流量不仅仅影响服务器,还会对整个传输链路造成阻塞对于需要维持会话表的网络设备,比如防火墙,IPS,负载均衡器等具备非常严重的杀伤力,UDP (非业务数据),攻击者,受害者,网卡出口堵塞,收不了数据包了,UDP Flood 攻击原理,攻击表象,丢弃,UDP (大包/负载),带宽耗尽型-UDP Flood大量UDP冲击服务器UDP,带宽耗尽型反射攻击,攻击者,被攻击者,放大网络,源
12、IP=被攻击者的IP,ICMP请求(smurf)DNS请求SYN请求(land)NTP请求SNMP请求,DoS攻击,采用受害者的IP作为源IP,向正常网络发送大量报文,利用这些正常主机的回应报文达到攻击受害者的目的。Smurf, DNS反射攻击等攻击者既需要掌握Botnet,也需要准备大量的存活跳板机,比如开放DNS服务器反射攻击会有流量放大的效应,制造出的大流量攻击非常难以防御,反射攻击原理,带宽耗尽型反射攻击攻击者被攻击者放大网络 源IP=被攻击者,放大反射倍数,700倍,1、NTP放大反射,25倍,2、SNMP放大反射,10倍,3、DNS放大反射,放大反射倍数700倍1、NTP放大反射2
13、5倍2、SNMP放大,应用资源攻击-DNS Query Flood,字符串匹配查找是 DNS 服务器的主要负载。一台 DNS 服务器所能承受的递归动态域名查询的上限是每秒钟50000个请求。一台家用PC主机可以很轻易地发出每秒几万个请求。DNS是互联网的核心设备,一旦DNS服务器被攻击,影响极大。运营商城域网DNS服务器被攻击越来越频繁,DNS Query Flood 危害性,攻击手段,Spoof IP 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求,引起连锁反应。蠕虫扩散带来的大量域名解析请求。利用城域网 DNS服务器作为Botnet发起攻击,应用资源攻击-DNS Query
14、 Flood字符串匹配查,DNS样本,DNS报文样本,DNS样本DNS报文样本,应用资源攻击-HTTP Flood/CC攻击,攻击者,受害者(Web Server),正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面,涉及到数据库访问操作数据库负载以及数据库连接池负载极高,无法响应正常请求,受害者(DB Server),DB连接池用完啦!,DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,应用资源攻击-HTTP Flood/CC攻击攻击者受害者,1 DDoS攻
15、击的历史,4 常见DDoS工具,3 DDoS防护思路及防护算法,2 DDoS攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,ADS流量清洗工作原理,企业用户,流量限速,IP合法性检查源、目的地址检查/验证,流量清洗中心,交付已过滤的内容,Internet,城域网,特定应用防护,协议栈行为分析,用户行为模式分析,动态指纹识别,反欺骗,协议栈行为模式分析协议合法性检查,特定应用防护四到七层特定攻击防护,用户行为模式分析用户行为异常检查和处理,动态指纹识别检查和生成攻击指纹并匹配攻击数据,流量限速未知可疑流量限速,ADS流量清洗工作原理企业用户流量限速IP合法性检查流量清洗,
16、SYN Flood 防护方法,Random Drop:随机丢包的方式虽然可以减轻服务器的负载,但是正常连接成功率也会降低很多 特征匹配:在攻击发生的当时统计攻击报文的特征,定义特征库;例如过滤不带TCP Options 的SYN 包等。如果攻击包完全随机生成则无能为力SYN Cookie :可以避免由于SYN攻击造成的TCP传输控制模块TCB资源耗尽,将有连接的TCP握手变成了无连接模式,减轻了被攻击者的压力,但是SYN Cookie校验也是耗费性能的SYN Proxy :完美解决SYN攻击的算法,但是非常耗费设备性能,在非对称网络不适用,分配TCB资源,代理后续报文,SYN Flood 防护
17、方法Random Drop:syns,TCP Connection Flood 攻击与防护,使用Proxy或者Botnet,向服务器某个应用端口(如80)建立大量的TCP连接建立连接后,模拟正常应用的数据包以便长时间占用连接通常一个应用服务都有连接数上限,当达到这个上限时,正常的客户端就无法再连接成功,TCP Connection Flood 攻击,受害者,Proxy或者Botnet,TCP Connection,限制单个IP地址的连接数量对于Botnet目前没有太好的方法去防护,TCP Connection Flood 防护,TCP Connection Flood 攻击与防护使用Pr,DD
18、oS攻击防护思路,定期扫描和加固自身业务设备定期扫描现有的网络主节点及主机,清,防护DDoS的最佳实践,本地第一层DDoS防护守住自家门口,在本地网络边界上部署抗D,常见DDoS防护,常见DDoS防护DDoS防护各类防护方案特点分析01.防火墙,1 DDoS攻击的历史,4 常见DDoS工具,3 DDoS防护思路及防护算法,2 DDoS攻击方式,目录,1 DDoS攻击的历史4 常见DDoS工具3 DDoS,DoSend,DoSend,LOIC,LOIC,THC SSL DOS,THC SSL DOS,Hulk,Hulk,谢谢!,谢谢!,知识回顾Knowledge Review,祝您成功!,知识回顾Knowledge Review祝您成功!,
