DDoS攻击原理及防护

流量大 频次高
2015年全年DDoS攻击数量为 179,298次，平均20+次/小时。
复杂化 产业化
预测未来
• 1. DDoS攻击峰值流量将再创新高； • 2. 反射式DDoS攻击技术会继续演进； • 3. DNS服务将迎来更多的DDoS攻击； • 4. 针对行业的DDoS攻击将持续存在。
1 DDoS攻击的历史 2 DDoS攻击方式 3 DDoS防护思路及防护算法 4 常见DDoS工具
武器化---网络战
事件 : 匿名者挑战山达基教会 时间：2008年 后果：LOIC的大范围使用
普及化---黑客行动主义
事件 : 海康威视后门 时间：2014年 后果：DNS大面积不能解析
普及化---黑客行动主义
“5·19”断网事件 —— 背景
ห้องสมุดไป่ตู้
客户端
ISP
缓存服务器 解析服务器
电信运营商
root 根域服务器
“5·19”断网事件 —— 断网
客户端 大量 DNS 查询
ISP
缓存服务器 解析服务器
baofeng. com
缓存过期
超时重试
.org
.verycd.com
电信运营商
5 月 19 日 DNSPOD 更大流量 拒绝服务攻击，整
体瘫痪
root 根域服务器
.com
.net
.baofeng.com
DNSPOD
工具编写者“研发人员”？
Toolkit Developer
Malware Developer
工具滥用者“市场与销售”？
Direct Attack
Building Botnets
Virus Worm Spyware Trojan
Botnets: Rent / Sale /
Blackmail
Information theft
DNSPOD
.org
.com
.net
顶级域服务器
.verycd.com
.baofeng.com
.4399.com
授权域服务器
active.baofeng.com
live.baofeng.com
download.baofeng.com
“5·19”断网事件 —— 前奏
客户端
ISP
缓存服务器 解析服务器
顶级域服务器
10G
.4399.com
授权域服务器
active.baofeng.com
live.baofeng.com
download.baofeng.com
DDOS形势---智能设备发起的DDoS攻击增多
DDoS攻击的动机
• 技术炫耀、报复心理
– 针对系统漏洞 – 捣乱行为
• 商业利益驱使
– 不正当竞争间接获利 – 商业敲诈
目录
• 利用木桶原理，寻找并利用 系统应用的瓶颈
• 阻塞和耗尽
• 当前的问题：用户的带宽小 于攻击的规模，造成访问带 宽成为木桶的短板
DDoS攻击本质
DDoS基本常识
不要以为可以防住真正的DDoS • 好比减肥药，一直在治疗，从未见疗效 • 真正海量的DDoS可以直接阻塞互联网
DDoS攻击只针对有意义的目标 • 如果没被DDoS过，说明确实没啥值得攻击的 • DDoS是攻击者的资源，这个资源不是拿来乱用的
如果攻击没有效果，持续的时间不会很长 • 无效的攻击持续的时间越久，被追踪反查的概率越大 • 被消灭掉一个C&C服务器，相当于被打掉了一个Botnet
DDoS基本常识
低调行事，被攻击者盯上的概率小 • 闷声发大财，显得挣钱不容易 • 很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDoS
能防住的攻击通常简单，简单的未必防得住 • 成功的DDoS伴随着攻击者对攻击目标的深入调研 • 利用漏洞，应用脆弱点，一击定乾坤
Sensitive information
leakage
真正的攻击者“用户与合作者”？
DDoS Spamming
Phishing
Identity theft Social
engineering
最终价值
非法/恶意竞争 偷窃
间谍活动 企业/政府 勒索盈利 商业销售 欺诈销售
点击率 金融欺诈
魔高一尺，道高一丈
DDOS攻击与防范
wnswfocwu.sn.csofmocus.com
绿盟科技 马林平
© 2016 绿盟科技
1 DDoS攻击的历史 2 DDoS攻击方式 3 DDoS防护思路及防护算法 4 常见DDoS工具
目录
DDoS攻击历史
01
02
03
04
探索期 工具化 武器化 普及化
DDoS攻击历史
探索期---个人黑客的攻击
.org .verycd.com
电信运营商
5 月 18 日 DNSPOD 遭拒绝服 务攻击，主站无法
访问
root 根域服务器
.com
.net
.baofeng.com
DNSPOD
顶级域服务器
10G
.4399.com
授权域服务器
active.baofeng.com
live.baofeng.com
download.baofeng.com
事件 ：史上最大规模的DDoS 时间：2013年 后果：300Gbit/s的攻击流量
工具化---有组织攻击
事件 ：爱沙尼亚战争 时间：2007年 后果：一个国家从互联网上消失
武器化---网络战
事件 ：格鲁吉亚战争 时间：2008年 后果：格鲁吉亚网络全面瘫痪
武器化---网络战
事件 ：韩国网站遭受攻击 时间：2009年~至今 后果：攻击持续进行
• 政治因素
– 名族主义 – 意识形态差别
DDOS攻击地下产业化
需求方、 服务获取者、 资金注入者
攻击实施者
我们在同一个地 下产业体系对抗 地下黑客攻击网络
攻击工具
传播销售
漏洞研究
工具、病毒 制作
漏洞研究、 目标破解
僵尸网络
制造、控制， 培训、租售
学习、 赚钱
培训 广告 经纪人
上述现象的背后 – 原始的经济驱动力
事件 ：第一次拒绝服务攻击（Panic attack） 时间：1996年 后果：至少6000名用户无法接受邮件
探索期---个人黑客的攻击
事件 ：第一次分布式拒绝服务攻击（Trinoo） 时间：1999年 后果：连续多天的服务终止
工具化---有组织攻击
事件 ：燕子行动 时间：2012年 后果：大部分美国金融机构的在线银行业务遭到攻击
攻击是动态的过程，攻防双方都需要不断调整 • 防住了攻击千万不能掉以轻心，可能攻方正在调整攻击手段 • 小股多段脉冲攻击试探，海量流量一举攻瘫
DDoS防御基本常识
安全服务总是在攻击防不住的时候才被想起来 • DDoS是典型的事件触发型市场 • 应急，演练，预案在遭受攻击之前，很少受重视