反射型ddos攻击包括哪些_反射型ddos攻击包括

hacker|
41

反射型DDOS(常见的放大攻击)

DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。僵尸网络也会控制一大批肉鸡进行DDOS攻击,在暗网上可以买到很大的攻击流量,破坏受害者的正常服务,这些都比较常见了。但是还存在一种比较特殊的Dos攻击,这种攻击的成本很低,不需要肉鸡,只需要利用某些正常服务,就可以给受害者返回海量的数据,对正常业务造成很大的影响,这就是反射型DDOS(放大攻击)。威胁情报划分此类攻击比较有争议,这些IP上运行的是正常的服务,可以他们又被攻击者恶意利用,给受害者的服务的稳定性带来挑战,360威胁情报针对此类的IP有标签 NTP/DNS 。

阅读文章

DNS放大

NTP放大

攻击者向端口11211 上的 Memcache 服务器发送小字节请求。由于 UDP 协议并未正确执行,因此 Memcache 服务器并未以类似或更小的包予以响应,而是以有时候比原始请求大数千倍的包予以响应。由于 UDP 协议即包的原始 IP 地址能轻易遭欺骗,也就是说攻击者能诱骗 Memcache 服务器将过大规模的响应包发送给另外一个 IP 地址即 DDoS 攻击的受害者的 IP 地址。这种类型的 DDoS 攻击被称为“反射型 DDoS”或“反射 DDoS”。响应数据包被放大的倍数被称为 DDoS 攻击的“放大系数”。Memcache协议的放大倍数可达5w倍。

阅读文章

Memcache放大

网络拒绝服务: 反射放大

1、更改默认端口,链接外网时不要所有IP可以连接,可以添加防火墙策略。

2、Memcache新版本支持SASL认证

参考链接:

[1] DNS反射攻击解决方案

[2] 实验链接

ddos攻击的常见类型有哪些?

网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。

传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。

会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。

应用层攻击:比较典型的攻击类型包括DNS flood攻击、HTTP flood攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。

服务器被ddos攻击和CC攻击怎么解决?

最近随着业务的爆发,很多客户都遭到大大小小的ddos攻击和CC攻击,攻击手法的不断进化以及攻击工具的肆意传播,使得攻击成本的不断降低,互联网类业务遭受到的威胁也在不断攀升。本文主要结合锐速云多年网络安全运维经验以及对DDoS的基本理解,浅谈DDos攻击原理和基本防护思路。

DDoS攻击主要分为两大类:DDoS攻击和CC攻击

DDoS攻击主要是通过大流量来快速消耗用户网络带宽,造成网络堵塞服务器宕机,流量型DDoS又可分为直接型和反射型,直接型主要包括SYN\ACK\ICMP\UDPFLOOD等,反射型主要包括NTP\DNS\SSDP反射FLOOD等。

CC其实也是DDos攻击的一种,CC攻击是通过借助代理服务器模拟真实用户请求,实现DDOS和伪装,通过制造大量的后台数据库查询动作来攻击页面,消耗目标资源,造成服务器宕机。

DDos攻击防护思路

1.本地DDos防护设备

一般大型企业都会在本地数据中心部署DDos防护设备,本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心,防护效果不错但成本非常高,一般中小型企业是承受不了。

2.运营商清洗服务

当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗,运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。

3.云清洗服务

高防CDN是目前互联网企业最常用的防护方式,通过CNAME接入模式更加方便,只需要在域名解析服务商处修改一次解析配置即可生效,实现引流、清洗、回注,提升抗D能力。当某条线路的高防IP出现异常时,CNAME可以自动调度解析到其他可用的线路上去,避免原本解析到该线路的部分业务受到影响,保证业务的可用性。

