DDoS的灾难性攻击解析与应对课件.pptx

1、DDoS的灾难性攻击解析与应的灾难性攻击解析与应对对目录历史背景风险管理网络攻击和应对措施 架构视图历史时间线第一次攻击：1999年-2000年2005年:微软提出STRIDE威胁模型身份欺骗篡改数据否认信息泄漏拒绝服务权限提升DDoS“分布式攻击”与“非分布式攻击”的区别十分模糊。传统意义上来说，分布式攻击有多个来源。来源是什么？是一个IP地址还是一台物理机呢？如果是一台物理物理机机，是一个虚拟机发起的攻击吗？亦或是同一台物理虚拟监视器下的多个虚拟机？如果这些虚拟机经常在数台物理机间迁移呢？假如我的电脑遭到了分布式攻击，我该如何判断攻击是单个来源还是多个来源呢？假如攻击来自某个IP地地址址，

2、那么我们该如何处理虚假流量呢？D?DoS因此，需要运用不同的思维来理解：拒绝服务（DoS）（正如STRIDE模型的一样）：软件中存在 的弱点弱点（比如像Ping of Death的空指针解引用。）分布式拒绝服务分布式拒绝服务（DDoS）：消耗计算资源。风险管理STRIDE和其他威胁模型的基本思想是风险评风险评估估、建模以及、建模以及管管理理。可能性/影响矩阵图轻微影响可能性极低不太可能 中度影响可能 非常可能轻度影响中度影响重大影响严重影响可能性/影响矩阵图轻微影响可能性极低不太可能中度影响可能非常可能轻度影响中度影响重大影响严重影响2018年分布式拒绝 服务（DDoS）攻击 影响：严重影响严

3、重影响 可能性：？风险管理攻击者的动机寻求快乐！敲诈勒索 自我炫耀 政治目的报复市场竞争转移注意力（比如窃取信息时）防止他人访问不利于自己的 信息。很难评估和控制大致可预测！网络资源耗竭 现在，计算机网络由多层构成。当至少一个网络层级停止提供服务后，用户将无法接收到相关网络资源。因此，不同网络层级受到影响将形成不同的DDoS攻击：L2 普通带宽带宽消耗L3L4 L5 L6L7应用特有的瓶颈问题瓶颈问题超负荷使用TCP/TLS的边的边 缘案例缘案例攻击案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等等（简单了解即可）基础设施层攻击典型放大攻击 多台服务器通过互联 网向客户

4、发送的数据 比接收到的多。UDP服务通常不会检 查源IP地址。这种漏洞给了DDoS 放大攻击可乘之机。攻击者受害者来源（Src）：受害者（受到欺骗）目的（Dst）：放大攻击“ANY?com.”1Gbps来源（Src）：放大攻击 目的（Dst）：受害者“com.NS i.gtld-.”29Gbps脆弱的协议 长长的协议清单 大多数协议早已过时 诸如游戏协议类的当 前协议包括：网络时间协议（NTP）RIPv1 DNS协议 PORTMAP协议 简单网络管理协议 字符发生器协议（SNMP）（CHARGEN）简单服务发现协议 雷神之锤协议雷神之锤协议（SSDP）（Quake）互联网控制消息协议 Stea

5、m协议协议(ICMP)Memcached协议 网路基本输入输出系 统协议（NetBIOS）脆弱的服务器大多数过时的服务器 最终会被更新 替换 或遭到淘汰。因此放大器的数量呈稳 定的下降趋势。然而，时不时会出现新 的脆弱协议。放大器总数放大器总数累积放大的可能性累积放大的可能性源地址所有权的证明例如，基于UDP的低时延的互联网传输层协议（QUIC）（由国际互联网工程任务组设 计的传输层协议）：初次握手包有1280字节 源地址验证其他UDP协议必须必须执行类似的过程。L2-L3 攻击缓解在受害者看来：Anycast网络检验到位 进行清单管理，清除来路不明的通信服务器（比如UDP服务连接HTTP服务

6、器）限速控制不太重要的网络流量 挑战和握手（稍后会详细介绍）在互联网服务供应商（ISP）看来：抵抗典型攻击的简单启发法 远程触发黑洞技术（让客户自行解决问题。）攻击案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等等（简单了解即可）基础设施层攻击攻击案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等等（简单了解即可）基础设施层攻击L4-L6SYN洪水攻击洪水攻击、TCP连接攻击、Sockstress攻击等等。TLS攻击攻击案例L2-3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击洪水攻击、放大攻击等（简单了解即可）基础设施层攻击L4-6SYN洪水攻击

7、洪水攻击、TCP连接攻击、Sockstress攻击等等。TLS攻击一次攻击可以同时影响多多 个网络层级个网络层级。联合攻击比如，NTP放大攻击和SYN洪水攻击同时进行。联合攻击的目的在于转移负责人的注意力，防止他们专心解 决真正的威胁。分批联合攻击 联合攻击的目的在于转移负责人的注意力，防止他们专心解决真正的威胁。21:30:01.226868 IP 94.251.116.51 178.248.233.141:GREv0,length 544:IP 184.224.242.144.65323 167.42.221.164.80:UDP,length 51221:30:01.226873 IP

8、46.227.212.111 178.248.233.141:GREv0,length 544:IP 90.185.119.106.50021 179.57.238.88.80:UDP,length 512L4+攻击缓解 SYN洪水攻击：基于3次握手过程的SYN cookies和SYN 代理（proxy）可以帮助受害者检查源IP地址。其它基于数据包的洪水攻击：进行相同攻击的握手与挑战 剩余部分：会话分析、启发式、黑名单在没有验证源在没有验证源IP地址的情况下，使用黑名地址的情况下，使用黑名单单或白名单十或白名单十分分危险！危险！切记进行网络资产管理！L4+攻击缓解 认为L4只是传输控制协议（T

