1、DDoS的災(zāi)難性攻擊解析與應(yīng)對(duì)目錄歷史背景風(fēng)險(xiǎn)管理網(wǎng)絡(luò)攻擊和應(yīng)對(duì)措施 架構(gòu)視圖歷史時(shí)間線第一次攻擊：1999年-2000年2005年:微軟提出STRIDE威脅模型身份欺騙篡改數(shù)據(jù)否認(rèn)信息泄漏拒絕服務(wù)權(quán)限提升DDoS“分布式攻擊”與“非分布式攻擊”的區(qū)別十分模糊。傳統(tǒng)意義上來(lái)說(shuō)，分布式攻擊有多個(gè)來(lái)源。來(lái)源是什么？是一個(gè)IP地址還是一臺(tái)物理機(jī)呢？如果是一臺(tái)物理機(jī)，是一個(gè)虛擬機(jī)發(fā)起的攻擊嗎？亦或是同一臺(tái)物理虛擬監(jiān)視器下的多個(gè)虛擬機(jī)？ 如果這些虛擬機(jī)經(jīng)常在數(shù)臺(tái)物理機(jī)間遷移呢？假如我的電腦遭到了分布式攻擊，我該如何判斷攻擊是單個(gè)來(lái)源還是多個(gè)來(lái)源呢？假如攻擊來(lái)自某個(gè)IP地址，那么我們?cè)撊绾翁幚硖摷倭髁磕兀?/p>

2、D?DoS因此，需要運(yùn)用不同的思維來(lái)理解：拒絕服務(wù)（DoS）（正如STRIDE模型的一樣）：軟件中存在 的弱點(diǎn)（比如像Ping of Death的空指針解引用。）分布式拒絕服務(wù)（DDoS）：消耗計(jì)算資源。風(fēng)險(xiǎn)管理STRIDE和其他威脅模型的基本思想是風(fēng)險(xiǎn)評(píng)估、建模以及管理?？赡苄?影響矩陣圖輕微影響可能性極低不太可能 中度影響可能 非?？赡茌p度影響中度影響重大影響嚴(yán)重影響可能性/影響矩陣圖輕微影響可能性極低不太可能中度影響可能非常可能輕度影響中度影響重大影響嚴(yán)重影響2018年分布式拒絕 服務(wù)（DDoS）攻擊影響：嚴(yán)重影響可能性：？風(fēng)險(xiǎn)管理攻擊者的動(dòng)機(jī)尋求快樂(lè)！ 敲詐勒索 自我炫耀 政治目的報(bào)復(fù)

3、市場(chǎng)競(jìng)爭(zhēng)轉(zhuǎn)移注意力（比如竊取信息時(shí)）防止他人訪問(wèn)不利于自己的 信息。很難評(píng)估和控制大致可預(yù)測(cè)！網(wǎng)絡(luò)資源耗竭現(xiàn)在，計(jì)算機(jī)網(wǎng)絡(luò)由多層構(gòu)成。當(dāng)至少一個(gè)網(wǎng)絡(luò)層級(jí)停止提供服務(wù)后，用戶將無(wú)法接收到相關(guān)網(wǎng)絡(luò)資源。因此，不同網(wǎng)絡(luò)層級(jí)受到影響將形成不同的DDoS攻擊：L2 普通帶寬消耗L3L4 L5 L6L7應(yīng)用特有的瓶頸問(wèn)題超負(fù)荷使用TCP/TLS的邊 緣案例攻擊案例L2-L3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻擊、放大攻擊等（簡(jiǎn)單了解即可）基礎(chǔ)設(shè)施層攻擊典型放大攻擊多臺(tái)服務(wù)器通過(guò)互聯(lián) 網(wǎng)向客戶發(fā)送的數(shù)據(jù) 比接收到的多。UDP服務(wù)通常不會(huì)檢 查源IP地址。這種漏洞給了DDoS 放大攻擊可乘之機(jī)。攻擊者受

