基于- A- C- L的- U- D- P反射攻击拦截课件.pptVIP

协议选择 协议 描述 选择与否 DNS 常用协议，拦截会影响正常通信 否 NTP 常用协议，拦截会影响正常通信 否 SSDP 实验前可选放大器样本太少 否 CHARGEN 废弃协议，可以拦截 是 SNMPv2 正常的SNMP报文不会在不同校园网间传播 是 只从NBOS能够检测出的5种反射攻击协议（DNS、CHARGEN、SNMPv2、NTP以及SSDP）中选择协议进行拦截。 * 。 实验设计与结果分析 1）实验目标 a.使用不同ACL规则分别拦截放大器的攻击流量和控制指令，分析比较两种方案的拦截成功率； b.调整拦截时间，分析其对放大器攻击强度恢复率的影响。 拦截成功率 = 拦截成功放大器数 ————————— 全程有效放大器数 攻击强度恢复率 = 攻击强度恢复放大器数 ————————— 全程有效放大器数 2）评价标准 将拦截开始后有效但不活跃的放大器称为拦截成功放大器，拦截开始前活跃且拦截后仍有效的称为全程有效放大器，而攻击强度恢复放大器指拦截撤销后，能恢复攻击强度的放大器。 * 。 对相关概念给出如下定义： 定义1.（有效放大器）试验主机X给放大器主机H发送其漏洞协议上的请求报文，若X能接受到H的放大攻击报文，则称H为对X有效的放大器，简称有效放大器。 定义2.（活跃放大器）有效放大器H在时间段T内被检测到有反射攻击行为，则称H在T时间是活跃的，否则则称H是不活跃的。 定义3. （放大器恢复攻击强度）若放大器在拦截结束后的时间段T的平均攻击次数达到拦截实施前一周攻击次数的平均值，则称该放大器已恢复攻击强度。 3）概念定义 * 。 * . . * . . . . CDN:内容分发网络 NTP：Network Time Protocol * . . 强调反射攻击是DDoS攻击的一种，图中攻击主机即传统DDoS攻击中控制器。 反射攻击放大器：开放了在某端口提供存在漏洞服务的主机 控制命令：攻击主机伪造成被攻击主机，向放大器发送的请求报文 攻击流量：放大器根据请求报文，向被攻击主机返回流量变大的报文 举个例子:CHARGEN协议反射攻击就是攻击主机利用开放的19号端口的反射攻击放大器上CHARGEN协议的漏洞，向其19号端口发送请求报文，并将源地址伪造成被攻击主机的IP，使其向被攻击主机发送大量无用的回复报文，达到攻击目的。 * . . NBOS是一个基于流记录的网络流量行为观测与精细化管理系统。它采用基于端口匹配和阈值参数的检测算法来检测CERNET网内的反射攻击行为。 相对其他类型的DDoS攻击，UDP反射攻击的检测并不困难。由于参与攻击的放大器均使用真实地址，因此对放大器的定位也很简单。但这些放大器属于用户，互联网服务提供商（ISP）通常没有它们的管理权限。 * . . * . . 论文所有研究结论均由实验支持，因此首先对研究方案进行介绍。 * . . 强调拦截位置与检测位置一致 * . . NBOS检测攻击流量由网内发往网外的两个场景，但无法具体区分攻击主机位置。 * . . 公式1是指拦截所有源地址为H，源端口为P的UDP报文，即放大器发出的攻击报文； 公式2是指拦截所有宿地址为H，宿端口为P的UDP报文，即发给放大器的控制报文。 * . . NTP(Network Time Protocol) SSDP(Simple Service Discovery Protocol) * . . 知道攻击检测场景和ACL规则后，知道使用ACL能对放大器的攻击流量或控制指令进行拦截，且拦截成功会使NBOS不再检测到放大器相关攻击信息。 * . . . . * . . 1.可能原因是CHARGEN协议和SNMP协议的回复报文可能存在分片报文，而ACL拦截命令无法对其全部拦截，从而导致攻击仍然发生。赵煜，夏震，杨望等. Chargen 反射 DDoS 攻击检测[J].中国教育网络, 2014, (6):51-52. 2.用反证法思考，若CERNET江苏省网内存在攻击主机，由于其发往放大器的控制指令无法被拦截，所以仍应该产生攻击现象，无法达到100%的拦截成功率。 * . . 表中记录了放大器在拦截实验开始前一周的平均每日攻击次数和拦截撤销后放大器一周内各天的攻击次数。 * . . * . . * . . 基于ACL的UDP反射攻击拦截 丁伟 王力 苏琪 东南大学 * 。 报告内容 研究背景及相关工作 研究方案与实验介绍 总结与展望 * 。 一 研究背景及相关工作 反射攻击的巨大危害 反射攻击的原理和优势 反射攻击的特点和分析 反射攻击的信息获取 * 。 反射攻击的巨大危害 互联网上的反射攻击于2000年出现，并从2013年开始形成规模。 2013年3月，世界反垃圾邮件组织Spamhaus遭受超大规模DNS反