DDoS攻击学习了解材料-zhangwei

牙木通讯YAMUTECH牙木通讯YAMUTECHDDoS攻击材料ShanghaiYamuCommunicationTechnologyCo.,Ltd1牙木通讯YAMUTECH牙木通讯YAMUTECH2ShanghaiYamuCommunicationTechnologyCo.,LtdContents前言当前DDoS攻击形势当前DDoS攻击特点DDoS攻击基本原理牙木DDoS安全防护策略牙木通讯YAMUTECH牙木通讯YAMUTECH3ShanghaiYamuCommunicationTechnologyCo.,Ltd前言•近年来，随着网络技术的发展，有目的性的网络攻击事件日益频繁，各大运营商网络都面临着越来越严峻的安全风险，如针对DNS服务的“5.19”暴风影音事件。•面对着严峻的安全形势，目前国内运营商均对系统网元的安全性均做出了严格的要求。•就DNS服务而言，针对当前典型的DDoS攻击行为，主流运营商均要求对的一系列攻击行为具备防护能力，如伪造源IPDDoS攻击、畸形包DDoS攻击、UDPFlood攻击、DDoS反射攻击等。•DDoSDistributedDenialofService分布式拒绝服务牙木通讯YAMUTECH牙木通讯YAMUTECH4ShanghaiYamuCommunicationTechnologyCo.,LtdContents前言当前DDoS攻击形势当前DDoS攻击特点DDoS攻击基本原理牙木DDoS安全防护策略牙木通讯YAMUTECH牙木通讯YAMUTECH5ShanghaiYamuCommunicationTechnologyCo.,Ltd当前DDoS攻击的形势牙木通讯YAMUTECH牙木通讯YAMUTECH6ShanghaiYamuCommunicationTechnologyCo.,LtdContents前言当前DDoS攻击形势当前DDoS攻击特点DDoS攻击基本原理牙木DDoS安全防护策略牙木通讯YAMUTECH牙木通讯YAMUTECHConnectionBrokerImprovements•Simplifiesadministrationwithunifiedmanagementcapabilitiesforsession-baseddesktopsandvirtualmachine-baseddesktops•Evenlydistributesthesessionloadbetweenserversinaload-balancedRDSessionHostserverfarmorRDVirtualizationHostserverfarmusingtheloadbalancingfeature攻击源和目的多对一海量数据集中到特定服务网元SystemCenterVirtualMachineManager2008Support•Ensuresintelligentdeploymentofvirtualmachine-baseddesktops•EnsuresimprovedvisibilityandcontroloverVirtualDesktopwithcontinuoushealthmonitoring协议载体特性ICMP/UDP/HTTP/DNS/应用协议攻击变种多攻击的危害性PPS数或Session数高攻击流量对合法流量影响较大，n*G攻击时代到来攻击其他特点人为控制，具备明确目的性目标明确，多为商业站点、敏感站点和骨干网设备爆发无征兆，短时间内流量发生较大变化7ShanghaiYamuCommunicationTechnologyCo.,Ltd当前DDoS攻击的特点牙木通讯YAMUTECH牙木通讯YAMUTECH8ShanghaiYamuCommunicationTechnologyCo.,LtdContents前言当前DDoS攻击形势当前DDoS攻击特点DDoS攻击基本原理牙木DDoS安全防护策略牙木通讯YAMUTECH牙木通讯YAMUTECH9ShanghaiYamuCommunicationTechnologyCo.,LtdDDoS攻击基本原理攻击模型基本原理攻击者渗透到无保护的主机（包括控制机和僵尸机）中，植入攻击程序。发动攻击时，攻击者向主控机发出攻击指令，由主控机向傀儡机发布攻击命令，傀儡机上的攻击程序从休眠状态启动，开始向受害者发送特殊的数据分组，导致被攻击目标无法对外提供正常的服务。消耗目标服务器的关键资源，例如CPU、内存等，导致其无法提供正常服务。堵塞目标网络的出口，导致带宽消耗，挖无法提供正常服务。DirectDDoSAttack攻击模型攻击者被攻击者控制机攻击机牙木通讯YAMUTECH牙木通讯YAMUTECH10ShanghaiYamuCommunicationTechnologyCo.,LtdDDoS攻击基本原理攻击模型基本原理攻击者模拟被攻击者的IP向网络中服务器（如DNS)发送大量的数据请求报文，这些报文带有虚假的IP地址（被攻击者），网络中的服务器收到基于该源地址的请求报文后，均向该被攻击者发送响应报文，恶意的数据包其实就被那些被利用的主机“反射”到了受害者主机上。这些被反射的数据包返回到受害者主机上后，就形成了反射型DDOS攻击。消耗目标服务器的关键资源，例如CPU、内存等，导致其无法提供正常服务。堵塞目标网络的出口，导致带宽消耗，挖无法提供正常服务。ReflectorDDoSAttack攻击者控制机欺骗机服务器被攻击者牙木通讯YAMUTECH牙木通讯YAMUTECH11ShanghaiYamuCommunicationTechnologyCo.,LtdDDoS攻击基本原理系统漏洞型攻击大流量型攻击大流量&应用型&混合型攻击DDoS攻击的演变••••DDoSDistributedDenialofService分布式拒绝服务•DDoS攻击从以小压大向以大压小的趋势发展•从技术型攻击向流量、带宽以及资源占用型趋势发展牙木通讯YAMUTECH牙木通讯YAMUTECH12ShanghaiYamuCommunicationTechnologyCo.,LtdDDoS攻击基本原理•畸形数据包攻击•TCP半连接攻击•利用操作系统或应用软件BUG的攻击漏洞型攻击•畸形数据包攻击：是指任何利用非标准的分组引起拒绝服务的攻击。