《2018年DDoS的灾难性攻击解析与应对.pdf》由会员分享,可在线阅读,更多相关《2018年DDoS的灾难性攻击解析与应对.pdf(42页珍藏版)》请在三个皮匠报告上搜索。
1、DDoS的灾难性攻击解析与应对目录历史背景风险管理网络攻击和应对措施架构视图历史时间线第一次攻击:1999年-2000年 2005年:微软提出STRIDE威胁模型身份欺骗篡改数据否认信息泄漏拒绝服务权限提升D?DoS“分布式攻击”与“非分布式攻击”的区别十分模糊。传统意义上来说,分布式攻击有多个来源。来源是什么?是一个IP地址还是一台物理机呢?如果是一台物理机,是一个虚拟机发起的攻击吗?亦或是同一台物理虚拟监视器下的多个虚拟机?如果这些虚拟机经常在数台物理机间迁移呢?假如我的电脑遭到了分布式攻击,我该如何判断攻击是单个来源还是多个来源呢?假如攻击来自某个IP地址,那么我们该如何处理虚假流量呢?
2、D?DoS因此,需要运用不同的思维来理解:拒绝服务(DoS)(正如STRIDE模型的一样):软件中存在的弱点(比如像Ping of Death的空指针解引用。)分布式拒绝服务(DDoS):消耗计算资源。风险管理STRIDE和其他威胁模型的基本思想是风险评估、建模以及管理。可能性/影响矩阵图轻微影响可能性极低不太可能中度影响可能非常可能轻度影响中度影响重大影响严重影响可能性/影响矩阵图轻微影响可能性极低不太可能中度影响可能非常可能轻度影响中度影响重大影响严重影响2018年分布式拒绝服务(DDoS)攻击 影响:严重影响 可能性:?风险管理攻击者的动机寻求快乐!敲诈勒索自我炫耀政治目的报复市场竞争转
3、移注意力(比如窃取信息时)防止他人访问不利于自己的信息。很难评估和控制大致可预测!网络资源耗竭 现在,计算机网络由多层构成。当至少一个网络层级停止提供服务后,用户将无法接收到相关网络资源。因此,不同网络层级受到影响将形成不同的DDoS攻击:L2L3普通带宽消耗L4 L5 L6L7应用特有的瓶颈问题超负荷使用TCP/TLS的边缘案例攻击案例L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击典型放大攻击 多台服务器通过互联网向客户发送的数据比接收到的多。UDP服务通常不会检查源IP地址。这种漏洞给了DDoS放大攻击可乘之机。攻击者受害者来源(Src)
4、:受害者(受到欺骗)目的(Dst):放大攻击“ANY?com.”1Gbps来源(Src):放大攻击目的(Dst):受害者“com.NS i.gtld-.”29Gbps脆弱的协议 长长的协议清单 大多数协议早已过时 诸如游戏协议类的当前协议包括:网络时间协议(NTP)DNS协议 简单网络管理协议(SNMP)简单服务发现协议(SSDP)互联网控制消息协议(ICMP)网路基本输入输出系统协议(NetBIOS)RIPv1 PORTMAP协议 字符发生器协议(CHARGEN)雷神之锤协议(Quake)Steam协议 Memcached协议 脆弱的服务器 大多数过时的服务器最终会被更新 替换 或遭到淘汰。
5、因此放大器的数量呈稳定的下降趋势。然而,时不时会出现新的脆弱协议。放大器总数放大器总数累积放大的可能性累积放大的可能性源地址所有权的证明例如,基于UDP的低时延的互联网传输层协议(QUIC)(由国际互联网工程任务组设计的传输层协议):初次握手包有1280字节 源地址验证其他UDP协议必须执行类似的过程。L2-L3 攻击缓解在受害者看来:Anycast网络检验到位 进行清单管理,清除来路不明的通信服务器(比如UDP服务连接HTTP服务器)限速控制不太重要的网络流量 挑战和握手(稍后会详细介绍)在互联网服务供应商(ISP)看来:抵抗典型攻击的简单启发法 远程触发黑洞技术(让客户自行解决问题。)攻击
6、案例L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击攻击案例L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击L4-L6SYN洪水攻击、TCP连接攻击、Sockstress攻击等。TLS攻击攻击案例L2-3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击L4-6SYN洪水攻击、TCP连接攻击、Sockstress攻击等。TLS攻击一次攻击可以同时影响多个网络层级。联合攻击 比如,NTP放大攻击和SYN洪水攻击同时进行。联合攻击的目的在于转移负责人的注意力,防
7、止他们专心解决真正的威胁。分批联合攻击 联合攻击的目的在于转移负责人的注意力,防止他们专心解决真正的威胁。21:30:01.226868 IP 94.251.116.51 178.248.233.141:GREv0,length 544:IP 184.224.242.144.65323 167.42.221.164.80:UDP,length 51221:30:01.226873 IP 46.227.212.111 178.248.233.141:GREv0,length 544:IP 90.185.119.106.50021 179.57.238.88.80:UDP,length 512L4
8、+攻击缓解 SYN洪水攻击:基于3次握手过程的SYN cookies和SYN 代理(proxy)可以帮助受害者检查源IP地址。其它基于数据包的洪水攻击:进行相同攻击的握手与挑战 剩余部分:会话分析、启发式、黑名单在没有验证源IP地址的情况下,使用黑名单或白名单十分危险!切记进行网络资产管理!L4+攻击缓解 认为L4只是传输控制协议(TCP)的这种观点有误。新型传输协议通过以下方式执行网络服务供应商应用程序国际互联网工程任务组 终端用户服务器?终端用户后台?互联网转接与互联网服务提供商IPv6概要128比特位 IP地址 有可能:为地球上的每一粒沙子提供一个IP地址 不太可能:在内存中存储大量条目
9、 大约在10年前,将整个IPv4网络列入黑名单是很糟糕的做法。除了使用IPv6,我们别无选择。攻击案例L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等 TLS攻击攻击案例L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击L4-L6 SYN洪水攻击、TCP连接攻击、Sockstress攻击等 TLS攻击L7 基于应用程序的洪水攻击WORDPRESS PINGBACK攻击GET/whatever用户代理:WordPress/3.9.
