DDOS攻击分析方法与分析案例解决专项方案.docx

1. DDOS攻击分析方法和分析 1.1. DDOS 概论 DDOS 英语全名为Distributed Denial of Service 分布式拒绝攻击。是现在网络攻击中最常常使用也是最难以防御一个网络攻击。其攻击原理和传统DOS相同，全部是利用合理服务请求来占用过多服务资源，从而使正当用户无法得到服务响应。DDOS是传统DOS“增强版”。由传统单台PC攻击扩展为大量PC（通常是黑客占领傀儡机，也就是“肉鸡”）集群攻击。其攻击效果和规模是传统DOS所无法相比，下图为DDOS攻击示意图： 如上图：黑客控制者通常会经过“跳板”即图中2 控制傀儡机来发送自己攻击指令，而傀儡机接收到攻击指令以后会向受害者提议潮水般攻击。淹没正常服务请求，造成正常服务无法进行。 1.2. DDOS种类 DDOS攻击方法很多，大致上能够分为三大类： n 关键以消耗系统资源为主攻击 这种代表者为 syn flood 和模拟正常见户访问请求反复查询数据库等大量消耗系统资源攻击。消耗系统资源攻击不需要很大流量就能取得不错攻击效果。比如SYN flood ，windows 系统当物理内存是4g时候 关键内存只有不到300M，系统全部关键模块全部要使用关键内存所以能给半连接队列用关键内存很少。Windows 默认安装情况下，WEB SERVER80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小带宽就能够让服务器端口瘫痪，因为攻击包源IP是伪造极难追查到攻击源,，所以这种攻击很多。 n 消耗网络资源攻击 代表者有UDP flood ，ICMP flood ，smurf等。这类攻击关键是经过大量伪造数据包，来淹没正常数据请求，实现拒绝服务。这类攻击数据包多为大包，而且伪造现象显著。值得指出是 UDP flood 即能够消耗网络资源又能造成攻击主机系统资源耗尽，这个和UDP设计原理相关。当被攻击主机收到对自己没有开放UDP端口请求时候，会回送ICMP 端口不可达信息，当大量请求来临时，回送ICMP信息所消耗资源越来越大，最好造成系统没有资源分配给正常请求。 n 针对系统或网络设备本身bug 攻击 代表者有比较有名ping of death，land-based 和teardrop等。这类攻击大多设计精巧，利用系统本身漏洞造成服务器或网络设备宕机或重启，从而无法提供正常服务，这类攻击在现实中已经极少见到。 1.3. DDOS攻击分析 DDOS攻击造成现实是比较显著，比如网络带宽被大量消耗，网络利用率靠近100%，服务器CPU和内存消耗很大，正常服务响应很慢或完全无响应等。当用户碰到这种现象时候第一个反应就是：我被攻击了。但到底是什么攻击？怎么采取方法？我们提议采取抓包分析方法来了解和分析。 使用抓包分析能够比较直观和正确反应网络现实状况，了解攻击行为和方法。只有在对攻击有很清楚认识后，我们才能采取有针对性防御，这么防御才是主动有效。 这里我们使用多个比较常见DDOS攻击来分析 1. SYN flood。 具体原理不再叙述，SYN Flood 攻击是一项比较轻易实现 而且是比较难以防御攻击。分析此种攻击前，我们先利用科来强大图表自定义功效来设定自己TCP参数，我指定了两个TCP请求监控表，图：点击“我图表”右上角“新建面板” 我们选中TCP 同时发送，和TCP同时确定发送两个选项 针对 SYN flood 我们还能够利用科来告警提醒来进行预防，图我们设置告警： 我们设定当TCP SYN 请求超出1000 并连续了5秒后发出警报，档TCP SYN 每秒钟个数少于500连续5秒后解除报警。 然后将以前DDOS 攻击数据包导入进行分析。 首先我们在端点视图会发觉被攻击端点接收和发送数据包百分比失调。接收大量数据包，但发送较少。