DDoS攻击原理及防护.ppt

*******这是一条完成的地下价值链，而DDoS问题是其中最为典型的案例*第一，现在的DDoS攻击流量峰值越来越高，据我们目前了解到的情况，2015年国外发生过的DDOS攻击，流量峰值达到了将近600G。事实上，2016年前三个月，已经发生了超过600G的DDoS攻击。7月20日乐视被攻击峰值达到200G，大流量攻击原因：带宽提速，(铜退光进）、物联网、智能设备；DNS、SSDP和NTP反射攻击。。。第二，由于发起DDoS攻击，越来越容易，因此从DDoS攻击次数上说，DDoS发生的次数越来越频繁。80%是10G以下攻击小流量、http、dns等应用层、慢速攻击增多********存在大量连接状态，来自少数的几个源。如果统计的话，可以看到连接数对比平时出现异常。并且增长到某一值之后开始波动，说明此时可能已经接近性能极限。因此，对这种攻击的判断：在流量上体现并不大，甚至可能会很小；大量的ESTABLISH状态；新建的ESTABLISH状态总数有波动。*NTP反射攻击原理：Monlist指令，可以获取与目标NTP?Server进行过同步的最后600个客户机IP。?这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP?包1、?利用UDP协议的天然脆弱点，即不需要前期建立连接，直接就可以向client发送数据；2、?Internet上存在大量开放分布式的NTPServer，进行对同步请求的响应。3、?比DNS反射放大攻击威力更大的区别是NTP特有的一个Monlist功能，(Monlist指令，可以获取与目标NTPServer进行过同步的最后600个客户机IP。这意味着，一个很小的请求包，就能获取到大量的活动IP地址组成的连续UDP包).攻击实现：1、?所有的bots把源IP伪装成受害者IP，这个在NTP查询时返回的查询结果就直接返回给了受害者；2、?NTPresponse的数据包比NTPRequest大很多倍，达到了放大的效果。*这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址**来自互联网的攻击混合流量试图进入城域网内企业用户端，而我们的清洗中心部署在城域网边界。整个工作原理的核心就是这个智能识别净化矩阵。反欺骗：通过基于行为的智能反向探测，检验访问的合法性；然后是协议栈行为分析：检查数据流中各标志位是否符合RFC规范，不符合则直接阻断；特定应用防护：比如后端只为DNS或者WEB这些特定应用，那么特定应用防护功能即只放行特定应用而阻断干扰流量；用户行为模式分析：互联网上应用流量呈现随机特点，而在一次攻击中，攻击者如果采用固定模式、固定带宽攻击，在分析到这类攻击后可实施阻断；动态指纹识别：根据检查和生产攻击指纹，匹配后期攻击数据；最后的流量线速：丢车保帅的策略，经过前期过滤发现流量都为正常访问，但是仍然超出应用所能承受范围，不得已丢弃部分流量，保全服务器。经过矩阵后，保障交付给客户的都是纯净流量。*TCP传输控制程序块(TCB)（用于跟踪TCP连接的内部表）TCPSYN洪水攻击的过程：1.攻击者向目标设备发送一个TCPSYN数据包。2.目标设备收到这个TCPSYN数据包后，建立TCB，并以一个TCPACK数据包进行响应，等待发送源的响应。3.而发送源则不向目标设备回复TCPACK数据包，这样导致目标设备一致处于等待状态。4.如果TCP半连接很多，会把目标设备的资源（TCB耗尽，而不能响应正常的TCP连接请求。，从而完成拒绝服务的TCPSYN洪水攻击。SYNCookie是对TCP服务器端的三次握手做一些修改，专门用