互聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊和防護(hù)

安全應(yīng)急演練總結(jié)

提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務(wù)攻擊DDoS背景五：總結(jié)和思考四：城域網(wǎng)僵尸網(wǎng)絡(luò)DDoS事件DDoS概念DoSDenialofService的簡稱，拒絕服務(wù)。屬于攻擊早期形態(tài)，由于攻擊者帶寬、CPU等資源不足，較難形成威脅。如果是目標(biāo)有明顯漏洞，不需要僵尸網(wǎng)絡(luò)，攻擊成本較低。DDoS分布式拒絕服務(wù)(DistributedDenialofService)。當(dāng)前主流攻擊手段，帶寬消耗、主機(jī)消耗、打漏洞都可以。DRDoSDistributedReflectionDenialofServiceAttack的縮寫。分布式反射拒絕服務(wù)。起源smurf局域網(wǎng)廣播反射攻擊。但廣域網(wǎng)較少廣播反射，主要形態(tài)是用小包換大包的方式，操作麻煩，效果不強(qiáng)，不是主流攻擊手段。DDoS攻擊的本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸阻塞和耗盡當(dāng)前的問題：用戶的帶寬小于攻擊的規(guī)模，造成訪問帶寬成為木桶的短板DoS/DDoS類型的劃分應(yīng)用層垃圾郵件、病毒郵件DNSFlood--CC網(wǎng)絡(luò)層SYNFlood、ICMPFlood偽造鏈路層ARP偽造報文物理層直接線路破壞電磁干擾攻擊類型劃分II堆棧突破型（利用主機(jī)/設(shè)備漏洞）遠(yuǎn)程溢出拒絕服務(wù)攻擊網(wǎng)絡(luò)流量型（利用網(wǎng)絡(luò)通訊協(xié)議）SYNFloodACKFloodICMPFloodUDPFlood、UDPDNSQueryFloodConnectionFloodHTTPGetFlood攻擊類型劃分IDDoS工具CC攻擊和僵尸網(wǎng)絡(luò)BotnetCC&BotnetDDoS攻擊的動機(jī)技術(shù)炫耀、報復(fù)心理針對系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當(dāng)競爭間接獲利商業(yè)敲詐政治因素DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實(shí)施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)我們在同一個地下產(chǎn)業(yè)體系對抗地下黑客攻擊網(wǎng)絡(luò)上述現(xiàn)象的背后–原始的經(jīng)濟(jì)驅(qū)動力

Toolkit

DeveloperMalware

DeveloperVirusSpyware工具濫用者-“市場與銷售”？BuildingBotnetsBotnets:Rent/Sale/BlackmailInformationtheftSensitiveinformationleakage真正的攻擊者-“用戶與合作者”？DDoSSpammingPhishingIdentitytheft最終價值TrojanSocialengineeringDirectAttack工具編寫者-“研發(fā)人員”？Worm間諜活動企業(yè)/政府欺詐銷售點(diǎn)擊率非法/惡意競爭偷竊勒索盈利商業(yè)銷售金融欺詐DDOS的黑色產(chǎn)業(yè)鏈DDoS攻擊的特點(diǎn)網(wǎng)絡(luò)接入控制DDoS攻擊發(fā)生頻率高，且呈海量趨勢攻擊應(yīng)用服務(wù)，經(jīng)濟(jì)利益為原始驅(qū)動帶寬型攻擊混雜應(yīng)用型攻擊，極難防御海量流量破壞運(yùn)營商基礎(chǔ)網(wǎng)絡(luò)的可用性僵尸網(wǎng)絡(luò)數(shù)量眾多，發(fā)動攻擊難度很小提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務(wù)攻擊DDoS背景五：總結(jié)和思考四：城域網(wǎng)僵尸網(wǎng)絡(luò)DDoS事件流量清洗系統(tǒng)的關(guān)鍵點(diǎn)海量清洗高性能運(yùn)算集群可擴(kuò)展流量感知攻擊流量檢測數(shù)據(jù)統(tǒng)計分析應(yīng)用防護(hù)DNS防護(hù)Http應(yīng)用防護(hù)CC防護(hù)可控可管集群設(shè)備管理集中策略分發(fā)關(guān)聯(lián)分析防護(hù)效用防護(hù)目標(biāo)覆蓋性防護(hù)系統(tǒng)可用性三位一體的流量發(fā)現(xiàn)和清洗手段集中進(jìn)行監(jiān)測,過濾和清洗DDoS異常檢測集中監(jiān)控、管理分析取證DDoS防護(hù)過濾多層異常檢測及防護(hù)過濾算法串聯(lián)、旁路、集群多種部署SPAN/Netflow/Cflow/NetStream多手段異常流量檢測集中監(jiān)控、管理、流量分析、多形式報表、取證流量清洗工作原理重要業(yè)務(wù)流量限速1、IP合法性檢查源、目的地址檢查/驗(yàn)證2、協(xié)議棧行為模式分析協(xié)議合法性檢查3、特定應(yīng)用防護(hù)

