DPtech入侵防御系統(tǒng)DDoS防范技術白皮書

1、杭州迪普科技有限公司DPtech入侵防御系統(tǒng)DDoS防范技術白皮書防范技術白皮書1、概述1.1 背景從上世紀90年代到現(xiàn)在，DoS/DDoS 技術主要經(jīng)歷大約階段：1) 技術發(fā)展時期。90年代，Internet 開始普及，很多新的DoS 技術涌現(xiàn)。技術，其中大多數(shù)技術至今仍然有效，且應用頻度相當高，等等。2) 從實驗室向產(chǎn)業(yè)化轉換2000年前后，DDoS 出現(xiàn)，Yahoo, Amazon等多個著名網(wǎng)站受到攻擊并癱瘓，SQL slammer 等蠕蟲造成的事件。3) “商業(yè)時代”最近一兩年，寬帶的發(fā)展使得接入帶寬增加，個人電腦性能大幅提高，使越頻繁，可以說隨處可見，而且也出現(xiàn)了更專業(yè)的、用于出租的

2、攻擊的威脅已經(jīng)無處不在。DDoS（分布式拒絕服務攻擊）是產(chǎn)生大規(guī)模破壞的武器。不像訪問攻擊穿透安全周邊來竊取信息，DDoS攻擊通過偽造的流量淹沒服務器、網(wǎng)絡鏈路和網(wǎng)絡設備癱瘓來使得網(wǎng)絡系統(tǒng)癱瘓。1.2 DDoS攻擊原理由于DDoS攻擊往往采取合法的數(shù)據(jù)請求技術，再加上傀儡機器，造成最難防御的網(wǎng)絡攻擊之一。據(jù)美國最新的安全損失調查報告，躍居第一。DDoS攻擊的一個致命趨勢是使用復雜的欺騙技術和基本協(xié)議，不是采用可被阻斷的非基本協(xié)議或高端口協(xié)議，非常難識別和防御，率的措施只是通過停止服務來簡單停止攻擊任務，但同時合法用戶的請求也被拒絕，中斷或服務質量的下降；DDoS事件的突發(fā)性，往往在很短的時就可

3、使網(wǎng)絡資源和服務資源消耗殆盡。DDoS攻擊主要是利用了Internet協(xié)議和Internet基本數(shù)據(jù)包到任意目的地。DDoS攻擊分為兩種：要么大數(shù)據(jù)，大流量來90年代末發(fā)明和研究過許多新的Ping of death, Smurf, SYN flooding, 還有 Codered, DDoS 攻擊越來DDoS 攻擊經(jīng)濟?？梢哉fDDoS （路由器，防火墻等）DDoS攻擊成為目前DDoS攻擊所造成的經(jīng)濟損失已經(jīng)如HTTP，Email等協(xié)議，而通常采用的包過濾或限制速造成業(yè)務的間內，大量的DDoS攻擊數(shù)據(jù)無偏差地從任何的源頭傳送壓垮網(wǎng)絡設備和服務器，要第1頁 共6頁如 優(yōu)點杭州迪普科技有限公司么有意

4、制造大量無法完成的不完全請求來快速耗盡服務器資源。1.3 DoS/DDoS攻擊分類邏輯攻擊邏輯攻擊采取的方法是利用攻擊對象上已有的軟件漏洞，向其發(fā)送少量的畸形數(shù)據(jù)包，導致攻擊對象的服務性能大幅降低和整個系統(tǒng)發(fā)生崩潰。泛洪攻擊泛洪攻擊則是利用大量的無效或惡意數(shù)據(jù)數(shù)據(jù)包導致攻擊對象的資源（例如CPU、內存、緩存、磁盤空間和帶寬）不堪重負，從而降低服務性能或者導致服務中斷。1.4 DoS與DDoS攻擊的區(qū)別顧名思義，DoS與DDoS最直接的區(qū)別就是單對一攻擊還是多對一攻擊。而隨著現(xiàn)在服務器性能的發(fā)展，想要單對一發(fā)起泛洪攻擊已經(jīng)不太可能了，所以現(xiàn)在有效的DoS攻擊主要采用邏輯攻擊的方式，而DDoS攻擊