CC攻击的防护思路

1.部署架构

可将前端WAF或者负载均衡设备部署于HTTPS卸载器之后,从而实现对HTTPS流量的防护能力。

2.使用IP地址信誉库

对请求IP地址进行甄别和过滤,阻止来自恶意IP的服务请求。

3.轻应用部署

应用部署时考虑页面静态比例,尽量让网站静态化,减少不必要的动态查询等方式,同时应急情况下可以将动态页面临时替换为静态页面,减少后台请求数据库/应用服务器的次数。

4.限制单IP连接数量

限制单IP连接数量,降低同一ip攻击者带来的危害和影响。

5.降低连接超时时间

降低连接超时时间,及时释放系统资源应对TCP连接资源耗尽类型的CC攻击。

以上防护手段可以起到一定的防护作用。不过现在的黑客攻击方式越来越多样化,往往是DDoS+CC这种复合型攻击,靠单一的防DDOS或防CC是不够的。锐速云通过自主研发抗DDoS及CC攻击立体式防御系统,全面抵御任何类型的DDoS及CC类型攻击,最高可防御百W级QPS攻击及T级DDoS攻击峰值流量,保障服务器稳定运行。

什么是DDOS攻击?

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

不过这3中攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的,所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。但是现在的科技飞速发展,一般的网站主机都有十几台主机,而且各个主机的处理能力、内存大小和网络速度都有飞速的发展,有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了,搞不好自己的机子就会死掉。举个这样的攻击例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。要知道,你若是发送这种1Vs1的攻击,你的机器的CPU占用率是90%以上的,你的机器要是配置不够高的话,那你就死定了。

不过,科技在发展,黑客的技术也在发展。正所谓道高一尺,魔高一仗。经过无数次当机,黑客们终于又找到一种新的DoS攻击方法,这就是DDoS攻击。它的原理说白了就是群殴,用好多的机器对目标机器一起发动DoS攻击,但这不是很多黑客一起参与的,这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器,他是通过他的机器在网络上占领很多的“肉鸡”,并且控制这些“肉鸡”来发动DDoS攻击,要不然怎么叫做分布式呢。还是刚才的那个例子,你的机器每秒能发送10攻击数据包,而被攻击的机器每秒能够接受100的数据包,这样你的攻击肯定不会起作用,而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话,嘿嘿!结果我就不说了。

DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近,不过DRDoS是可以在广域网上进行的,而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己,不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小,这样在短时间能发出大量的请求包,使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应,就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机,这就是Smurf攻击。而DRDoS攻击正是这个原理,黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样,黑客所发送的请求包的源IP地址是被攻击主机的地址,这样受欺骗的主机就都会把回应发到被攻击主机处,造成被攻击主机忙于处理这些回应而瘫痪。

通过 TCP 进行的内部蠕虫传播

连接表安全漏洞利用

蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用

淹没攻击期间的连续 TCP 连接

使用现有连接的超文本传输协议 (HTTP) DDoS

什么是 DDoS 攻击?

DDOS攻击主要分为三类:流量型攻击;连接型攻击;特殊协议缺陷。

1、   Ip lood

攻击原理:此攻击以多个随机的源主机地址向目的主机发送超大量的随机或特定的IP包,造成目标主机不能处理其他正常的IP报文。

2、     Syn Flood

攻击原理:依据tcp建立连接的三次握手。此攻击以多个随机的源主机地址向目的主机发送syn包,而在收到目的主机的syn+ack包后并不回应,目的主机就为这些源主机建立大量的连接队列,由于没有收到ack一直维护这些连接队列,造成资源的大量消耗而不能向正常的请求提供服务。

3、    Udp 反射 Flood

攻击原理:有时被保护服务器也有同外部服务器进行udp交互的需求,攻击者就会利用此交互对被保护服务器进行udp反射放大攻击。此攻击在短时间那冒充被攻击地址向外部公用的服务器发送大量的udp请求包,外部服务器收到虚假的udp请求就会回复大量的回应包给被攻击服务器地址,造成目标主机被保护服务器不能处理其他正常的交互流。

那些年,DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo(Distributed Denial of Service),即分布式拒绝服务攻击,是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络,向目标发送大量看似合法的请求,从而占用大量网络资源使网络瘫痪,阻止用户对网络资源的正常访问。

从各安全厂商的DDoS分析报告不难看出,DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低,技术门槛要求越来越低,攻击工具的肆意传播,互联网上随处可见成群的肉鸡,使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括:常见的流量直接攻击(如SYN/ACK/ICMP/UDP FLOOD),利用特定应用或协议进行反射型的流量攻击(如,NTP/DNS/SSDP反射攻击,2018年2月28日GitHub所遭受的Memcached反射攻击),基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源,不再赘述。

