19、DDOS 攻击分析方法不分析.docVIP

19DDOS 攻击分析方法不分析 1.1. DDOS 概论 DDOS 英语全名为 Distributed Denial of Service 分布式拒绝攻击。是现在网络攻击中最经常使用也是 最难以防御的一种网络攻击。其攻击原理与传统的 DOS 相似，都是利用合理的服务请求来占用过多的服务 资源，从而使合法的用户无法得到服务响应。DDOS 是传统的 DOS 的“增强版”。由传统的单台 PC 的攻击 扩展为大量的 PC（一般是黑客占领的傀儡机，也就是“肉鸡”）集群的攻击。其攻击效果和规模是传统的 DOS 所无法相比的，下图为 DDOS 攻击的示意图：  如上图：黑客控制者一般会通过“跳板”即图中的 2 控制傀儡机来发送自己的攻击指令，而傀儡机接 受到攻击指令以后会向受害者发起潮水般的攻击。淹没正常的服务请求，造成正常的服务无法进行。 1.2. DDOS 种类 DDOS 的攻击方法很多，大体上可以分为三大类： ? 主要以消耗系统资源为主的攻击 这种代表者为 syn flood 和模拟正常用户访问请求反复查询数据库等大量消耗系统资源的攻击。消耗系 统资源的攻击不需要很大的流量就能取得不错的攻击效果。例如 SYN flood ，windows2000 系统当物理内 存是 4g 的时候 核心内存只有不到 300M，系统所有核心模块都要使用核心内存所以能给半连接队列用的核 心内存非常少。Windows 2003 默认安装情况下，WEB SERVER 的 80 端口每秒钟接收 5000 个 SYN 数据 包一分钟后网站就打不开了。标准 SYN 数据包 64 字节 5000 个等于 5000*64 *8(换算成 bit)/124=2500K 也就是 2.5M 带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源 IP 是伪造的很难追查到攻 击源,，所以这种攻击非常多。 ? 消耗网络资源的攻击 代表者有 UDP flood ，ICMP flood ，smurf 等。此类攻击主要是通过大量的伪造数据包，来淹没正常 的数据请求，实现拒绝服务。此类攻击的数据包多为大包，而且伪造现象明显。值得指出的是 UDP flood 即 可以消耗网络资源又能造成攻击主机的系统资源耗尽，这个和 UDP 的设计原理有关。当被攻击主机收到对 自己没有开放 UDP 端口的请求的时候，会回送 ICMP 端口不可达的信息，当大量的请求来临时，回送 ICMP 信息所消耗的资源越来越大，最好导致系统没有资源分配给正常的请求。 ? 针对系统或者网络设备自身的 bug 的攻击 代表者有比较有名的 ping of death，land-based 和 teardrop 等。这类攻击大多设计精巧，利用系统自 身的漏洞造成服务器或网络设备宕机或重启，从而无法提供正常的服务，此类攻击在现实中已经很少见到。 1.3. DDOS 攻击分析 DDOS 攻击造成的现实是比较明显的，例如网络带宽被大量的消耗，网络利用率接近 10%，服务器的 CPU 和内存消耗很大，正常的服务响应很慢或完全无响应等。当客户遇到这种现象的时候第一个反应就是： 我被攻击了。但究竟是什么攻击？怎么采取措施？我们建议采用抓包分析的方式来了解和分析。 使用抓包分析能够比较直观和准确的反应网络现状，了解攻击行为和方式。只有在对攻击有很清楚的 认识后，我们才能采取有针对性的防御，这样的防御才是积极有效的。 这里我们使用几种比较常见的 DDOS 攻击来分析 1.3.1. SYN flood。 具体原理不再阐述，SYN Flood 攻击是一项比较容易实现 而且是比较难以防御的攻击。分析此种攻击 前，我们先利用科来强大的图表自定义功能来设定自己的 TCP 参数，我指定了两个 TCP 请求监控表，如图： 点击“我的图表”右上角的“新建面板” 我们选中 TCP 同步发送，和 TCP 同步确认发送两个选项 针对 SYN flood 我们还可以利用科来的告警提示来进行预防，如图我们设置告警：  我们设定当 TCP SYN 请求超过 100 并持续了 5 秒后发出警报，档 TCP SYN 每秒钟个数少于 500 持 续 5 秒后解除报警。 然后将以前的 DDOS 攻击数据包导入进行分析。 首先我们在端点视图会发现被攻击的端点的接受和发送数据包比例失调。接受大量数据包，但发送较少。 而且流量较大，TCP 会话很多。如图： 我们在图表中可以很直观的看到 TCP 同步和 TCP 同步确认的数据包。如图：  我们看到针对被攻击主机每秒的 SYN 请求接近 20000 个，而 TCP 同步确认却几乎为 0。 设置的 TCP SYN 警报也已经产生告警 如图： 而通过其他传统的一些功能也