4、害者來(lái)源（Src）：受害者（受到欺騙）目的（Dst）：放大攻擊 “ANY? com.”1Gbps來(lái)源（Src）：放大攻擊 目的（Dst）：受害者“com. NS i.gtld-.”29Gbps脆弱的協(xié)議長(zhǎng)長(zhǎng)的協(xié)議清單大多數(shù)協(xié)議早已過(guò)時(shí)諸如游戲協(xié)議類的當(dāng) 前協(xié)議包括：網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）RIPv1DNS協(xié)議PORTMAP協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議字符發(fā)生器協(xié)議（SNMP）（CHARGEN）簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議雷神之錘協(xié)議（SSDP）（Quake）互聯(lián)網(wǎng)控制消息協(xié)議Steam協(xié)議(ICMP)Memcached協(xié)議網(wǎng)路基本輸入輸出系 統(tǒng)協(xié)議（NetBIOS）脆弱的服務(wù)器大多數(shù)過(guò)時(shí)的服務(wù)器 最終會(huì)被更新替換或

5、遭到淘汰。因此放大器的數(shù)量呈穩(wěn) 定的下降趨勢(shì)。然而，時(shí)不時(shí)會(huì)出現(xiàn)新 的脆弱協(xié)議。放大器總數(shù)放大器總數(shù)累積放大的可能性累積放大的可能性源地址所有權(quán)的證明例如，基于UDP的低時(shí)延的互聯(lián)網(wǎng)傳輸層協(xié)議（QUIC）（由國(guó)際互聯(lián)網(wǎng)工程任務(wù)組設(shè) 計(jì)的傳輸層協(xié)議）：初次握手包有1280字節(jié)源地址驗(yàn)證其他UDP協(xié)議必須執(zhí)行類似的過(guò)程。L2-L3 攻擊緩解在受害者看來(lái)：Anycast網(wǎng)絡(luò)檢驗(yàn)到位進(jìn)行清單管理，清除來(lái)路不明的通信服務(wù)器（比如UDP服務(wù)連接HTTP服務(wù)器）限速控制不太重要的網(wǎng)絡(luò)流量挑戰(zhàn)和握手（稍后會(huì)詳細(xì)介紹）在互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）看來(lái)：抵抗典型攻擊的簡(jiǎn)單啟發(fā)法遠(yuǎn)程觸發(fā)黑洞技術(shù)（讓客戶自行解決問(wèn)題

6、。）攻擊案例L2-L3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻擊、放大攻擊等（簡(jiǎn)單了解即可）基礎(chǔ)設(shè)施層攻擊攻擊案例L2-L3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻擊、放大攻擊等（簡(jiǎn)單了解即可）基礎(chǔ)設(shè)施層攻擊L4-L6SYN洪水攻擊、TCP連接攻擊、 Sockstress攻擊等。TLS攻擊攻擊案例L2-3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻擊、放大攻擊等（簡(jiǎn)單了解即可）基礎(chǔ)設(shè)施層攻擊L4-6SYN洪水攻擊、TCP連接攻擊、 Sockstress攻擊等。TLS攻擊一次攻擊可以同時(shí)影響多 個(gè)網(wǎng)絡(luò)層級(jí)。聯(lián)合攻擊比如，NTP放大攻擊和SYN洪水攻擊同時(shí)進(jìn)行。聯(lián)合攻擊的目的在于轉(zhuǎn)移負(fù)責(zé)人的注意

7、力，防止他們專心解 決真正的威脅。分批聯(lián)合攻擊聯(lián)合攻擊的目的在于轉(zhuǎn)移負(fù)責(zé)人的注意力，防止他們專心解決真正的威脅。21:30:01.226868 IP 1 41:GREv0, length 544:IP 44.65323 64.80:UDP, length 51221:30:01.226873 IP 11 41:GREv0, length 544:IP 06.50021 8.80:UDP, length 512L4+ 攻擊緩解SYN洪水攻擊：基于3次握手過(guò)程的SYN cookies和SYN 代理（proxy）可以幫助受害者檢查源IP地址。其它基于數(shù)據(jù)包的洪水攻擊：進(jìn)行相同攻擊的握手與挑戰(zhàn)剩余部分