1.1 DDoS防御常规套路

防御DDoS的常规套路包括:本地设备清洗,运营商清洗,云清洗。

1.本地设备清洗

抗DDoS设备(业内习惯称ADS设备)一般以盒子的形式部署在网络出口处,可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引,其基本部署方案如图18-1所示。

图18-1 ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析,检测到DDoS攻击后通知清洗设备,清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备,然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中;当检测设备检测到DDoS攻击停止后,会通知清洗设备停止流量牵引。

将ADS设备部署在本地,企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击,同时结合盒子提供的可定制化策略和服务,方便有一定经验的企业用户对攻击报文进行分析,定制针对性的防御策略。目前国内市场上,主要以绿盟的黑洞为代表,具体可以访问其官网进一步了解。

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时,即使ADS设备处理性能够,也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G,如果遇到十G以上甚至上百G的流量,就真的麻烦了,更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时,往往需要借助运营商的能力了,紧急扩容或者开启清洗服务是一般做法,前提是要采购相应的清洗服务,而且一般需要通过电话或邮件确认,有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击,而且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等,真正攻击到来时处理可能会更慢,需要重点关注。

值得一提的是中国电信的云堤服务,提供了“流量压制”和“近源清洗”服务,而且还提供了自助平台供用户操作,查看流量、开启清洗也非常方便。

 3.云清洗

内容分发网络(Content Delivery Network,CDN)是指,通过在网络各处放置节点服务器,让用户能够在离自己最近的地方访问服务,以此来提高访问速度和服务质量。CDN主要利用了四大关键技术:内容路由,内容分发,内存存储,内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度,但是由于分布式、就近访问的特点,能对攻击流量进行稀释,因此,一些传统CDN厂商除了提供云加速功能外,也开始推出云清洗的服务,当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样,需要先在云端配置好相应的记录,当企业遭受大规模攻击时,通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上,等待DNS生效即可。

使用云清洗需要注意以下几个问题:

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后,需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击,无法使用云清洗防护,还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御,还涉及HTTPS证书,由此带来的数据安全风险需要考虑,市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术,所以不再赘述,如果有海外分支机构的网站需要防护,可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章,链接:[]()。

一些经验

结合笔者的一些经验,对DDoS防护落地做一些补充,仅供参考。

1.自动化平台

金融企业由于高可用要求,往往会有多个数据中心,一个数据中心还会接入多家运营商线路,通过广域网负载均衡系统对用户的访问进行调度,使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时,能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中,此方案能够有效保障正常客户的访问不受影响,为了实现快速切换,需要通过自动化运维平台来实现,如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练,使团队成员都能快速掌握方法,在事件发生第一时间进行切换,将影响降到最小。接下来才是通知运营商进行清洗处理,等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时,可以针对性地处置,比如一键停用,让正常用户访问其他IP;也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外,还有一些设备也需要关注抗DDoS能力,包括防火墙、负载均衡设备等。

出于安全可控需求,金融企业往往会采用异构模式部署防火墙,比如最外层用产品A,里面可能会用产品B。假如产品A的抗DDoS能力差,在发生攻击时,可能还没等到ADS设备清洗,产品A已经出问题了,比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时,需要关注这方面的能力,结合笔者所在团队经验,有以下几点供参考:

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗,在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差,但根据实际测试情况,还是建议当存在大量TCP、UDP新建连接时,防火墙的最大连接数越大越好

3. 多测试多对比,从对比中可以发现更优的方案,通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数,当超过一定值时开始着手优化规则,将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题,此外,负载均衡由于承接了应用访问请求分发调度,可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。

图18-3

负载均衡设备ASM防DDoS功能

请求经过防火墙和负载均衡,最后到了目标机器上处理的时候,也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等,都是在实际工作中会涉及的。

3.应急演练

部署好产品,开发好自动化运维平台,还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性,DDoS攻击发生的次数相比互联网行业还是少很多的,有的企业可能几年也碰不到一次。时间久了技能就生疏了,真正需要用到时,可能连登录设备的账号口令都忘了,又或者需要现场接线的连设备都找不到,那就太糟糕了。

此外,采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验,要先在心里打上一个问号。建议在不事先通知的情况下进行演练,观察这中间的问题并做好记录,待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。

0条大神的评论

发表评论