DDoS攻击介绍PPT

DDoS攻击基础知识 什么是DOS/DDOS攻击？ DoS即DenialOfService，拒绝服务的缩写。 DDOS全名是DistributedDenialofservice(分布式拒绝服务)。DNSEmail一个DDoS攻击过程‘Zombie’Server-levelDDoSattacksBandwidth-levelDDoSattacksDNSEmailInfrastructure-levelDDoSattacksAttackZombies: Massivelydistributed 大规模分布式 SpoofSource IP源IP欺骗 Usevalidprotocols 使用有效的 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 攻击实施代价极低工具泛滥Botnet 僵尸网络是当前互联网的首要威胁 发送垃圾邮件 网络钓鱼,盗取帐号/密码机密信息 发动拒绝服务攻击--DDOS 僵尸网络正在改变网络经济犯罪 经济利益的驱动DDoS攻击发展趋势 目标 网站-〉网络基础设施（路由器/交换机/DNS等） 流量 从几兆-〉几十兆-〉1G甚至更高 10Kpps--〉100Kpps-〉1Mpps 技术 真实IP地址-〉IP欺骗技术 单一攻击源-〉多个攻击源 简单协议承载-〉复杂协议承载 智能化，试图绕过IDS或FW 形式 DRDoS/ACKFlood ZombieNet/BOTNET ProxyConnectionFlood DNSFloodDDoS技术篇攻击与防御技术DoS攻击的本质 利用木桶原理，寻找并利用系统应用的瓶颈 阻塞和耗尽 当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板DoS/DDoS类型的划分 应用层 垃圾邮件、病毒邮件 DNSFlood 网络层 SYNFlood、ICMPFlood 伪造 链路层 ARP伪造报文 物理层 直接线路破坏 电磁干扰攻击类型划分II 堆栈突破型（利用主机/设备漏洞） 远程溢出拒绝服务攻击 网络流量型（利用网络通讯协议） SYNFlood ACKFlood ICMPFlood UDPFlood、UDPDNSQueryFlood ConnectionFlood HTTPGetFlood攻击类型划分IDoS/DDoS攻击演变大流量&应用层混合型分布式攻击大流量型分布式攻击系统漏洞型Phase1Phase2Phase3以小搏大 以大压小技术型 带宽和流量的斗争我没发过请求DDoS攻击介绍——SYNFlood SYN_RECV状态 半开连接队列 遍历，消耗CPU和内存 SYN|ACK重试 SYNTimeout：30秒~2分钟 无暇理睬正常的连接请求—拒绝服务SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）伪造地址进行SYN请求不能建立正常的连接！SYNFlood攻击原理攻击 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 象SYNFlood:1)完备的SYNProxy；这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈；2)RandomDrop；随机丢包的方式虽然可以减轻服务器的负载，但是正常连接的成功率也会降低很多；3)特征匹配；在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带TCPOptions的syn包等；4)丢弃64字节小报文；5)根据经验判断IP包头里TTL值不合理的数据包。从这些方法分析来看，SYNProxy算法可以从理论上完全解决伪造源IP的SYNFlood攻击，只要对其进行改进，结合IP信誉机制以及HCF算法，就可以起到较好的防护效果。SYNFlood防护算法在对一个TCPSYN连接请求做反向探测时，连接请求发起端先和防拒绝服务系统建立3次握手，然后防拒绝服务系统模拟客户端向服务器发起连接请求，这样就把通常的TCP连接建立过程由3次握手增加到6次握手。而对于伪造源IP的SYN包，由于无法和防拒绝服务系统建立前面的3次握手，该SYN包就不会到达服务器。**可编辑DDoS攻击介绍——ACKFlood 大量ACK冲击服务器 受害者资源消耗 查表 回应ACK/RST ACKFlood流量要较大才会对服务器造成影响ACK（你得查查我连过你没）查查看表内有没有ACKFlood攻击原理攻击表象ACK/RST（我没有连过你呀）ACKFlood属于单包类型攻击，即用大量ACK小包进行冲击。按照我们对TCP协议的理解，随机源IP的ACK小包应该会被Server很快丢弃，因为在服务器的TCP堆栈中没有这些ACK包的状态信息。但是实际上通过测试，我们发现有一些TCP服务会对ACKFlood比较敏感，比如说JSPServer，在数量并不多的ACK小包的打击下(10kpps)，JSPServer就很难处理正常的连接请求。对于Apache或者IIS来说，10kpps的ACKFlood不构成危胁，但是更高数量的ACKFlood会造成服务器网卡中断频率过高，负载过重而停止响应。