四到七層特定攻擊防護(hù)4、用戶行為模式分析用戶行為異常檢查和處理流量清洗中心交付已過濾的內(nèi)容CMNET互聯(lián)網(wǎng)省網(wǎng)出口“多層識別和過濾機(jī)制特定應(yīng)用防護(hù)協(xié)議棧行為分析用戶行為模式分析動態(tài)指紋識別反欺騙5、動態(tài)指紋識別動態(tài)檢查和生成攻擊指紋并匹配攻擊數(shù)據(jù)6、流量限速未知可疑流量限速互聯(lián)網(wǎng)無錫出口旁路流量清洗工作過程異常流量探測異常流量防御受保護(hù)的服務(wù)器

業(yè)務(wù)管理系統(tǒng)12.1Netflow數(shù)據(jù)輸出正常流量不受影響正常流量不受影響發(fā)現(xiàn)攻擊通知業(yè)務(wù)管理系統(tǒng)通知防御設(shè)備，開啟攻擊防御流量回注3.1牽引流量,對異常流量進(jìn)行清洗流量牽引受保護(hù)的服務(wù)器

2.23.2將攻擊的實(shí)時信息通知業(yè)務(wù)管理系統(tǒng)攻擊停止，通知業(yè)務(wù)管理系統(tǒng)4DDOS流量清洗DNSFlood的基本原理靜態(tài)過濾：基于預(yù)先設(shè)置的黑名單列表及報文特征過濾規(guī)則過濾異常DNS報文。合法性檢測：基于協(xié)議合法性檢測過濾畸形報文。源合法性認(rèn)證：基于傳輸協(xié)議層源認(rèn)證和應(yīng)用層源證防范虛假源攻擊，可防范DNSqueryflood、DNSreplyflood及針對DNS服務(wù)器發(fā)起的各類TCPflood。會話檢查：通過檢查DNS會話可防范DNS緩存投毒攻擊、DNS反射攻擊。行為分析：正常情況下DNS服務(wù)器回應(yīng)報文中Nosuchname報文較少，但如果某時刻N(yùn)osuchname報文突增，必然發(fā)生DNSqueryflood攻擊；監(jiān)控DNS域名TOPN和訪問源TOPN，形成常用域名TOPN和大客戶IPTOPN基線，當(dāng)監(jiān)控到訪問流量和TOPN基線相比偏差較大，即可判定攻擊發(fā)生；TOPN域名可用于清洗設(shè)備為減緩DNS服務(wù)器壓力提供動態(tài)cache功能；TOPN源可作為信譽(yù)IP，攻擊發(fā)生時直接作為白名單，減少防范對大客戶IP的訪問影響。流量整形：經(jīng)過上述層層過濾后，如果流量還很大，超過服務(wù)器的實(shí)際帶寬，則采用流量整形使到達(dá)服務(wù)器的流量處于服務(wù)器的安全帶寬范圍內(nèi)。.DNSQueryflood攻擊原理Queryflood.攻擊者利用僵尸網(wǎng)絡(luò)向DNS服務(wù)器發(fā)送海量不存在的域名解析請求，致使DNS服務(wù)器嚴(yán)重超載，嚴(yán)重時甚至造成鏈路擁塞，無法繼續(xù)響應(yīng)正常用戶的DNS請求，從而達(dá)到攻擊的目的。攻擊發(fā)生時，會發(fā)現(xiàn)鏈路中存在大量DNS服務(wù)器回應(yīng)的域名不存在報文。一般這種攻擊報文的最大特點(diǎn)是源IP是虛假源，即不是僵尸主機(jī)自身IP地址。Replyflood.當(dāng)用戶訪問網(wǎng)絡(luò)時會向DNS緩存服務(wù)器發(fā)出域名查詢請求，DNS緩存服務(wù)器并不具備域名和IP地址對應(yīng)關(guān)系，它會向DNS授權(quán)服務(wù)器發(fā)出查詢請求，DNS授權(quán)服務(wù)器回應(yīng)的DNSReply報文給出該域名對應(yīng)的IP地址。攻擊者則調(diào)用僵尸網(wǎng)絡(luò)冒充DNS授權(quán)服務(wù)器發(fā)送大量DNSReply報文，導(dǎo)致DNS緩存服務(wù)器CPU處理繁忙，嚴(yán)重時甚至造成鏈路擁塞，無法響應(yīng)正常用戶DNS請求。