1、DDOS攻防與追蹤Refdom12/21/2002XFOCUS.ORGFREE IS ALL !2內(nèi)容介紹 DDOS攻擊 DDOS防御技術(shù) 數(shù)據(jù)包特征識別技術(shù)研究 源追蹤（Traceback）技術(shù) DDOS監(jiān)控技術(shù)XFOCUS.ORGFREE IS ALL !3一、DDOS攻擊現(xiàn)狀與趨勢 大分布型的高強(qiáng)度攻擊 產(chǎn)生隨機(jī)源IP地址 數(shù)據(jù)包結(jié)構(gòu)位的隨機(jī)性 協(xié)議缺陷與系統(tǒng)處理缺陷 使用多種協(xié)議及多種形式XFOCUS.ORGFREE IS ALL !4加強(qiáng)DDOS的強(qiáng)度 混合的攻擊 例：例：Syn-cookie等防御在CPU消耗方面： Syn包在Cookie表中的檢查 查詢ACK標(biāo)志包對應(yīng)的Cooki

2、e表SYN 、ACK flood； 對Syn-cookie的探測XFOCUS.ORGFREE IS ALL !5加強(qiáng)DDOS的強(qiáng)度 提高發(fā)包速率，減小checksum的計算量； 攻擊包預(yù)產(chǎn)生法CreatPacket()LinkListLoadPacket()Send()XFOCUS.ORGFREE IS ALL !6加強(qiáng)DDOS的強(qiáng)度 無指紋可識別；ipheader.id = SYSIdent.id + random;ipheader.ttl = SYSIdent. TTL + random(10);tcpheader.th_win = SYSIdent.window;tcpheader.se

3、q != random();tcpheader.sport != rand(65535);XFOCUS.ORGFREE IS ALL !7二、防御方法現(xiàn)狀 數(shù)據(jù)包過濾（包括特征分析） 隨機(jī)丟包 SYN-Cookie, SYN-Cache等 被動消極忽略 主動發(fā)送RST 其他方法（動態(tài)DNS等） 拔網(wǎng)線 XFOCUS.ORGFREE IS ALL !8抗拒絕服務(wù)設(shè)計 簡單結(jié)構(gòu)（Syn-Cookie）哈希表Intel網(wǎng)卡Net抗拒絕服務(wù)部分受保護(hù)部分DMAXFOCUS.ORGFREE IS ALL !9Syn Cookies Kernel/ drivers/ char/ random.c Cook

4、ie:MD5(sec1,saddr,sport,daddr,dport,sec1)+ their sequence number + (count * 224)+ MD5(sec2,saddr,sport,daddr,dport,count,sec2) % 224) Where count increases every minute by 1. XFOCUS.ORGFREE IS ALL !10IDS對SYN Flood的檢測 現(xiàn)在的基于SYNs + TIME的特征； 真的沒有問題么？ 正常SYN的高流量問題 調(diào)整TIME問題 RSTs + TIME是解決辦法么？XFOCUS.ORGFREE

5、 IS ALL !11路由器上的防御 Access-list 訪問控制列表 access-list 101 deny ip 55 any Rate-limit 流量限制(bps) rate-limit output 512000 56000 64000 conform-action transmit exceed-action drop 請參考相關(guān)資料XFOCUS.ORGFREE IS ALL !12路由器的Intercept模式 開啟該功能：ip tcp intercept list access-list-number Watch和intercep

6、t（默認(rèn)）模式。 設(shè)置模式命令：ip tcp intercept mode intercept | watch XFOCUS.ORGFREE IS ALL !13路由器的Intercept模式 Watch模式下，路由器允許SYN直接達(dá)到服務(wù)器。如果該會話在30秒（默認(rèn)）內(nèi)沒有建立，就向服務(wù)器發(fā)送RST清除該連接。 Intercept模式下，TCP連接請求達(dá)到目標(biāo)主機(jī)之前，路由器攔截所有TCP請求，并代表服務(wù)器建立客戶機(jī)的連接，并代表客戶機(jī)建立與服務(wù)器的連接，當(dāng)兩個連接都成功實現(xiàn)，路由器就將兩個連接進(jìn)行透明的合并。 XFOCUS.ORGFREE IS ALL !14三、基礎(chǔ)的數(shù)據(jù)包特征分析 從攻

7、擊代碼中獲得數(shù)據(jù)包的固定值，包括window、sourceport、seq或id等，比如mstream：win= htons(16384)；teardrop：id=htons(242) Land攻擊的源IP與目的IP一樣； Ping of Death分片ICMP包，重組的包大于65535，通常為65538； XFOCUS.ORGFREE IS ALL !15目前的特征分析缺陷 局限于對某種特定攻擊或者工具； 太依賴于攻擊程序中的固定值； 對于隨機(jī)數(shù)則無法特征化； 無法普遍標(biāo)識攻擊流；XFOCUS.ORGFREE IS ALL !16v 基于統(tǒng)計的特征分析 Statistic-Based Fin