可以肯定的是，ACKFlood不但可以危害路由器等网络设备，而且对服务器上的应用有不小的影响。通过大量调查，发现正常TCP应用ACK包有一些基本统计特性：(1)ACK包在双向基本相等(有一个特例，FTPServer的passvie模式)。(2)ACK包的大小及内容是随机的。在攻击发生的时候，统计特性会出现明显的变化：(1)同一目的IP的ACK包在一侧大量突现，超过以该目的IP为源IP的ACK包的两倍以上。(2)ACK包的大小及内容相对固定。因此，我们基本可以确定ACKFlood防护的算法。首先利用对称性判断来分析出是否有攻击存在；在判断有攻击发生时，启用防护机制：首先ACK包是TCP三次握手的后续数据传输过程，如果不存在TCP的三次握手，那么ACK包的突然出现肯定是非法的。基于这点，可以建立一个hash表，用来存放TCP连接“状态”，相对于主机的TCPstack实现来说，状态检查的过程是相对简化，例如，不作sequencenumber的检查，不作包乱序的处理，只是统计一定时间内是否有ACK包在该“连接”(即四元组)上通过，从而“大致”确定该“连接”是否是“活动的”。UDPFlood是日渐猖厥的流量型DoS攻击，常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器。100kpps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDPFlood的防护非常困难。可行的做法是分析各种UDP应用协议，根据协议特性来进行分析。但是多数的UDP应用协议并不公开，只有在协议开发者与防拒绝服务厂商进行配合，才有可能做到较好的防护效果。同样的可以得到UDP正常应用的一些统计特性：(1)UDP包在双向基本相等。(2)UDP包的大小及内容是随机的。而当UDPFlood发生时，以上两条特性不再满足，即(1)同一目的IP的UDP包在一侧大量突现，超过以该目的IP为源IP的UDP包的两倍以上。(2)UDP包的大小及内容相对固定。大量tcpconnect不能建立正常的连接DDoS攻击介绍——ConnectionFlood正常用户正常tcpconnect攻击表象 利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数ConnectionFlood攻击原理ConnectionFlood是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接，或者建立连接之后很长时间不释放，占用服务器的资源，造成服务器的上服务应用无法响应其他客户所发起的连接。1)对“残余连接”耗尽的防护能力。黑洞跟踪每个TCP连接的状态变化，一旦发现某个状态超时，就向服务器发送TCPRst包以释放服务器上的SOCKET资源。2)对“并发连接”耗尽的防护能力。一旦某个源IP的累计存活连接数超过设定值就将来自该源IP的以往连接切断，这样做防止单个源IP占用服务器的大量资源，使服务器可以为更多的客户提供服务。受害者(WebServer)正常HTTPGet请求不能建立正常的连接DDoS攻击介绍——HTTPGetFlood正常用户正常HTTPGetFlood攻击表象 利用代理服务器向受害者发起大量HTTPGet请求 主要请求动态页面，涉及到数据库访问操作 数据库负载以及数据库连接池负载极高，无法响应正常请求受害者(DBServer)DB连接池用完啦！！DB连接池占用占用占用HTTPGetFlood攻击原理HTTPGetFlood防护HTTPGetFlood通常是利用代理服务器作为傀儡主机向WEB服务发起大量的HTTPGet请求。由于很多网站使用动态页面的技术，通常一次GET请求可能引发后台数据库的查询操作等，当HTTPGet数量增加到一定程度时，数据库服务器将不堪重负，导致动态页面无法响应，达到DoS的目的。这种攻击方式对静态页面的效果不是很明显。根据攻击的原理，可以构造这样的防护模型：对网络数据包进行HTTP协议解码，分析出HTTPGet请求及其参数（如URL等）；统计到达每个服务器的每秒钟的GET请求数，如果超过设定的阈值触发防护机制：判断某个GET请求是否来自代理服务器；如果是，则直接回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求，这样HTTPGet请求就无法到达服务器，达到防护的效果。如果请求不是来自代理服务器，则根据历史统计的结果计算可能是恶意请求的概率，若超过一定的概率则回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求，这样HTTPGet请求就无法到达服务器，达到防护的效果。根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道，在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。