DoS与DDoS高级防护白皮书.docx

《DoS与DDoS高级防护白皮书.docx》由会员分享，可在线阅读，更多相关《DoS与DDoS高级防护白皮书.docx（12页珍藏版）》请在三一办公上搜索。

1、DoS/DDoS高级防护简介愈演愈烈的拒绝服务(Denial of Service, DoS)攻击带来的最大危害是服务不可达而 导致业务丢失，而且，这样的危害带来的影响，在攻击结束后的很长一段时间内都无法消弥。 对于像eBay或者B这样的电子商务公司来说，如果遭受DoS攻击而导致一天的宕 机，那就意味着上千万美元的损失。不久以前在全球范围内爆发的SQL Slammer蠕虫，就 是一种典型的DoS攻击，它攻击微软SQL服务器的一个漏洞，并且利用该漏洞飞速传播自 身，从而导致大量承载了重要业务的微软SQL服务器宕机。SQL Slammer在全球范围内对 企业造成了数十亿美元的损失。除蠕虫病毒外，据

2、2004年CSI/FBI计算机犯罪和安全调查 显示，针对固定目标的DoS攻击有逐年上升趋势。在受调查的企业中有250个公司遭受过 DoS攻击，总损失高达2千万美元，是其它攻击种类的两倍有余。一次成功的DoS攻击除 了带来即时、直接的损失外，还会给企业造成长期的伤害，其中包括客户流失、对企业提供 的服务可靠性丧失信心以及损害企业形象。最近流行的分布式拒绝服务(Distributed Denial of Service，DDoS)攻击使得企业和 组织在已经很沉重的成本负担上雪上加霜。DoS攻击来源于黑客对大型Web服务网站的入 侵工具，让人闻之色变。但是，随着机会的逐渐增多，有组织犯罪集团已将他们

3、的攻击对象 转向资产更大的网上银行、金融机构和服务提供商等，若攻击成功，将对这些企业造成更大 程度上的业务损失和名誉伤害。有组织犯罪以持续的、猛烈的DDoS攻击为威胁，向在线服务公司勒索钱财。一旦这 些公司不按照攻击者的要求去做，攻击者就会利用数以千计的“傀儡计算机”(zombie)， 向这些公司的在线系统发起连续的大型的DDoS攻击，直至他们的电子商务陷入瘫痪。什么是DoS攻击？DoS攻击是一种基于网络的、阻止用户正常访问网络服务的攻击。DoS攻击采用发起 大量网络连接，使服务器或运行在服务器上的程序崩溃、耗尽服务器资源或以其它方式阻止 客户访问网络服务，从而使网络服务无法正常运作甚至关闭。

4、DoS攻击可以是小至对服务器的单一数据包攻击，也可以是利用多台主机联合对被攻 击服务器发起洪水般的数据包攻击。在单一数据包攻击中，攻击者精心构建一个利用操作系 统或应用程序漏洞的攻击包，通过网络把攻击性数据包送入被攻击服务器，以实现关闭服务 器或者关闭服务器上的一些服务。臭名昭著的Slammer蠕虫就是利用了漏洞进行攻击的。在洪水般的攻击下，服务器或网络资源很快被大量的攻击数据包占用或耗尽。由于从单 一地点发起的DoS攻击数据包很容易能被辨别并隔离出来，因此越来越多的黑客更偏向于 采用一种更复杂的称之为DDoS的攻击方法。在DDoS攻击中，黑客使用多台机器来攻击一个目标。有些攻击者设计的攻击很

5、简单， 如不断的将洪水般的数据经由网络传给某台服务器，造成目标服务器的网络拥塞，无法提供DoS/DDoS高级防护正常服务。另外一些攻击，如SYN Flood,则是利用特别设计的数据包耗尽关键服务器资 源，以阻止合法客户端连接到该服务器。DDoS由DoS攻击演变而来，这种攻击是黑客利用在已经侵入并已控制（可能是数百， 甚至成千上万台）的机器上安装DoS服务程序，这些被控制机器即是所谓的“傀儡计算机” （zombie）。它们等待来自中央攻击控制中心的命令。中央攻击控制中心在适时启动全体受 控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股 DoS洪流冲击目标系统，猛烈

6、的DoS攻击同一个网站。在寡不敌众的力量抗衡下，被攻击 的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。因为攻击来源于 安装在网络中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发出 统一的攻击命令，这些机器才同时发起进攻。黑客透过隐秘的通信渠道对“傀儡计算机”下 达指令，借此发动大规模的联合攻击。由于此类攻击是通过组织遍布于广大网络上的大量计 算机所发动的联合攻击，因此采用简单的辨别和隔离技术是不能阻挡它们的。大部分情况下， 很难将合法流量和非法流量区别开来。随着越来越多的家用PC可以宽带上网，潜在的“傀儡计算机”变得越来越多。专家估 计连在因特网上三分之

7、一的家用PC都被入侵。另外，由于因特网上遍布可以随意下载的 免费攻击工具（如TFN、Stacheldracht等），大大降低了发起DDoS攻击的复杂程度与技 术门槛。TippingPoint的解决方案为应对愈来愈猖獗的DoS和DDoS攻击，TippingPoint研发了一整套防护机制来对付 攻击者所使用的各种手法。TippingPoint的工作在线内（inTir方式的UnityOne系列入侵防 御系统（Intrusion Prevention SystemlPS ）,检查经过的进出流量中每个比特并过滤掉不 想要的流量，在线保护与之连接的网络和主机。TippingPoint方护可分为两类：标准D