8、gerprint Identification Inside XFocuss DDOS Research Project 用某種Hash標(biāo)志數(shù)據(jù)包。對正常的數(shù)據(jù)流量進(jìn)行記錄統(tǒng)計，得出正常的特征A，這些特征以數(shù)據(jù)包數(shù)量間關(guān)系的分布。在攻擊發(fā)起的一段時間內(nèi)，再次統(tǒng)計得到一個新的流量特征B 從分布曲線對比，獲得B在A上的突變特征C； 通過將具有突變特征C的數(shù)據(jù)過濾，來減少攻擊的損失，盡可能地保證最大化的正常訪問。 XFOCUS.ORGFREE IS ALL !17基于的假設(shè) 攻擊發(fā)起的數(shù)據(jù)包與統(tǒng)計沒有關(guān)系 攻擊發(fā)起的包程序化 攻擊者發(fā)送足夠多的數(shù)據(jù)包 攻擊沒有造成網(wǎng)絡(luò)通路上的堵塞 XFOCUS.OR

9、GFREE IS ALL !18突變特征的產(chǎn)生XFOCUS.ORGFREE IS ALL !19對于TTL值的分析 系統(tǒng)默認(rèn)的TTL值為255、128、64、32。 通常的路由Hop為10-20 正常的TTL范圍：235245、108 118、44 54、12 22XFOCUS.ORGFREE IS ALL !20對TTL值的分析 TFN3K的TTL算法：ih-ttl = getrandom (200, 255)TTL的范圍為： （MAX）180245；（MIN）190235 通過TTL值即可過濾最大84.6%的攻擊包XFOCUS.ORGFREE IS ALL !21對TTL值的分析 Mstr

10、eam的TTL計算方法： packet.ip.ip_ttl = 255； 單一的TTL值255意味著TTL的統(tǒng)計分析能出現(xiàn)突變，對定位攻擊源的位置也有一定幫助。 XFOCUS.ORGFREE IS ALL !22難度與缺陷 統(tǒng)計分布分析花銷問題 只能盡可能地弱化攻擊 將影響一部分正常數(shù)據(jù)包 不可特征化問題 過濾操作問題 XFOCUS.ORGFREE IS ALL !23仍進(jìn)行中的研究 用SEQ序號分析 Hash函數(shù)研究 XFOCUS.ORGFREE IS ALL !24四、源追蹤 Traceback Traceback簡介 Link Tesing Controlled Flooding ICM

11、P Message Marking Packet TracebackXFOCUS.ORGFREE IS ALL !25Traceback簡介 目的 杜絕攻擊數(shù)據(jù)包的源頭 攻擊取證與誘捕 難度 隨機(jī)偽造IP地址 源頭只是傀儡 目前協(xié)議和硬件的局限 路徑重構(gòu)的花銷XFOCUS.ORGFREE IS ALL !26Link Testing Hop-By-Hop 利用Cisco路由器 實例介紹 Cisco的IP Source TrackerXFOCUS.ORGFREE IS ALL !27Controlled Flooding 實際上就是制造flood攻擊，通過觀察路由器的狀態(tài)來判斷攻擊路徑。首先應(yīng)該

12、有一張上游的路徑圖，當(dāng)受到攻擊的時候，可以從victim的上級路由器開始依照路徑圖對上游的路由器進(jìn)行控制的flood，因為這些數(shù)據(jù)包同攻擊者發(fā)起的數(shù)據(jù)包同時共享了路由器，因此增加了路由器丟包的可能性。通過這種沿路徑圖不斷向上進(jìn)行，就能夠接近攻擊發(fā)起的源頭。XFOCUS.ORGFREE IS ALL !28Itrace Working Group(IETF) 目前進(jìn)度為：draft-ietf-itrace-02-ICMP Traceback Messages.txt 路由器以一定概率發(fā)送ICMP Traceback消息。 ICMP Traceback Messages重構(gòu)攻擊路徑XFOCUS.O

13、RGFREE IS ALL !29ICMP Traceback的缺陷 在1/20000概率下增加0.1%的包 ICMP包很可能被過濾掉 一些路由器沒有input debugging功能 偽造ICMP Traceback問題 路由器的貧窮與富裕問題XFOCUS.ORGFREE IS ALL !30Packet Marking Traceback Node Append Node Sampling Edge Sampling Compressed edge fragment sampling XFOCUS.ORGFREE IS ALL !31附加節(jié)點算法 (Node Append) 把每一個節(jié)點地

14、址附加在數(shù)據(jù)包的末尾，表明這是從哪里傳入的。 缺點： 對于高速路由器來說將增加負(fù)擔(dān) 可能導(dǎo)致不必要的分片，或者因為MTU而破壞 協(xié)議中保留空間可能導(dǎo)致攻擊者偽造內(nèi)容XFOCUS.ORGFREE IS ALL !32節(jié)點取樣算法 (Node Sampling) 在路徑中的一個節(jié)點取樣，讓一個樣本來代替整個路徑。 當(dāng)接收到一個數(shù)據(jù)包，每個路由器就以概率p，選擇性地將地址寫到節(jié)點地址區(qū)間內(nèi)。 Victim通過一系列樣本重構(gòu)攻擊路徑XFOCUS.ORGFREE IS ALL !33節(jié)點取樣算法 (Node Sampling) 可以通過每個節(jié)點的相關(guān)數(shù)推理得到路徑次序。 由于路由器被成序列地安排在一起，