9、CP）的这种观点有误有误。新型传输协议通过以下方式执行网络服务供应商 应用程序国际互联网工程任务组 终端用户服务器？终端用户后台？互联网转接与互联网服务提供商IPv6概要128比特位 IP地址 有可能：有可能：为地球上的每一粒沙子提供一个IP地址 不太可能：不太可能：在内存中存储大量条目 大约在10年前，将整个IPv4网络列入黑名单是很糟糕的做法。除了使用IPv6，我们别无选择。攻击案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等等（简单了解即可）基础设施层攻击L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等等 TLS攻击攻击案例L2-L3 容量耗

10、尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等等（简单了解即可）基础设施层攻击L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等等 TLS攻击L7 基于应用程序的洪水攻击WORDPRESS PINGBACK攻击GET/whatever用户代理：WordPress/3.9.2;http:/ pingback from 192.0.2.150同时存在150000170000 个易受攻击的服务器支持安全套接层（SSL）与 传输层安全协议（TLS）交易速率/bps输入速率传递速率输出速率率：率：12月31日，星期四，15:00输入速率：5.94 Gbps输出速Mbps传递速Mb

11、psL7攻击的另一个例子：完整浏览器堆栈（FBS）互联网机器人实际上可以比Wordpress机器更加聪明 高级僵尸网络能够使用无头浏览器（IE/Edge或Chrome）=“完整浏览器堆栈”(FBS)僵尸网络 支持FBS的机器人能够完成复杂的挑战，如Javascript代码执行L7攻击的另一个例子：完整浏览器堆栈（FBS）如果进行正规的被动分析，验证码（CAPTCHA）将 是对抗FBS的最后武器。优势：易于实施通常能够奏效L7攻击的另一个例子：完整浏览器堆栈（FBS）CAPTCHA弊端（1/3）：需加入用户体验（UX），可能会破坏UX本身 破坏移动设备应用程序 相较于机器人，某些情况下对人来说更

12、加困难L7攻击的另一个例子：完整浏览器堆栈（FBS）CAPTCHA弊端（2/3）：需加入用户体验（UX），可能会破坏UX本身破坏移动设备应用程序相较于机器人，某些情况下对人类来说更加困难并非所有机器人都是恶意的，并非所有的人都是无辜的CAPTCHA代理和CAPTCHA农场，例如 http:/ 该用户正在浏览的网页之中L7攻击的另一个例子：完整浏览器堆栈（FBS）CAPTCHA弊端（3/3）：需加入用户体验（UX），可能会破坏UX本身破坏移动设备应用程序相较于机器人，某些情况下对人类来说更加困难并非所有机器人都是恶意的，并非所有的人都是无辜的CAPTCHA代理和CAPTCHA农场，例如http:

13、/ 的网页之中光学字符识别（OCR）工具快速发展语音识别的发展速度比OCR更加迅速“隐匿式安全”：使用开源机器学习工作比较容易破解开源类CAPTCHA举 例：https:/ pingback，类似攻击在大多数情况下 并不会导致链接降级。因而该类攻击通常不属于ISP的责任范畴L7 攻击缓解：内容复杂主动型：超文本传输协议（HTTP）/JS 挑战 验证码（CAPTCHA）被动型：应用程序会话分析 大数据 关联、机器学习监控、事件响应事件响应误报和漏报 所有基于学习的算法并不是那么严格。误报：误报：算法在没有匹配项时没有匹配项时表现出匹配特匹配特征征 漏报：漏报：算法在有匹配项时有匹配项时表现出无匹

14、配特无匹配特征征 基本上，任何算法都可调整为0FP或0FN 事实通常介于两者之间 攻击目的决定其均衡性攻击案例L2-L3容量耗尽攻击：UDP洪水攻击、SYN洪水攻 击、放大攻击等等（简单了解即可）分类如下：彼此独立独立*互无遗漏遗漏 基础设施层攻击L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等等 TLS攻击L7 基于应用程序的洪水攻击互联网包罗万象，极其复杂数十年以来，IT界有一道广为人知的求职面试题：“当你在浏览器输入会发生什么？”https:/ OS X）一个KeyDown NSEvent被发往应用程序（GNU/Linux）Xorg服务器监听键码值解析全球资源定位器

15、（URL）输入的是全球资源定位器（URL）还是搜索的关键字？当时发生了什么？域名服务器（DNS）查询 使用套接字 传输层安全协议（TLS）握手 超文本传输协议（HTTP）超文本传输协议（HTTP）服务器请求处理当时发生了什么？域名服务器（DNS）查询 IPv4/IPv6选择 使用套接字 深度包检测（DPI）传输层安全协议（TLS）握手 证书吊销列表（CRL）/在线证书状态协议（OCSP）超文本传输协议（HTTP）负载均衡器 超文本传输协议（HTTP）服务 器请求处理 内容分发网络（CDN）应用服务器不能仅作为DDos攻击的 直接目标而存在每一层级都可能受到攻击，因此需 要在L2-L7层实现智能防御 资产管理资产管理 基础架构监控基础架构监控 在条件允许的情况下在条件允许的情况下，消除人为因消除人为因素素架构视图网络安全并非单一的产品、产品、应用或云，它是一个长期防御的过程过程如果想提升应对分布式拒绝服务攻击（DDoS）的能力，需要将所有的互联 网协议纳入到考虑范围内 相关公司（具有网络攻击防御需求）须遵循以下原原则则：更新升级（软硬件及其它）风险管理 事故处理 多方合作与快速反应联系您的计算机应急响应小组（CERT）或计算机安全事件响应小组（CSIRT）以获取建议谢 谢