结合统计方法，构造DNSQueryFlood防护模块：统计域名解析的频度：域名解析成功的比率；同一域名解析的次数；记录域名查询失败的次数，建立域名信誉机制；自学习解析结果，记录域名和IP的对应关系；根据设定的阈值触发防护机制：根据域名IP自学习结果主动回应，减轻服务器负载（黑洞内建高速DNSCache）；根据域名信誉机制过滤部分解析请求；部分请求交由服务器解析，并记录解析的结果；对突然发起大量频度较低的域名解析请求的源IP地址进行带宽限制；结合IP信誉机制，在攻击发生时降低很少发起域名解析请求的源IP地址的优先级；限制每个源IP地址每秒的域名解析请求次数；常见的DoS攻击判断方法 判断与分析方法 网络流量的明显特征 操作系统告警单机分析 arp/Netstate/本机sniffer输出单机分析 抓包分析–中小规模的网络 网络设备的输出–中小规模的网络 Netflow分析-骨干网级别的分析方式DDOS攻击基础补充 DRDOS（分布式反射拒绝服务） DRDoS是英文“DistributedReflectionDenialofServie”的缩写，中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。由于是利用TCP/IP服务的“三次握手”的第二步，因此攻击者无需给被攻击者安装木马，发动DRDoS也只要花费攻击者很少的资源。 DRDoS是通过发送带有受害者IP地址的SYN连接请求包给攻击主机BGP，然后在根据TCP三次握手的规则，这些攻击主机BGP会向源IP（受害者IP）发出SYN+ACK包来响应这些请求，造成受害者主机忙于处理这些回应而被拒绝服务攻击。 被DDoS攻击时的现象 能瞬间造成对方电脑死机或者假死，有人曾经测试过，攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音。还有CPU使用率高等现象。 DDoS攻击一般步骤： 搜集了解目标的情况 1、被攻击目标主机数目、地址情况 2、目标主机的配置、性能 3、目标的带宽 占领傀儡机 1、链路状态好的主机 2、性能不好的主机 3、安全管理水平差的主机 实施攻击 1、向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。 2、一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。 3、老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 预防为主的DDOS应付方法 1.定期扫描 要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。 2．在骨干节点配置防火墙 防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。 3．用足够的机器承受骇客攻击 这是一种较为理想的应对策略。 4．充分利用网络设备保护网络资源 所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。 预防为主的DDOS应付方法 5．过滤不必要的服务和端口 过滤不必要的服务和端口，即在路由器上过滤假IP，只开放服务端口成为目前很多服务器的流行做法。 6．检查访问者的来源 使用单播反向路径转发(UnicastReversePathForwarding)等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。 7．过滤所有RFC1918IP地址 RFC1918IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。 8．限制SYN/ICMP流量 用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有骇客入侵。 DDoS防御的方法： 1．采用高性能的网络设备 2．尽量避免NAT的使用 3．充足的网络带宽保证 4．升级主机服务器硬件 5．把网站做成静态页面 6．增强操作系统的TCP/IP栈 7．安装专业抗DDOS防火墙thanks！**可编辑SYNFlood:1)完备的SYNProxy；这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈；2)RandomDrop；随机丢包的方式虽然可以减轻服务器的负载，但是正常连接的成功率也会降低很多；3)特征匹配；在攻击发生的当时统计攻击报文的特征，定义特征库；例如过滤不带TCPOptions的syn包等；4)丢弃64字节小报文；5)根据经验判断IP包头里TTL值不合理的数据包。从这些方法分析来看，SYNProxy算法可以从理论上完全解决伪造源IP的SYNFlood攻击，只要对其进行改进，结合IP信誉机制以及HCF算法，就可以起到较好的防护效果。SYNFlood防护算法在对一个TCPSYN连接请求做反向探测时，连接请求发起端先和防拒绝服务系统建立3次握手，然后防拒绝服务系统模拟客户端向服务器发起连接请求，这样就把通常的TCP连接建立过程由3次握手增加到6次握手。而对于伪造源IP的SYN包，由于无法和防拒绝服务系统建立前面的3次握手，该SYN包就不会到达服务器。ACKFlood属于单包类型攻击，即用大量ACK小包进行冲击。按照我们对TCP协议的理解，随机源IP的ACK小包应该会被Server很快丢弃，因为在服务器的TCP堆栈中没有这些ACK包的状态信息。