5、則由攻擊者驅動僵尸網(wǎng)絡，以多攻少，耗盡服務器資源。1.5 傀儡機和僵尸網(wǎng)絡傀儡機是被黑客通過木馬或其他惡意程序獲取控制權的終端用戶PC、服務器或者其他網(wǎng)絡設備。而由攻擊者操縱的一系列傀儡機組成的網(wǎng)絡形象地稱為僵尸網(wǎng)絡。示意圖如下所示：第2頁 共6頁杭州迪普科技有限公司僵尸網(wǎng)絡攻擊示意圖1.6 常見的DoS/DDoS攻擊ping of death許多操作系統(tǒng)的TCP/IP協(xié)議棧規(guī)定ICMP報文大小為64KB，并為此分配緩沖區(qū)。Ping ofdeath故意產(chǎn)生崎形報文，聲稱自己的大小超過64KB，使得協(xié)議棧出現(xiàn)內存分配錯誤，導致蕩機。teardrop某些TCP/IP協(xié)議棧（NT在SP4以前）利用該

6、特性發(fā)送偽造的重疊IP分片報文， udp flood提供WWW和Mail等服務的Unix的服務器echo服務會顯示接收到的每一個數(shù)據(jù)包，而數(shù)據(jù)包時隨機反饋一些字符。Udp flood假冒連接，回復地址指向開著echo服務的一臺垃圾數(shù)據(jù)，導致帶寬耗盡。syn floodSYN Flooding針對TCP協(xié)議棧在兩送帶偽造源地址的SYN報文，服務方發(fā)送方會在一定時間處于等待請求方ACK消息的有限的。如果惡意攻擊方快速連續(xù)地發(fā)送此類連被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡可用帶寬可以插在大量虛假請求間得到應答外，服務器 smurf攻擊者以被害者的地址作為源地址發(fā)害者發(fā)送ICMP回顯應答報文，導致被害者發(fā)

7、大量回應的方式也被叫做smurf“放大”。 stacheldrahtStacheldraht基于客戶機/服務器模式，在發(fā)動攻擊時，攻擊者與master程序進行連在收到含有重疊致某些系統(tǒng)蕩機。默認打開一原本作為測試功攻擊偽造與某一主機的臺主機來主機間初始化連SYN-ACK確認消狀態(tài)。對于某臺接請求，該迅速縮小，長此將無法向用戶提ICMP回顯請求被大量響應信息淹沒。Master程序與潛接。增加了新的IP分片報文時會崩潰。Teardrop黑客惡意利用的UDP服務。如chargen服務會在收到每一個chargen服務之間的一次udp回傳送毫無用處且占滿帶寬的程進行DoS攻擊。攻擊者發(fā)收不到ACK回應，

8、于是服務TCP連接是TCP連接隊列將很快下去，除了少數(shù)幸運用戶的請求常的合法服務。報文。網(wǎng)絡中的一些系統(tǒng)會向被這種使用網(wǎng)絡發(fā)送一個包而引在的成千個代理程序進行通訊。能：攻擊者與master程序之間第3頁 共6頁的導些被能的主機，使得兩臺接的過息后服務器來說，可用的服務器可用的供正送廣播其中功杭州迪普科技有限公司的通訊是加密的，對命令來源做假。以此逃避一些路由器用URPF(RFC2267)進行過濾，若檢查出有過濾現(xiàn)象，它將只做假IP地址最后8位，從而讓用戶無法了解到底是哪幾個網(wǎng)段的哪臺機器被攻擊；同時使用rcp 技術對代理程序進行自動更新。同TFN一樣， Stacheldraht可以并行發(fā)動數(shù)不

9、勝數(shù)的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包。Stacheldraht所發(fā)動的攻擊包括UDP flood、TCP SYN flood、ICMP 回音應答flood等。2、DPtech IPS對DoS/DDoS的防御技術2.1傳統(tǒng)防御方案的缺點傳統(tǒng)的DDoS防御方案主要有以下不足：1) 配置復雜，自動化不強。傳統(tǒng)DDoS防御往往要求用戶針對某種流量配置相應的閾值，如果對網(wǎng)絡中的流量不清楚的話，用戶很難做出正確的配置。2) 防御能力比較單一。傳統(tǒng)DDoS防御主要針對SYN Flood等單一攻擊類型進行防御，能力比較單一?，F(xiàn)在DDoS攻擊的趨勢是多層次和全方位的，在一次攻擊