8、：會(huì)話分析、啟發(fā)式、黑名單在沒(méi)有驗(yàn)證源IP地址的情況下，使用黑名單或白名單十分危險(xiǎn)！切記進(jìn)行網(wǎng)絡(luò)資產(chǎn)管理！L4+ 攻擊緩解認(rèn)為L(zhǎng)4只是傳輸控制協(xié)議（TCP）的這種觀點(diǎn)有誤。新型傳輸協(xié)議通過(guò)以下方式執(zhí)行網(wǎng)絡(luò)服務(wù)供應(yīng)商 應(yīng)用程序國(guó)際互聯(lián)網(wǎng)工程任務(wù)組終端用戶服務(wù)器？終端用戶后臺(tái)？互聯(lián)網(wǎng)轉(zhuǎn)接與互聯(lián)網(wǎng)服務(wù)提供商IPv6概要128比特位 IP地址有可能：為地球上的每一粒沙子提供一個(gè)IP地址不太可能：在內(nèi)存中存儲(chǔ)大量條目大約在10年前，將整個(gè)IPv4網(wǎng)絡(luò)列入黑名單是很糟糕的做法。除了使用IPv6，我們別無(wú)選擇。攻擊案例L2-L3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻擊、放大攻擊等（簡(jiǎn)單了解即可）基礎(chǔ)設(shè)施

9、層攻擊L4-L6SYN洪水攻擊、TCP連接攻擊、Sockstress攻擊等TLS攻擊攻擊案例L2-L3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻擊、放大攻擊等（簡(jiǎn)單了解即可）基礎(chǔ)設(shè)施層攻擊L4-L6SYN洪水攻擊、TCP連接攻擊、Sockstress攻擊等TLS攻擊L7基于應(yīng)用程序的洪水攻擊WORDPRESS PINGBACK攻擊GET /whatever用戶代理：WordPress/3.9.2; /;verifying pingback from 50同時(shí)存在150000170000 個(gè)易受攻擊的服務(wù)器支持安全套接層（SSL）與 傳輸層安全協(xié)議（TLS）交易速率/bps輸入速率傳遞速率輸出速

10、率率：率：12月31日，星期四，15:00輸入速率：5.94 Gbps輸出速M(fèi)bps傳遞速M(fèi)bpsL7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）互聯(lián)網(wǎng)機(jī)器人實(shí)際上可以比Wordpress機(jī)器更加聰明高級(jí)僵尸網(wǎng)絡(luò)能夠使用無(wú)頭瀏覽器（IE / Edge或Chrome）= “完整瀏覽器堆?！?(FBS) 僵尸網(wǎng)絡(luò)支持FBS的機(jī)器人能夠完成復(fù)雜的挑戰(zhàn)，如Javascript代碼執(zhí)行L7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）如果進(jìn)行正規(guī)的被動(dòng)分析，驗(yàn)證碼（CAPTCHA）將 是對(duì)抗FBS的最后武器。優(yōu)勢(shì)：易于實(shí)施通常能夠奏效L7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）CAPTCHA弊端（1/3）：

11、需加入用戶體驗(yàn)（UX），可能會(huì)破壞UX本身破壞移動(dòng)設(shè)備應(yīng)用程序相較于機(jī)器人，某些情況下對(duì)人來(lái)說(shuō)更加困難L7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）CAPTCHA弊端（2/3）：需加入用戶體驗(yàn)（UX），可能會(huì)破壞UX本身破壞移動(dòng)設(shè)備應(yīng)用程序相較于機(jī)器人，某些情況下對(duì)人類來(lái)說(shuō)更加困難并非所有機(jī)器人都是惡意的，并非所有的人都是無(wú)辜的CAPTCHA代理和CAPTCHA農(nóng)場(chǎng)，例如 /一旦用戶的計(jì)算機(jī)被感染，惡意軟件將會(huì)把CAPTCHA注入 該用戶正在瀏覽的網(wǎng)頁(yè)之中L7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）CAPTCHA弊端（3/3）：需加入用戶體驗(yàn)（UX），可能會(huì)破壞UX本身破壞移動(dòng)設(shè)備應(yīng)用程序相