但是实际上通过测试，我们发现有一些TCP服务会对ACKFlood比较敏感，比如说JSPServer，在数量并不多的ACK小包的打击下(10kpps)，JSPServer就很难处理正常的连接请求。对于Apache或者IIS来说，10kpps的ACKFlood不构成危胁，但是更高数量的ACKFlood会造成服务器网卡中断频率过高，负载过重而停止响应。可以肯定的是，ACKFlood不但可以危害路由器等网络设备，而且对服务器上的应用有不小的影响。通过大量调查，发现正常TCP应用ACK包有一些基本统计特性：(1)ACK包在双向基本相等(有一个特例，FTPServer的passvie模式)。(2)ACK包的大小及内容是随机的。在攻击发生的时候，统计特性会出现明显的变化：(1)同一目的IP的ACK包在一侧大量突现，超过以该目的IP为源IP的ACK包的两倍以上。(2)ACK包的大小及内容相对固定。因此，我们基本可以确定ACKFlood防护的算法。首先利用对称性判断来分析出是否有攻击存在；在判断有攻击发生时，启用防护机制：首先ACK包是TCP三次握手的后续数据传输过程，如果不存在TCP的三次握手，那么ACK包的突然出现肯定是非法的。基于这点，可以建立一个hash表，用来存放TCP连接“状态”，相对于主机的TCPstack实现来说，状态检查的过程是相对简化，例如，不作sequencenumber的检查，不作包乱序的处理，只是统计一定时间内是否有ACK包在该“连接”(即四元组)上通过，从而“大致”确定该“连接”是否是“活动的”。UDPFlood是日渐猖厥的流量型DoS攻击，常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器。100kpps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDPFlood的防护非常困难。可行的做法是分析各种UDP应用协议，根据协议特性来进行分析。但是多数的UDP应用协议并不公开，只有在协议开发者与防拒绝服务厂商进行配合，才有可能做到较好的防护效果。同样的可以得到UDP正常应用的一些统计特性：(1)UDP包在双向基本相等。(2)UDP包的大小及内容是随机的。而当UDPFlood发生时，以上两条特性不再满足，即(1)同一目的IP的UDP包在一侧大量突现，超过以该目的IP为源IP的UDP包的两倍以上。(2)UDP包的大小及内容相对固定。ConnectionFlood是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接，或者建立连接之后很长时间不释放，占用服务器的资源，造成服务器的上服务应用无法响应其他客户所发起的连接。1)对“残余连接”耗尽的防护能力。黑洞跟踪每个TCP连接的状态变化，一旦发现某个状态超时，就向服务器发送TCPRst包以释放服务器上的SOCKET资源。2)对“并发连接”耗尽的防护能力。一旦某个源IP的累计存活连接数超过设定值就将来自该源IP的以往连接切断，这样做防止单个源IP占用服务器的大量资源，使服务器可以为更多的客户提供服务。HTTPGetFlood防护HTTPGetFlood通常是利用代理服务器作为傀儡主机向WEB服务发起大量的HTTPGet请求。由于很多网站使用动态页面的技术，通常一次GET请求可能引发后台数据库的查询操作等，当HTTPGet数量增加到一定程度时，数据库服务器将不堪重负，导致动态页面无法响应，达到DoS的目的。这种攻击方式对静态页面的效果不是很明显。根据攻击的原理，可以构造这样的防护模型：对网络数据包进行HTTP协议解码，分析出HTTPGet请求及其参数（如URL等）；统计到达每个服务器的每秒钟的GET请求数，如果超过设定的阈值触发防护机制：判断某个GET请求是否来自代理服务器；如果是，则直接回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求，这样HTTPGet请求就无法到达服务器，达到防护的效果。如果请求不是来自代理服务器，则根据历史统计的结果计算可能是恶意请求的概率，若超过一定的概率则回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求，这样HTTPGet请求就无法到达服务器，达到防护的效果。根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道，在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。结合统计方法，构造DNSQueryFlood防护模块：统计域名解析的频度：域名解析成功的比率；同一域名解析的次数；记录域名查询失败的次数，建立域名信誉机制；自学习解析结果，记录域名和IP的对应关系；根据设定的阈值触发防护机制：根据域名IP自学习结果主动回应，减轻服务器负载（黑洞内建高速DNSCache）；根据域名信誉机制过滤部分解析请求；部分请求交由服务器解析，并记录解析的结果；对突然发起大量频度较低的域名解析请求的源IP地址进行带宽限制；结合IP信誉机制，在攻击发生时降低很少发起域名解析请求的源IP地址的优先级；限制每个源IP地址每秒的域名解析请求次数；