10、攻擊過程中，會產(chǎn)生針對網(wǎng)絡層的SYN、UDP和ICMP Flood，針對連接的TCP connectioinFlood，和針對應用層協(xié)議的HTTP GET、PUT Flood。3) 無法區(qū)分異常流量。傳統(tǒng)DDoS防御對于檢測到的流量異常后，無法做進一步的區(qū)分，而只是簡單的將所有異常流量全部丟棄，導致合法用戶的請求也得不到響應。4) 無法應對未知的攻擊。傳統(tǒng)DDoS防御主要針對已知DDoS攻擊，而隨著DDoS攻擊工具源代碼在網(wǎng)上散播，攻擊者可以很容易改變DDoS攻擊的報文類型，形成DDoS攻擊的變體。2.2DPtech IPS防御DDoS的方法http-redirection根據(jù)四元組（源IP、

11、目的IP、目的端口和協(xié)議）查詢http重定向表，如果匹配并且表項狀態(tài)為完成重定向（該狀態(tài)的重定向表項老化則客戶端為zombie），增加可信IP，將報文傳送給服務端，是針對HTTP請求的anti-spoof動作。http-redirection的處理主要包括兩個部分：cookie和redirect。cookie驗證客戶端IP地址的合法性（防spoof），redirect驗證客戶端是否能夠正確理解應用層協(xié)議（防zombie）dns-proxy是針對TCP DNS請求的anti-spoof動作。dns-proxy的處理主要包括兩個部分：cookie和proxy。cookie驗證客戶端IP地址的合法性

12、（防spoof）。第4頁 共6頁杭州迪普科技有限公司server-resetserver-reset是IPS以server身份主動發(fā)起reset，server-reset防護動作在系統(tǒng)中暫不使用，此功能點是為了保證防護動作的完整性。server-reset包含TCP cookie處理，用來驗證客戶端IP地址的合法性（防spoof）。client-resetclient-reset是針對基于TCP并且除HTTP、DNS外的其他應用協(xié)議的anti-spoof動作（SMPT、POP3、IMAP、HTTPS、TELNET、FTP協(xié)議使用client- reset處理，其他協(xié)議未通過驗證），由服務端在回

13、應SYN/ACK報文時設置錯誤的序列號，客戶端將主動復位當前連接并且進行連接重試。client-reset包含兩個部分：cookie和redirect。cookie驗證客戶端IP地址的合法性（防spoof），redirect驗證客戶端是否能夠正確理解應用層協(xié)議（防zombie）。tcp-strong需要調用本功能進行服務端SYN/ACK報文處理。防護動作tcp-strong對每一個TCP請求進行代理，需要完成設備和客戶端、設備和服務端的三次握手。在處理服務端三次握手時需要處理SYN/ACK報文。ttl-checkttl-check是針對除TCP、DNS UDP協(xié)議外的其他協(xié)議的anti-spo

14、of動作。防護基于的原理是攻擊者可以篡改報文的任何內容，但無法篡改報文傳輸?shù)腡TL跳數(shù)。根據(jù)TTL跳數(shù)對IP源地址進行認證基于如下前提：大多數(shù)系統(tǒng)的報文初始TTL值為30、32、60、64、128和255； 大多數(shù)報文在網(wǎng)上傳輸?shù)木嚯x不會超過30跳；在學習階段，或者從后續(xù)通過其他防護動作認證的報文中，我們可以獲取一張IP和TTL跳數(shù)的對應關系表，作為我們檢測的依據(jù)。如果當前報文不符合對應關系表，則認為當前報文為偽造報文；否則認為當前報文合法。由于ttl-check防護基于的事實具有一定的不可靠性：用戶可以修改報文的起始TTL值，報文在網(wǎng)絡中傳輸?shù)木嚯x可能超過30，所以ttl-check防護具有一定的誤差。特征檢查查殺有特征的DoS攻擊和有特征的DDoS攻擊工具發(fā)