一般這種攻擊報文的最大特點(diǎn)是源IP是虛假源，即不是僵尸主機(jī)自身IP地址。.DNS緩存投毒攻擊.DDOS流量檢測的常見問題基于傳輸協(xié)議的源驗(yàn)證核心思想是向訪問防護(hù)目標(biāo)的源IP發(fā)送帶有cookie的探測報文，如果該源真實(shí)存在，則會對探測報文回應(yīng)，且回應(yīng)報文攜帶cookie。清洗中心通過校驗(yàn)cookie，即可確認(rèn)該源IP是否真實(shí)存在。通過認(rèn)證的源加入白名單，其后續(xù)報文清洗中心直接轉(zhuǎn)發(fā)。攻擊源因無法通過認(rèn)證，報文無法通過。該技術(shù)可有效防御虛假源發(fā)起的SYNFlood、SYN-ACKFlood、ACKFlood、TCPFragmentFlood攻擊。.真實(shí)源Flood攻擊--對不存在域名的海量請求基于DNS應(yīng)用協(xié)議的客戶端服務(wù)器交互模型，識別報文是真實(shí)應(yīng)用客戶端訪問行為還是僵尸網(wǎng)絡(luò)攻擊行為，通過認(rèn)證的源加入白名單，其后續(xù)報文直接轉(zhuǎn)發(fā)，未經(jīng)過認(rèn)證的報文被清洗設(shè)備丟棄。可有效防范虛假源發(fā)起的DNSQueryFlood和DNSReplyFlood。.對授權(quán)服務(wù)器的Queryflood攻擊.真實(shí)源Flood攻擊--對不存在域名的海量請求除了流量清洗系統(tǒng)能夠?qū)NS查詢進(jìn)行挑戰(zhàn)外，智能化的DNS系統(tǒng)對異常請求進(jìn)行本地解析也能夠緩解一部分壓力。.基于特征的清洗特征過濾防范適合防范真實(shí)源或利用真實(shí)源IP發(fā)起的報文具有特征的Flood攻擊。支持基于異常事件自動抓包，抓包支持抽樣比，可對攻擊流量進(jìn)行均勻、全面抓包。抓取的報文發(fā)送到管理中心存儲成文件，管理中心支持基于抓包文件提取攻擊特征，下發(fā)到清洗設(shè)備作為攻擊流量過濾條件。部分黑客工具，協(xié)議報文上有固定的特征，采用基于特征的清洗方式，效果明顯.DNS動態(tài)CACHE—被攻擊時的應(yīng)急措施自動學(xué)習(xí)域名請求TOPN，記錄TOPN熱點(diǎn)域名，可替代被防護(hù)的DNS服務(wù)器應(yīng)答客戶端的請求，減少DNS服務(wù)器的負(fù)載。遇到大規(guī)模攻擊的時候。甚至可以固定TOP1000的域名，直接由設(shè)備替代DNS緩存服務(wù)器，直接回復(fù)DNS查詢。.真實(shí)源Flood攻擊--5·19暴風(fēng)影音斷網(wǎng)事件.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營商DNSPOD..4399.com5月18日DNSPOD遭拒絕服務(wù)攻擊，主站無法訪問10G客戶端大量DNS查詢緩存過期超時重試海量客戶端發(fā)起的海量DNS請求，導(dǎo)致鏈路擁塞，DNS服務(wù)器處理繁忙提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務(wù)攻擊DDoS背景五：總結(jié)和思考四：城域網(wǎng)僵尸網(wǎng)絡(luò)DDoS事件無錫出口網(wǎng)絡(luò)拓?fù)銬NS系統(tǒng)在100MB攻擊流下的表現(xiàn)CPU從開啟防護(hù)時的5%升高到26%DNS對于流量攻擊的測試情況DNSFlood流量打到75萬QPS時，DNS的緩存服務(wù)器系統(tǒng)負(fù)荷還在正常范圍內(nèi)，流量清洗系統(tǒng)的負(fù)載也在正常范圍內(nèi)，但是發(fā)起的DNS請求大部分解析失敗；攻擊流量下降到55萬QPS的時候，系統(tǒng)解析恢復(fù)正常；目前分析是流量清洗系統(tǒng)對部分正常請求產(chǎn)生的誤殺，并且系統(tǒng)的主動探測對session的要求比較高。對WEB的攻擊