12、較于機(jī)器人，某些情況下對(duì)人類來(lái)說(shuō)更加困難并非所有機(jī)器人都是惡意的，并非所有的人都是無(wú)辜的CAPTCHA代理和CAPTCHA農(nóng)場(chǎng)，例如/一旦用戶的計(jì)算機(jī)被感染，惡意軟件將會(huì)將CAPTCHA注入該用戶正在瀏覽 的網(wǎng)頁(yè)之中光學(xué)字符識(shí)別（OCR）工具快速發(fā)展語(yǔ)音識(shí)別的發(fā)展速度比OCR更加迅速“隱匿式安全”：使用開(kāi)源機(jī)器學(xué)習(xí)工作比較容易破解開(kāi)源類CAPTCHA舉 例 ：/ageitgey/how-to-break-a-captcha- system-in-15-minutes-with-machine-learning-dbebb035a710L7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）“工作量證明”

13、，就像在客戶端Javascript挖掘加密貨幣一樣？不可行性典型的僵尸網(wǎng)絡(luò)可感染數(shù)十萬(wàn)臺(tái)機(jī)器；典型的Web站點(diǎn)正在爭(zhēng)取頁(yè)面加載時(shí)間，雖然只有幾毫秒。L7攻擊的另一個(gè)例子：完整瀏覽器堆棧（FBS）不同于Wordpress pingback，類似攻擊在大多數(shù)情況下 并不會(huì)導(dǎo)致鏈接降級(jí)。因而該類攻擊通常不屬于ISP的責(zé)任范疇L7 攻擊緩解：內(nèi)容復(fù)雜主動(dòng)型：超文本傳輸協(xié)議（HTTP）/JS 挑戰(zhàn)驗(yàn)證碼（CAPTCHA）被動(dòng)型：應(yīng)用程序會(huì)話分析大數(shù)據(jù)關(guān)聯(lián)、機(jī)器學(xué)習(xí)監(jiān)控、事件響應(yīng)誤報(bào)和漏報(bào)所有基于學(xué)習(xí)的算法并不是那么嚴(yán)格。誤報(bào)：算法在沒(méi)有匹配項(xiàng)時(shí)表現(xiàn)出匹配特征漏報(bào)：算法在有匹配項(xiàng)時(shí)表現(xiàn)出無(wú)匹配特征基本上，

14、任何算法都可調(diào)整為0FP或0FN事實(shí)通常介于兩者之間攻擊目的決定其均衡性攻擊案例L2-L3容量耗盡攻擊：UDP洪水攻擊、SYN洪水攻 擊、放大攻擊等（簡(jiǎn)單了解即可）分類如下：彼此獨(dú)立 *互無(wú)遺漏基礎(chǔ)設(shè)施層攻擊L4-L6SYN洪水攻擊、TCP連接攻擊、Sockstress攻擊等TLS攻擊L7基于應(yīng)用程序的洪水攻擊互聯(lián)網(wǎng)包羅萬(wàn)象，極其復(fù)雜數(shù)十年以來(lái)，IT界有一道廣為人知的求職面試題：“當(dāng)你在瀏覽器輸入會(huì)發(fā)生什么？”/alex/what-happens-when:目錄按下“g”鍵回車鍵按下產(chǎn)生中斷（非USB鍵盤）（Windows）一個(gè)WM_KEYDOW鍵盤消息被發(fā)往應(yīng)用程序（Mac OS X）一個(gè)K

15、eyDown NSEvent被發(fā)往應(yīng)用程序（GNU/Linux）Xorg服務(wù)器監(jiān)聽(tīng)鍵碼值解析全球資源定位器（URL）輸入的是全球資源定位器（URL）還是搜索的關(guān)鍵字？當(dāng)時(shí)發(fā)生了什么？域名服務(wù)器（DNS）查詢使用套接字傳輸層安全協(xié)議（TLS）握手超文本傳輸協(xié)議（HTTP）超文本傳輸協(xié)議（HTTP）服務(wù)器請(qǐng)求處理當(dāng)時(shí)發(fā)生了什么？域名服務(wù)器（DNS）查詢IPv4/IPv6選擇使用套接字深度包檢測(cè)（DPI）傳輸層安全協(xié)議（TLS）握手證書(shū)吊銷列表（CRL）/在線證書(shū)狀態(tài)協(xié)議（OCSP）超文本傳輸協(xié)議（HTTP）負(fù)載均衡器超文本傳輸協(xié)議（HTTP）服務(wù) 器請(qǐng)求處理內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）應(yīng)用服務(wù)器不能僅作為DDos攻擊的 直接目標(biāo)