网络安全-DDoS之江湖风云录(上)

网络安全—DDoS之江湖风云录（上）汉柏科技有限公司张少奎引言虚拟专用网防火墙访问控制防病毒入侵检测网络安全整体形象图入侵防护抗拒绝服务2019/10/2302DDoS江湖风云03DDoS到底是什么011DDoS江湖传言DDoS独白•网络上有一票人，他们自称DDoS军团•他们具有独特的宣言2019/10/25•横冲直闯，遮天蔽日，肆意妄为！！！DDoS传闻（1）2019/10/26•所到之处，无孔不入，毁灭一切！DDoS传闻（2）2019/10/27•漫漫无源，汹涌多变！DDoS传闻（3）2019/10/28•劫匪、强盗、截拳道都是神马，硬杀伤直接击倒DDoS传闻（4）2019/10/29•喜欢群殴，从不单挑！DDoS传闻（5）2019/10/21002DDoS江湖风云03DDoS到底是什么011DDoS江湖传言攻击之殇-我们身边的DDoS攻击（1）•2009年5月19日“暴风影音”断网事件攻击之殇-我们身边的DDoS攻击（2）2019/10/213•2009年5月19日“暴风影音”断网事件•游戏私服引起•DNSPOD被10Gbps流量攻击•暴风影音的在线广告不能弹出•过多暴风用户，导致运营商主DNS服务器过高负荷，攻击之殇-我们身边的DDoS攻击（3）2019/10/214攻击之殇-我们身边的DDoS攻击（4）2019/10/215•2010年百度•百度域名注册商（美国的REGISTER）系统存在漏洞遭篡改•对应的DNS服务器解析内容被劫持更换，主域名被解析到一个荷兰的IP；•访问百度时页面自动跳转到一租用雅虎服务器的空间，会出现伊朗网军黑客留下的“IranianCyberArmy”阿拉伯文字；•同时百度旗下子网站也无法访问；•最终雅虎服务器由于页面请求数量过于庞大导致瘫痪；攻击之殇-我们身边的DDoS攻击（5）2019/10/216伊朗人为什么要黑百度，真相已经揭晓，政治抗议只是表面原因，其实——由于美国的军事打击和政治威胁，伊朗人准备大批量购买火箭筒，前段时间看了中国在世界宣传的中国制造广告，于是来百度搜索，但是遭遇百度的竞价排名，伊朗人选购了搜索结果排名第一位的火箭筒，到手之后发现这些火箭筒尽然是从民间不法商贩手中收缴回来的劣质烟花爆竹上当受骗!伊朗人出于气愤，遂黑了百度。攻击之殇-我们身边的DDoS攻击（5）2019/10/217DDoS技术门槛低，易发起攻击之殇-我们身边的DDoS攻击（6）2019/10/218攻击之殇-我们身边的DDoS攻击（7）2019/10/219攻击之殇-我们身边的DDoS攻击（8）2019/10/220Anonymous组织扬言13个DNS根服务器攻击之殇-我们身边的DDoS攻击（9）2019/10/221智能手机，电子商战“小三”之战2019/10/222小结：为什么发起拒绝服务攻击•土壤条件具足–Internet用户增多–接入网络链路的带宽增大–应用系统多样化，更直接–攻击工具泛滥，技术门槛变低–日益复杂化的商业竞争、网络敲诈等–高度集中的云计算中心–个人情绪发泄化—技术炫耀、上访、私愤等2019/10/223小结：为什么发起拒绝服务攻击•从发起的动机来讲，分为恶意和无意两种方式。•恶意居多。–政治目的–商业竞争–打击报复–网络敲诈–网络竞拍•无心之过–电子购票–奥运会售票网站–深圳大运会网站–联通iphone商城2019/10/224应用型DDoS无害论？•应用层攻击的一个特点是请求本身都是正常用户发起的。•通晓系统业务，目的性更强•危害最大，最难以防范！•四两拨千斤2019/10/225•其他知己知彼，百战不殆……安全的避风港在哪？2019/10/226什么是DDoS2019/10/227什么是DoSDoS（DenialofService，拒绝服务）属于攻击早期形态。具有一对一的攻击特点。2019/10/228什么是DDoSDDoS（DistributedDenialofService，分布式拒绝服务），是在传统的DoS攻击的基础上产生的一种攻击手段，攻击者通过远程控制多个僵尸主机，对攻击目标实行一种多对一的攻击方式。大家一起上，围攻光明顶2019/10/229什么是DRDoSDRDoS（DistributedReflectionDenialofService，分布式反射拒绝服务）与DoS、DDoS不同，起源smurf局域网广播反射攻击。靠的是将受害者IP地址作为源地址的数据包发给反射服务器，然后反射服务器对源IP地址（受害者）做出大量数据包回应，形成DoS攻击。