15、而且數(shù)據(jù)包被路由器標(biāo)記的概率有一個概率基數(shù)，那么距離victim越近的路由器被標(biāo)記的概率就會越小。 每個路由器的概率基數(shù)是p那么，經(jīng)過d級路由標(biāo)記的概率就是p(1-p)d-1XFOCUS.ORGFREE IS ALL !34節(jié)點取樣算法 (Node Sampling) 算法：Marking procedure at router R: for each packet w let x be a random number from 0.1) if xp then, write R into w.nodeXFOCUS.ORGFREE IS ALL !35節(jié)點取樣算法 (Node Sampling)

16、Path reconstruction procedure at vitim v: let NodeTbl be a table of tuples(node,count) for each packet w from attacker z:= lookup w.node in NodeTbl if z!= NULL then increment z.count else insert tuple(w.node,1) in NodeTbl sort NodeTbl by count extract pacth(Ri.Rj) from ordered node fileds in NodeTbl

17、XFOCUS.ORGFREE IS ALL !36節(jié)點取樣算法 (Node Sampling) 缺陷 改變IP頭，并添加32 bits的節(jié)點空間 需要重新計算checksum 從有用的的取樣中推理得出整個路由是一個相當(dāng)慢的過程，如果d=15, p=0.51，那么接收方至少需要接收到42000個數(shù)據(jù)包才可得到一個標(biāo)記取樣。要確保正確率在95%以上，那么，還需要是這個數(shù)字的7倍。 完全不適合分布式攻擊XFOCUS.ORGFREE IS ALL !37邊緣取樣(Edge Sampling) 在數(shù)據(jù)包中保留兩個地址空間，用來標(biāo)記路由開始點(start)和終止點(end)，并且用一個區(qū)間來表示距離(di

18、stance)，用它來表示一個樣本到victim的距離。 當(dāng)一個路由器決定標(biāo)記數(shù)據(jù)包的時候，它把自己的地址填充到start，把distance域填0。如果distance域已經(jīng)是0了，就表示這個數(shù)據(jù)包已經(jīng)被前一個路由器標(biāo)記過。在這種情況下，路由器就把自己的地址填入end域。如果路由器不標(biāo)記數(shù)據(jù)包，那么就始終在distance域中加1。XFOCUS.ORGFREE IS ALL !38邊緣取樣(Edge Sampling) 算法：Marking procedure at router R:For each packet w let x be a random number from 0,1 if

19、 xp then write R into w.start and 0 into w.distance else if w.distance = 0 then write R into w.end increment w.distanceXFOCUS.ORGFREE IS ALL !39邊緣取樣(Edge Sampling) Path reconstruction procedure at vitim v: Let G be a tree with root v let edges in G be tuples(start,end,distance) for each packet w fro

20、m attacker if w.distance=0 then insert edge(w.start,v,0) into G else insert edge(w.start,w.end,w.distance) into G remove any edge(x,y,d) with d!=distance from x to v in G extract path(Ri,.Rj) by enumerating acyclie paths in GXFOCUS.ORGFREE IS ALL !40邊緣取樣(Edge Sampling) 上面的算法表示邊緣取樣回溯IP過程。因為接收樣本的可能性是與

21、它同Victim的距離成幾何遞減的，對于一個有d級遠(yuǎn)的路由器來說，期望值就是 1/p(1-p)(d-1) 要求從Victim能重新構(gòu)建d深度路徑的數(shù)據(jù)包數(shù)X，表達(dá)式是：E(x) ln(d)/p(1-p)(d-1) （Ln(d)為影響因數(shù)）XFOCUS.ORGFREE IS ALL !41邊緣取樣(Edge Sampling) 缺陷 在邊緣取樣算法中每個IP包需要多72bit空間； 在包后面附加額外的數(shù)據(jù)花費昂貴，并且不一定有足夠的空間來附加這些數(shù)據(jù)；XFOCUS.ORGFREE IS ALL !42Compressed edge fragment sampling 建立在重載16位的IP identification域的編碼方式； 通過標(biāo)記邊緣的兩個IP地址進(jìn)行XOR運(yùn)算，可以只需要一半的空間； 將每個邊界標(biāo)記再進(jìn)行細(xì)分成；XFOCUS.ORGFREE IS ALL !43對IP地址進(jìn)行XOR運(yùn)算XFOCUS.ORGFREE IS ALL !44將邊界標(biāo)記細(xì)分XFOCUS.ORGFREE IS ALL !45邊界標(biāo)記的重組判斷XFOCUS.ORGFREE IS ALL !46重載IP頭的identification域 當(dāng)前統(tǒng)計表明只有0.25%被分片； 重載IP頭部的identification域； 3bit的offset（可