而且流量较大，TCP会话很多。图： 我们在图表中能够很直观看到TCP同时和TCP同时确定数据包。图： 我们看到针对被攻击主机每秒 SYN 请求靠近0个，而TCP 同时确定却几乎为0。 设置TCP SYN 警报也已经产生告警 图： 而经过其它传统部分功效也能很清楚了解网络中SYN flood 攻击。我们能够查看TCP会话，图： 我们看到 大量互联网主机利用不一样端口在向192.168.10.104135端口进行同时请求，TCP会话数在段几秒内抵达几万。 增强型矩阵视图也直观显示了针对被攻击主机通信连接情况：远端主机超出10000，只接收收据包，没有发送。 数据包视图利用“解码字段”选项能够直观看到TCP SYN 值为1数据包占了网络数据包绝大部分图： 经过以上丰富图表和不一样界面展现，我们就能够很快了解是哪种DDOS攻击，从而采取应正确方法，降低损失。 防范SYN flood 攻击能够做以下几点方法： n 边界路由过滤 RFC1918要求部分不能在公网传输私网地址段。 n 缩短路由器或FW上SYN 超时时间，和使用SYN代理技术 n 加固服务器TCP/IP协议栈。增加最大半连接数，缩短SYN 超时时间，使用SYN cookies 技术等 n 使用防DDOS攻击硬件设备或模块。 2. UDP flood UDP Flood 是一个混合攻击，即能快速消耗网络带宽，也能够消耗系统资源。 分析UDP flood 攻击之前我们能够利用图表功效设置对UDP会话监控，图： 我们做好设置后，将UDP flood 数据包导入，进行分析。 首先我们在图表视图中看到UDP 会话情况图： UDP 每秒钟会话数超出300，峰值能到480个，而服务器并未提供UDP服务。统计视图也能够看到UDP 会话数在40秒内就产生了24328个UDP会话，图： 查看UDP 会话我们发觉，大量互联网随机IP 在向192.168.10.104不一样UDP端口进行访问。图： 在数据包视图中我们能够看到 时间间隔很短时间内发送大量UDP 数据包。图： 针对UDP flood 攻击防护能够从以下几点来做： n 增大网络带宽和服务器性能 n 路由器和防火墙设置UDP会话限制。 n 利用SP部分类似源地址过滤手段来丢弃没有回传路由UDP请求。 3. ICMP flood ICMP flood 攻击主机提议大量ICMP echo 来堵塞网络，淹没正常服务请求一个攻击，关键是针对网络带宽进行攻击。 这种DDOS特征比较显著，经过抓取攻击数据包能够很直观了解其攻击现象，图：首先我们能够看到概要视图中IP会话数很多，远远超出TCP和UDP会话。 协议视图里我们看到ICMP echo 协议流量过大，而echo replay 极少，百分比失衡图： 矩阵视图中 我们看到 被攻击IP和上万（矩阵中对方主机默认最多10000,）IP进行通信。被攻击主机只有接收无发送。 数据包视图中我们看到大量ICMP 数据包，而且有很显著伪造填充和伪造现象，图: 经过这多个简单试图我们能够快速了解网络中发生ICMP DDOS攻击。 ICMP DDOS防御较为简单，能够在边界路由器或防火墙和服务器上面严禁使用ICMP协议。 4. Smurf 攻击 Smurf 攻击是一个设计很巧妙DOS攻击，利用部分网络设备配置或本身部分漏洞进行杠杆式DOS攻击，1台提议者就能产生数倍流量，相当于流量放大器。攻击原理以下图： 该攻击向一个子网广播地址发一个带有特定请求(如ICMP回应请求)包，而且将源地址伪装成想要攻击主机地址。子网上全部主机全部回应广播包请求而向被攻击主机发包，使该主机受到攻击。子网内有多少台主机，流量就会被扩大几倍。 Smurf攻击中最显著也是 ICMP 协议占了网络流量很大百分比，而且源地址是多是子网IP。Smurf攻击防范也很简单，在子网路由器上面关闭对广播地址ICMP转发。