DDOS攻击与防御全解

Syn©=10 number=10
Ack(s)= Syn©=10 +1=11 Syn(s)=100 number=100
黑客主机
Ack©=Syn(s)+1=101
X
受害服务器
SYN flood attack
安装iptables对特定ip进行屏蔽
A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimit B. 配置相应的iptables规则
内部隔离
DMZ：
英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区” 。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题， 而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外 部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设 施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更 加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网 的攻击者来说又多了一道关卡。
DoS攻击
黑客主机
受害主机
DDOS攻击简介
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器 技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而 成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安 装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已 经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服 务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。
谢谢！
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET WEB_SERVER LOIC Javascript DDoS Inbound"; flow:established,to_server; content:"GET"; http_method; content:"?id="; http_uri; content:"&msg="; http_uri; distance:13; within:5; pcre:"/\?id=[0-9]{13}&msg=[^&]+$/U"; threshold: type both, track by_src, count 5, seconds 60; reference:url,isc.sans.org/diary/Javascript+DDoS+Tool+Analysis/12442; reference:url,www.wired.com/threatlevel/2012/01/anons-rickroll-botnet; classtype:attempted-dos; sid:2014140; rev:5;)
常见的DOS攻击手段有： IP Spoofing、 LAND attack、ICMP Flood和Application
傀儡控制主机
DoS攻击
傀儡攻击主机群
受害主机
随着网络技术的不断发展，网络中存在多种攻击行为，目 前网络主流的攻击方法如下：
Syn Flood UDP Flood ICMP Flood Ping of Death Land attack IP Spoofing
GBT 20281—2006 防火墙技术要求和测试评价方法
6.4.2 抗渗透 a） 测试方法 1） 采用渗透测试工具或专用性能测试设备，对防火墙进行各种拒绝 服务攻击。攻击手段至少包括:Syn Flood、UDP Flood、ICMP Flood和Ping of Death；
SYN flood attack
UDP flood attack UDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量 UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的 UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于 UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地 址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提 供相关服务的话，那么就可针对相关的服务进行攻击。
(2)范围内允许通过 iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
Land attack
Syn
1.2.2.5 1.2.2.5
Source
Data
黑客主机
Destination
受害服务器
ping of death
死亡之Ping，（英文：ping of death, POD），是一种向目标电脑发送错误封包的或恶 意的ping指令的攻击方式。通常，一次ping大小为32字节（若考虑IP标头则为84字节） 。在当时，大部分电脑无法处理大于IPv4最大封包大小（65,535字节）的ping封包。因 此发送这样大小的ping可以令目标电脑崩溃。
Land attack
Syn
1.2.2.5 1.2.2.5
Source
Destination
Data
黑客主机
受害服务器
针对land attack防护，主要通过分析判断数据包的源地址和目标地址是否相同来确认是否是Land attack。在配置安全网关时加载这一安全策略来过滤掉land attack数据报文，并对这种攻击进行审 计，记录事件发生的时间、源主机和目标主机的地址，从而可以有效地防范Land attack。
DDOS防御简介
防御方式：
1. 核心层——边界防御
2. 汇聚层——内部隔离
3. 接入层——本地防御
边界防御
我们把网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。他的 安全威胁来自内部与边界两个方面：内部是指网络的合法用户在使用网络资源的时候 ，发生的不合规的行为、误操作、恶意破坏等行为，也包括系统自身的健康，如软、 硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题，有入侵、 病毒与攻击。
DDOS攻击及防御
2015年1月
DOS攻击简介
拒绝服务，(DoS,Denial of Service的简称)，造成DoS的攻击行为被称为DoS攻击， 其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽 攻击和连通性攻击。 常见的DOS攻击手段有：Syn Flood、UDP Flood、ICMP Flood和Ping of Death
本地防御
Suricata规则
#these are more permanent, C&C related # alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"ET TROJAN EJihad 3.0 DDoS HTTP Activity INBOUND"; flow:established,to_server; content:"GET"; nocase; http_method; content:"User-Agent|3a| Attacker|0d 0a|"; http_header; reference:url,doc.emergingthreats.net/bin/view/Main/EJihadHackTool; classtype:denial-of-service; sid:2007687; rev:10;)
Fra Baidu bibliotek 本地防御
linux防火墙： iptables，一个运行在用户空间的应用软件，通过控制Linux内核netfilter模块，来 管理网络数据包的移动与转送。
本地防御
IPS防御： Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。软件的源代码可以通 过http://suricata-ids.org/获得。
防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自 动过滤这些攻击，包括：从windows 98之后的windows NT(service pack 3之后)， Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置 ，阻断ICMP以及任何未知协议，都讲防止此类攻击。
受害服务器
示例如下： (1)控制单个IP在一定的时间内允许指定端口UDP数量(#单个IP在60秒内只允许最多新建30个DNS请求) iptables -A INPUT -p udp --dport 53 -m recent --name webpool --rcheck --seconds 60 --hitcount 30 –j DROP (2)范围内允许通过 iptables -A INPUT -p udp --dport 53 -m recent --name webpool --set -j ACCEPT
UDP
1.2.2.5
53
Data
Destination Dport
黑客主机
受害服务器
UDP flood attack
安装iptables对特定ip进行屏蔽
UDP
1.2.2.5
53
Data
Destination Dport
黑客主机
A.安装iptables和系统内核版本对应的内核模块kernel-smp-modules-connlimit B. 配置相应的iptables规则
网关模式配置: sudo iptables -I FORWARD -j NFQUEUE 本地模式配置： sudo iptables -I INPUT -j NFQUEUE sudo iptables -I OUTPUT -j NFQUEUE
启动suricata： sudo suricata -c /etc/suricata/suricata.yaml -q 0
示例如下： (1)控制单个IP在一定的时间内允许新建立的连接数(#单个IP在60秒内只允许最多新建30个连接) iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 30 –j REJECT