DDOS攻击分析方法与分析案例、解决方案.docxVIP

DDOS攻击分析方法与分析案例、解决方案

针对系统或者网络设备自身的bug的攻击

代表者有比较有名的pingofdeath，land-based和teardrop等。这类攻击大多设计精巧，利用系统自身的漏洞造成服务器或网络设备宕机或重启，从而无法提供正常的服务，此类攻击在现实中已经很少见到。

DDOS攻击分析

DDOS攻击造成的现实是比较明显的，例如网络带宽被大量的消耗，网络利用率接近100%，服务器的CPU和内存消耗很大，正常的服务响应很慢或完全无响应等。当客户遇到这种现象的时候第一个反应就是：我被攻击了。但究竟是什么攻击？怎么采取措施？我们建议采用抓包分析的方式来了解和分析。

使用抓包分析能够比较直观和准确的反应网络现状，了解攻击行为和方式。只有在对攻击有很清楚的认识后，我们才能采取有针对性的防御，这样的防御才是积极有效的。

这里我们使用几种比较常见的DDOS攻击来分析

SYNflood。

具体原理不再阐述，SYNFlood攻击是一项比较容易实现而且是比较难以防御的攻击。分析此种攻击前，我们先利用科来强大的图表自定义功能来设定自己的TCP参数，我指定了两个TCP请求监控表，如图：点击“我的图表”右上角的“新建面板”

我们选中TCP同步发送，和TCP同步确认发送两个选项

针对SYNflood我们还可以利用科来的告警提示来进行预防，如图我们设置告警：

我们设定当TCPSYN请求超过1000并持续了5秒后发出警报，档TCPSYN每秒钟个数少于500持续5秒后解除报警。

然后将以前的DDOS攻击数据包导入进行分析。

首先我们在端点视图会发现被攻击的端点的接受和发送数据包比例失调。接受大量数据包，但发送较少。而且流量较大，TCP会话很多。如图：

我们在图表中可以很直观的看到TCP同步和TCP同步确认的数据包。如图：

我们看到针对被攻击主机每秒的SYN请求接近20000个，而TCP同步确认却几乎为0。

设置的TCPSYN警报也已经产生告警如图：

而通过其他传统的一些功能也能很清楚的了解网络中的SYNflood攻击。我们可以查看TCP会话，如图：

我们看到大量的互联网主机利用不同的端口在向192.168.10.104的135端口进行同步请求，TCP会话数在段几秒内到达几万。

增强型的矩阵视图也直观显示了针对被攻击主机的通信连接情况：远端主机超过10000，只接受收据包，没有发送。

数据包视图利用“解码字段”选项可以直观看到TCPSYN值为1的数据包占了网络数据包的绝大部分如图：

通过以上丰富的图表和不同的界面的展现，我们就可以很快的了解是哪种DDOS攻击，从而采取应对的措施，减少损失。

防范SYNflood攻击可以做以下几点措施：

边界路由过滤RFC1918规定的一些不能在公网传输的私网地址段。

缩短路由器或FW上的SYN超时时间，以及使用SYN代理技术

加固服务器TCP/IP的协议栈。增加最大半连接数，缩短SYN超时时间，使用SYNcookies技术等

使用防DDOS攻击的硬件设备或模块。

UDPflood

UDPFlood是一种混合攻击，即能快速的消耗网络带宽，也可以消耗系统资源。

分析UDPflood攻击之前我们可以利用图表功能设置对UDP会话的监控，如图：

我们做好设置后，将UDPflood数据包导入，进行分析。

首先我们在图表视图中看到UDP会话的情况如图：

UDP每秒钟会话数超过300，峰值能到480个，而服务器并未提供UDP服务。统计视图也可以看到UDP会话数在40秒内就产生了24328个UDP会话，如图：

查看UDP会话我们发现，大量的互联网随机IP在向192.168.10.104的不同UDP端口进行访问。如图：

在数据包视图中我们可以看到时间间隔很短的时间内发送大量的UDP数据包。如图：

针对UDPflood的攻击防护可以从以下几点来做：

增大网络带宽和服务器性能

路由器和防火墙设置UDP会话限制。

利用SP的一些类似源地址过滤手段来丢弃没有回传路由的UDP请求。

ICMPflood

ICMPflood攻击主机发起大量的ICMPecho来堵塞网络，淹没正常服务请求的一种攻击，主要是针对网络带宽进行攻击。

这种DDOS的特征比较明显，通过抓取攻击数据包可以很直观的了解其攻击现象，如图：首先我们可以看到概要视图中的IP会话数很多，远远超出TCP和UDP会话。

协议视图里我们看到ICMPecho的协议流量过大，而echoreplay很少，比例失衡如图：

矩阵视图中我们看到被攻击IP的与上万（矩阵中对方主机默认最多10000,）IP进行通信。被攻击主机只