这些类型的分组一般在这个受害系统的TCP/IP堆栈中，发送非典型格式的分组来攻击，使得目标系统终止网络通信或系统崩溃。畸形分组攻击的例子包括PingofDeath，TearDrop，NewTear，Bonk，SynDrop，Chargen，WinNuke，Land和Jolt2。•TCP半连接攻击（SYN)：是指基于TCP3次握手的可靠性机制，攻击者不停地向受害者发送连接请求，而又不按协议规定完成握手过程，则服务器的半开连接栈可能会用完，从而不再接受其它的连接请求。•利用操作系统或应用软件BUG攻击。牙木通讯YAMUTECH牙木通讯YAMUTECH13ShanghaiYamuCommunicationTechnologyCo.,Ltd基于TCP协议三次握手机制攻击者通过伪造源IP的方式向目标主机发送大量的SYN包被攻击主机向对应的虚假源回应SYN-ACK包，等待虚假源回应ACK消息，完成TCP建链流程虚假源无法回送ACK大量堆积的TCP请求导致被攻击主机的缓存中建立了大量连接队列，造成了系统资源的消耗而无法向正常请求提供服务。我没发过请求，不回应SYN（我可以连接吗？）攻击者受害者为何还没回应伪造源IP进行大量SYN请求DDoS攻击基本原理TCP半连接基本原理牙木通讯YAMUTECH牙木通讯YAMUTECH14ShanghaiYamuCommunicationTechnologyCo.,LtdDDoS攻击基本原理•CONNECTINGFLOOD攻击•ICMPFLOOD攻击•UDPFLOOD攻击大流量攻击•CONNECTINGFLOOD攻击：是指利用真实主机与目标主机建立大量的正常TCP连接，占用后长时间不释放该连接，导致目标主机资源被大量占用，正常业务的TCP无法建立。•ICMPFLOOD攻击：是指基于ICMP协议，攻击者发送大量的ICMP数据包会形成ICMP风暴，使得目标主机耗费大量的cpu资源处理，疲于奔命。•UDPFLOOD攻击：是指基于UDP协议无连接机制，攻击者基于特定UDP端口向目标主机发送大量的UDP包，导致被攻击主机所在的网络资源被耗尽或者被攻击主机忙于处理UDP数据包，而使系统崩溃。牙木通讯YAMUTECH牙木通讯YAMUTECH15ShanghaiYamuCommunicationTechnologyCo.,Ltd基于TCP协议三次握手机制攻击者通过真实主机与被攻击者建立大量的正常TCP连接被攻击者的资源大量消耗而无法向正常请求提供服务。该攻击行为本质是通过大量的洪水消耗系统资源的攻击方式DDoS攻击基本原理•CONNECTINGFLOOD攻击基本原理攻击者受害者这么多？不能建立正常的连接正常tcpconnect正常用户正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect牙木通讯YAMUTECH牙木通讯YAMUTECH16ShanghaiYamuCommunicationTechnologyCo.,Ltd基于ICMP协议ECHO回响数据包（PING)来实现对特定目标的攻击。基于ECHOReq：当ICMPping产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流，就是ICMP洪水攻击。基本原理ICMPFLOOD攻击攻击者受害者这么多？处理不过来ping正常用户正常业务pingpingpingpingDDoS攻击基本原理牙木通讯YAMUTECH牙木通讯YAMUTECH17ShanghaiYamuCommunicationTechnologyCo.,Ltd基于UDP协议无连接机制（在传送数据包前不需要建立连接）。攻击者基于特定UDP端口通过伪造源IP或者控制僵尸网络的方式向目标主机发送大量的UDP包。被攻击主机所在的网络资源被耗尽，还会使被攻击主机忙于处理UDP数据包，而使系统崩溃。UDPFLOOD攻击基于特定的应用层服务来展开，如DNS查询报文（53端口),5.19暴风影音事件即可理解为基于53端口的UDPFLOOD攻击。攻击者受害者大量UDP数据包这么多？处理不过来！UDP数据包正常用户UDP数据包UDP数据包UDP数据包UDP数据包UDP数据包基本原理UDPFLOOD攻击DDoS攻击基本原理牙木通讯YAMUTECH牙木通讯YAMUTECH18ShanghaiYamuCommunicationTechnologyCo.,LtdDDoS攻击基本原理•伪造源IP攻击•DDoS反射攻击（典型的sumrf攻击）•HTTPGETFLOOD攻击•DNSQUARYFLOOD攻击（散列源、散列域名等）•大流量&应用型混合攻击：是指利用各种技术手段更好的隐藏真实主机或者基于应用层协议特征的大流量攻击，如源IP散列、域名散列等。•伪造源IP攻击：所有的DDoS攻击行为均是基于IP封装，对于数据封装的源地址，攻击者一般通过傀儡机的物理IP来封装或者通过软件虚拟假地址的方式来实现隐藏自己的目的。•DDoS反射攻击：攻击者模拟被攻击主机的IP向网络中的服务器发送相关的报文（如PING、DNS查询等报文），导致网络中大量的服务器向被攻击主机发送大量的响应报文，拥塞被攻击主机网络或者系统资源。•HTTPGETFLOOD攻击：攻击者通过控制傀儡机的方式，向目标主机发送大量的HTTPGET请求报文，导致其他正常的HTTP服务无法正常进行。•DNSQUERYFLOOD攻击：攻击者通过控制傀儡机的方式，基于UDP协议向目标主机发送大量的DNS查询报文，导致目标主机带宽拥塞或者系统