关于ACL的UDP反射攻击拦截.ppt

对相关概念给出如下定义： 定义1.（有效放大器）试验主机X给放大器主机H发送其漏洞协议上的请求报文，若X能接受到H的放大攻击报文，则称H为对X有效的放大器，简称有效放大器。 定义2.（活跃放大器）有效放大器H在时间段T内被检测到有反射攻击行为，则称H在T时间是活跃的，否则则称H是不活跃的。 定义3. （放大器恢复攻击强度）若放大器在拦截结束后的时间段T的平均攻击次数达到拦截实施前一周攻击次数的平均值，则称该放大器已恢复攻击强度。 3）概念定义 * * CDN:内容分发网络 NTP：Network Time Protocol * 强调反射攻击是DDoS攻击的一种，图中攻击主机即传统DDoS攻击中控制器。 反射攻击放大器：开放了在某端口提供存在漏洞服务的主机 控制命令：攻击主机伪造成被攻击主机，向放大器发送的请求报文 攻击流量：放大器根据请求报文，向被攻击主机返回流量变大的报文 举个例子:CHARGEN协议反射攻击就是攻击主机利用开放的19号端口的反射攻击放大器上CHARGEN协议的漏洞，向其19号端口发送请求报文，并将源地址伪造成被攻击主机的IP，使其向被攻击主机发送大量无用的回复报文，达到攻击目的。 * NBOS是一个基于流记录的网络流量行为观测与精细化管理系统。它采用基于端口匹配和阈值参数的检测算法来检测CERNET网内的反射攻击行为。 相对其他类型的DDoS攻击，UDP反射攻击的检测并不困难。由于参与攻击的放大器均使用真实地址，因此对放大器的定位也很简单。但这些放大器属于用户，互联网服务提供商（ISP）通常没有它们的管理权限。 * * 论文所有研究结论均由实验支持，因此首先对研究方案进行介绍。 * 强调拦截位置与检测位置一致 * NBOS检测攻击流量由网内发往网外的两个场景，但无法具体区分攻击主机位置。 * 公式1是指拦截所有源地址为H，源端口为P的UDP报文，即放大器发出的攻击报文； 公式2是指拦截所有宿地址为H，宿端口为P的UDP报文，即发给放大器的控制报文。 * NTP(Network Time Protocol) SSDP(Simple Service Discovery Protocol) * 知道攻击检测场景和ACL规则后，知道使用ACL能对放大器的攻击流量或控制指令进行拦截，且拦截成功会使NBOS不再检测到放大器相关攻击信息。 * * 1.可能原因是CHARGEN协议和SNMP协议的回复报文可能存在分片报文，而ACL拦截命令无法对其全部拦截，从而导致攻击仍然发生。赵煜，夏震，杨望等. Chargen 反射 DDoS 攻击检测[J].中国教育网络, 2014, (6):51-52. 2.用反证法思考，若CERNET江苏省网内存在攻击主机，由于其发往放大器的控制指令无法被拦截，所以仍应该产生攻击现象，无法达到100%的拦截成功率。 * 表中记录了放大器在拦截实验开始前一周的平均每日攻击次数和拦截撤销后放大器一周内各天的攻击次数。 * * * 基于ACL的UDP反射攻击拦截 丁伟 王力 苏琪 东南大学 报告内容 研究背景及相关工作 研究方案与实验介绍 总结与展望 一 研究背景及相关工作 反射攻击的巨大危害 反射攻击的原理和优势 反射攻击的特点和分析 反射攻击的信息获取 反射攻击的巨大危害 互联网上的反射攻击于2000年出现，并从2013年开始形成规模。 2013年3月，世界反垃圾邮件组织Spamhaus遭受超大规模DNS反射攻击，其攻击流量峰值达到300Gbit/s。 2014年2月，美国CDN服务提供商CloudFlare声明遭受了高达400Gbit/s的NTP反射攻击。同年5月份，约13个全球大型游戏服务器声明遭受不明黑客发起的SNMPv2反射攻击。 反射攻击的原理和优势 原理： 攻击主机利用以UDP作为传输协议的应用层服务协议的漏洞，使用假冒源地址的服务请求报文发起攻击。 优势： a.攻击流量经过放大，攻击强度可观； b.攻击主机隐蔽性强，难以被定位； c.发起攻击操作简单，无需组建僵尸网络。 反射攻击场景 反射攻击的特点和分析 难 易 控制命令检测 攻击流量检测 攻击主机定位 放大器定位 ISP管理放大器 ISP管理其所属 边界路由器 设计一种基于ACL的拦截方式，通过在网络边界设备上设置ACL规则，拦截网内放大器特定漏洞服务协议端口上的相关报文。 NBOS 反射攻击的信息获取 本文中使用的放大器信息均由NBOS提供。它可以实时检测并记录5种协议的反射攻击信息，分别是CHARGEN、DNS、NTP、SNMPv2和SSDP，服务提供端口为19，53，123，161和1900。 NBOS放大器信息检索页面 二 研究方案与实验介绍 网络环境 拦截原理 协议选择 实验设计与结果分析