DDOS攻击与防御解读

网关模式配置: sudo iptables -I FORWARD -j NFQUEUE 本地模式配置： sudo iptables -I INPUT -j NFQUEUE sudo iptables -I OUTPUT -j NFQUEUE
启动suricata： sudo suricata -c /etc/suricata/suricata.yaml -q 0
GBT 20281—2006 防火墙技术要求和测试评价方法
6.4.2 抗渗透 a） 测试方法 1） 采用渗透测试工具或专用性能测试设备，对防火墙进行各种拒绝 服务攻击。攻击手段至少包括:Syn Flood、UDP Flood、ICMP Flood和Ping of Death；
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET WEB_SERVER LOIC Javascript DDoS Inbound"; flow:established,to_server; content:"GET"; http_method; content:"?id="; http_uri; content:"&msg="; http_uri; distance:13; within:5; pcre:"/\?id=[0-9]{13}&msg=[^&]+$/U"; threshold: type both, track by_src, count 5, seconds 60; reference:url,isc.sans.org/diary/Javascript+DDoS+Tool+Analysis/12442; reference:url,www.wired.com/threatlevel/2012/01/anons-rickroll-botnet; classtype:attempted-dos; sid:2014140; rev:5;)
DDOS防御简介
防御方式：
1. 核心层——边界防御
2. 汇聚层——内部隔离
3. 接入层——本地防御
边界防御
我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的 安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候 ，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、 硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、 病毒与攻击。
DDOS攻击及防御
2015年1月
DOS攻击简介
拒绝服务，(DoS,Denial of Service的简称)，造成DoS的攻击行为被称为DoS攻击， 其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽 攻击和连通性攻击。 常见的DOS攻击手段有：Syn Flood、UDP Flood、ICMP Flood和Ping of Death
内部隔离
DMZ：
英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区” 。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题， 而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外 部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设 施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更 加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网 的攻击者来说又多了一道关卡。
常见的DOS攻击手段有： IP Spoofing、 LAND attack、ICMP Flood和Application
傀儡控制主机
DoS攻击
傀儡攻击主机群
受害主机
随着网络技术的不断发展，网络中存在多种攻击行为，目 前网络主流的攻击方法如下：
Syn Flood UDP Flood ICMP Flood Ping of Death Land attack IP Spoofing
本地防御
Suricata规则
Байду номын сангаас
#these are more permanent, C&C related # alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"ET TROJAN EJihad 3.0 DDoS HTTP Activity INBOUND"; flow:established,to_server; content:"GET"; nocase; http_method; content:"User-Agent|3a| Attacker|0d 0a|"; http_header; reference:url,doc.emergingthreats.net/bin/view/Main/EJihadHackTool; classtype:denial-of-service; sid:2007687; rev:10;)
DoS攻击
黑客主机
受害主机
DDOS攻击简介
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器 技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而 成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安 装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已 经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服 务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。
本地防御
linux防火墙： iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来 管理网络数据包的移动与转送。
本地防御
IPS防御： Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。软件的源代码可以通 过http://suricata-ids.org/获得。