1、攻擊WEB服務(wù)器，僵尸網(wǎng)絡(luò)

大量的CC攻擊2、攻擊WEB服務(wù)器，BPShttpget

攻擊3、攻擊WEB服務(wù)器，BPS對ftp的synflood攻擊4、攻擊WEB服務(wù)器，混合流量攻擊5、攻擊WEB存在的apachecve2011-3192的DOS漏洞對于web網(wǎng)站的混合流量攻擊—江蘇無線城市網(wǎng)站演練現(xiàn)網(wǎng)流量清洗設(shè)備對WEB的防護(hù)效果較好，每秒新建連接請求達(dá)到80萬時，可以在一分鐘能把成功建立的連接控制在8萬以下，對業(yè)務(wù)影響較小。1.系統(tǒng)對混合流量攻擊web網(wǎng)站的清洗效果較好，在BPS系統(tǒng)1G的混合流量攻擊下，無線城市網(wǎng)站可正常訪問，未出現(xiàn)業(yè)務(wù)異常。2.30臺設(shè)備的小規(guī)模僵尸網(wǎng)絡(luò)發(fā)起的CC攻擊未對網(wǎng)站造成影響。對江蘇DNS無錫節(jié)點(diǎn)的演練過程1、攻擊DNS服務(wù)器，僵尸網(wǎng)絡(luò)UDP攻擊2、攻擊DNS服務(wù)器，僵尸網(wǎng)絡(luò)隨機(jī)域名查詢攻擊3、攻擊DNS服務(wù)器，BPS隨機(jī)域名查詢攻擊4、攻擊DNS服務(wù)器，混合流量攻擊結(jié)果分析：僵尸網(wǎng)絡(luò)、BPS設(shè)備發(fā)送的隨機(jī)域名查詢攻擊效果差異較小，主要體現(xiàn)在性能上，40萬qps時DNS工作正常，55萬qps時DNS查詢開始超時，75萬qps時，DNS完全停止服務(wù)2011年底互聯(lián)網(wǎng)南京出口DNSflood演練情況優(yōu)化后的結(jié)果E8080測試結(jié)果（PPS）入接口流量出接口流量670000

320002000001200040000020000E1000E-D測試結(jié)果（PPS）48000028000優(yōu)化：DNS的會話的老化時間改為10秒，默認(rèn)的數(shù)值是2分鐘，系統(tǒng)優(yōu)化效果明顯南京出口華為8080設(shè)備與