10、2;http:/ pingback from 192.0.2.150 同时存在0个易受攻击的服务器 支持安全套接层(SSL)与传输层安全协议(TLS)交易速率/bps输入速率传递速率输出速率12月31日,星期四,15:00输入速率:5.94 Gbps输出速率:Mbps传递速率:MbpsL7攻击的另一个例子:完整浏览器堆栈(FBS)互联网机器人实际上可以比Wordpress机器更加聪明 高级僵尸网络能够使用无头浏览器(IE/Edge或Chrome)=“完整浏览器堆栈”(FBS)僵尸网络 支持FBS的机器人能够完成复杂的挑战,如Javascript代码执行L7攻击的另一个例子
11、:完整浏览器堆栈(FBS)如果进行正规的被动分析,验证码(CAPTCHA)将是对抗FBS的最后武器。优势:易于实施 通常能够奏效L7攻击的另一个例子:完整浏览器堆栈(FBS)CAPTCHA弊端(1/3):需加入用户体验(UX),可能会破坏UX本身 破坏移动设备应用程序 相较于机器人,某些情况下对人来说更加困难L7攻击的另一个例子:完整浏览器堆栈(FBS)CAPTCHA弊端(2/3):需加入用户体验(UX),可能会破坏UX本身破坏移动设备应用程序相较于机器人,某些情况下对人类来说更加困难并非所有机器人都是恶意的,并非所有的人都是无辜的CAPTCHA代理和CAPTCHA农场,例如http:/ pi
12、ngback,类似攻击在大多数情况下并不会导致链接降级。因而该类攻击通常不属于ISP的责任范畴L7 攻击缓解:内容复杂主动型:超文本传输协议(HTTP)/JS 挑战 验证码(CAPTCHA)被动型:应用程序会话分析 大数据 关联、机器学习监控、事件响应误报和漏报 所有基于学习的算法并不是那么严格。误报:算法在没有匹配项时表现出匹配特征 漏报:算法在有匹配项时表现出无匹配特征 基本上,任何算法都可调整为0FP或0FN 事实通常介于两者之间 攻击目的决定其均衡性攻击案例L2-L3 容量耗尽攻击:UDP洪水攻击、SYN洪水攻击、放大攻击等(简单了解即可)基础设施层攻击L4-L6 SYN洪水攻击、TC
13、P连接攻击、Sockstress攻击等 TLS攻击分类如下:彼此独立*互无遗漏L7 基于应用程序的洪水攻击互联网包罗万象,极其复杂数十年以来,IT界有一道广为人知的求职面试题:“当你在浏览器输入会发生什么?”https:/ OS X)一个KeyDown NSEvent被发往应用程序(GNU/Linux)Xorg服务器监听键码值解析全球资源定位器(URL)输入的是全球资源定位器(URL)还是搜索的关键字?当时发生了什么?域名服务器(DNS)查询 使用套接字 传输层安全协议(TLS)握手 超文本传输协议(HTTP)超文本传输协议(HTTP)服务器请求处理当时发生了什么?域名服务器(DNS)查询IP
14、v4/IPv6选择使用套接字深度包检测(DPI)传输层安全协议(TLS)握手证书吊销列表(CRL)/在线证书状态协议(OCSP)超文本传输协议(HTTP)负载均衡器超文本传输协议(HTTP)服务器请求处理内容分发网络(CDN)应用服务器不能仅作为DDos攻击的直接目标而存在 每一层级都可能受到攻击,因此需要在L2-L7层实现智能防御 资产管理 基础架构监控 在条件允许的情况下,消除人为因素架构视图 网络安全并非单一的产品、应用或云,它是一个长期防御的过程 如果想提升应对分布式拒绝服务攻击(DDoS)的能力,需要将所有的互联网协议纳入到考虑范围内 相关公司(具有网络攻击防御需求)须遵循以下原则:更新升级(软硬件及其它)风险管理 事故处理 多方合作与快速反应 联系您的计算机应急响应小组(CERT)或计算机安全事件响应小组(CSIRT)以获取建议谢 谢