多对一的攻击方式。套牌让真车主蒙冤2019/10/230受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团DDoS攻击模型2019/10/231拒绝服务攻击的常见类型•从影响的对象范围看，分为如下二类–流量型•这类DDoS攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。–应用型2019/10/232拒绝服务攻击的常见类型•从影响的对象范围看，分为如下二类–流量型–应用型•利用诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理正常访问请求的目的，比如HttpGet攻击和DNS欺骗就是该类型的攻击。2019/10/233•SYNFLOOD原理：TCP连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS)时，就发生了SYN泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含SYN包，其中源IP地址已被改为伪造的不可达的IP地址。服务器向伪造的IP地址发出回应，并等待连接已建立的确认信息。但由于该IP地址是伪造的，服务器无法等到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用户的TCP连接请求。攻击类型2019/10/234•用netstat–na命令查看SYN_RECV状态•半开连接队列–遍历，消耗CPU和内存–SYN|ACK重试（3-5次）–SYNTimeout：30秒~2分钟•无暇理睬正常的连接请求—拒绝服务攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接！SYNFlood攻击原理攻击表象我怎么连不上2019/10/235SYN-Flood-经典的攻击现象被攻击服务器上netstat–an:2019/10/236•大量UDP冲击服务器•受害者带宽消耗•UDPFlood流量不仅仅影响服务器，还会对整个传输链路造成阻塞UDP（非业务数据）攻击者受害者查查看表内有没有占用带宽UDPFlood攻击原理攻击表象UDP（大包/负载）2019/10/237UDP-Flood数据包分析2019/10/238WEBCC概念原意是challengecollapsar(挑战黑洞)。通过模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面)或者模拟大量用户登陆服务器（最常见的是登陆游戏服务器）。WEBCC攻击攻击者受害者(WebServer)大量HTTPGet请求HTTPGetFlood正常用户HTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFlood受害者(DBServer)DB连接池用完啦！！DB连接池/CPU资源占用占用占用Cache代理服务器WEBCC防护攻击者(WebServer)正常用户(DBServer)DB连接池占用占用占用Cache代理服务器HTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodHTTPGetFloodWEBCC防护手段阈值统计•单个源连接•整个源请求•单个目的连接•整个目的连接•动态平滑曲线倍数CC防护重定向验证•URL回探•ETag标签•Cookies标签•ASCII码•AdvanceURL回探（url与syncookie的组合）优先于syn/ack/httpflood防御效果显著白名单白名单关键URL保护拒绝服务的攻击趋势–攻击流量海量–针对应用服务的攻击增多，DDOS攻击已形成成熟的产业链，背后的经济利益成为攻击的原始驱动。–攻击方式更为复杂，带宽型攻击夹杂应用型攻击的混合攻击增多，且极难防御。–大量可轻易获得的僵尸网络及僵尸工具用来发动DDOS攻击，攻击难度降低，DDOS攻击发生频率增大。–目的更加商业化-物流抢夺客户资源，网游争夺玩家2019/10/243混合型APT威胁2019/10/244下期相约分解欲知如何防范2019/10/245运营总部：北京朝阳区建外大街2号银泰中心B座10-11层（100022）客服热线：400-706-8366网址：