8、oS防护和高级DDoS防护。标准DoS防护为针 对漏洞、攻击工具及异常流量提供基础的防护。高级DDoS防护则可以抵御SYN Flood、 Established Connection Floo和 Connection Per Second Flood攻击。TippingPoint在其所有的UnityOne系列IPS产品中均提供标准DoS保护： 漏洞防护-保护服务器不受攻击者利用已知漏洞进行的攻击。“傀儡计算机”招募防护-对木马程序入侵PC使其变成“傀儡计算机”的防护。 攻击工具防护一阻断TFN、Loki和Stacheldraht等已知的DDoS攻击工具使用的 隐藏通信通道。带宽防护-保护网络不

9、受ICMP、TCP或UDP等数据包的洪水攻击，以免耗尽网 络带宽和服务资源，进而避免合法数据包的丢失。这些过滤器会制定一个流量基线， 在流量超出设定的比例时就会自动控制流量。高级DDoS防护除了上述功能外，还可提供以下防护：SYN Proxy -攻击者以伪造的源IP地址，对某台服务器发送大量的恶意连接请求 （如TCP SYN ），这使得合法客户无法访问该服务器。 Connection Per Second (CPS) Flood攻击者利用“傀儡计算机”军团，重复 向服务器发出资源请求，如网页请求。从而造成服务器负担过重，导致回应迟缓， 甚至不可访问。 Established Connectio

10、n Flood攻击者利用“傀儡计算机”军团，向服务器建立 大量(甚至上百万)的恶意TCP连接，从而使得服务器无法对合法客户的请求做 出响应。标准和高级DoS/DDoS防护配合使用，以防止系统遭到野蛮粗暴的DoS攻击，并且保 护新机器不被吸收为“傀儡计算机”。7种常见的DoS攻击方法黑客有很多实施DoS攻击的方法。下面列出的7种方法，突出反应了企业在反DoS大 战中面临的难题。TippingPoint则分别为这些常见的DDoS攻击提供了解决方案： 漏洞攻击 傀儡计算机招募 攻击工具 带宽攻击 SYN Flood Established Connection Flood Connection Pe

11、r Second Flood方法1 漏洞攻击攻击者企图直接通过网络攻击，使服务或者服务依赖的操作系统崩溃。这些攻击主要通 过利用未设防服务器中的缓冲区溢出(buffer overflow)漏洞以及其它网络设施中存在的漏 洞进行攻击，使其服务不可用。漏洞攻击无需其它资源或带宽，攻击者只需要知道系统中哪 里有漏洞可利用，就可乘隙而入。一旦攻击者控制了易受攻击的服务、应用程序或操作系统 后，他们就开始利用这些漏洞破坏系统，直至最后导致整个网络崩溃。TippingPoint的漏洞防护解决方案UnityOne系列IPS使用其强大的引擎对所有进出流量进行检测，以判断是否有利用漏 洞进行共计的企图，并对这些

12、流量加以阻挡，保护主机免于遭受利用未修补的漏洞进行的网 络型攻击。TippingPoint的安全小组同时也开发出针对漏洞的过滤器，并将之集成到“数字 疫苗”(Digital Vaccines)中。数字疫苗除每周定时在线更新提供给客户外，并随时对有严 重威胁的漏洞或攻击生成新的过滤器，数字疫苗无需用户介入即可自动部署防护。方法2 “傀儡计算机”招募可以利用一种漏洞攻垮服务器，也可以利用同一漏洞，使有漏洞的PC成为黑客进行 DDoS攻击的“傀儡计算机”。一旦黑客利用漏洞获得某系统的控制权，他们就会在系统中 安装后门程序，以便将来可用作发动DDoS攻击。木马程序或类似的受感染程序都可提供DoS/DD

13、oS高级防护通往这个系统的控制路径。一旦攻击者取得了这条路径，他们就可以通过网络远程遥控此服 务器，使之成为“傀儡计算机”，等待黑客下达DDoS攻击命令。利用这些“傀儡计算机”， 黑客就可以匿名发动大量的DoS和DDoS攻击。有些病毒也可用来招募“傀儡计算机”，MyDoom病毒就是其中一种，它可将PC变成 “傀儡计算机”，预约在某个时间对SCO与微软网站发动攻击。有些病毒则安装后门木马 程序，以便黑客可以发动联合攻击，给全球网络带来更多的DDoS攻击，造成严重危害。下图说明攻击者如何在网络上形成并发动此类攻击。第一步:黑客控制的“傀儡计算机黑客建立，傀偃计算机”军团口髯家攻入计耸机9下哉c）加

14、入到“儡计算机”军团没有保护的计算机“傀儡机”“傀偈机折“傀儡机”黑客通过入侵无防护的计算机，以形成“傀儡计算机”军团。第二步：黑客发起攻击黑客向“傀偲计算机发 送目标【P与攻击参数黑客傀偲机傀偈机傀儡机“傀售机攻击目 标，导致目标服务 器响应迎篷或不可Windows.“傀儡计算机”从四面八方涌向攻击目标造成它响应迟缓，或无法被合法客户端访问。 攻击者利用“傀儡计算机”对某个服务薜络发动攻击，大规模攻击导致系统瘫痪，并使 网络无法接收合法流量。TippingPoint针对“傀儡计算机”招募提供的解决方案除上述漏洞防护外，UnityOne系列IPS还具有检测与阻挡病毒的过滤器。病毒与漏洞 双重过

15、滤器保护，完全阻绝黑客招募“傀儡计算机”的可能。方法3攻击工具通过招募“傀儡计算机”，黑客可以利用秘密的信道远程联络和控制这些“傀儡计算机” 军团。在网站上可以找到数百种现成的后门程序和制作工具，这些工具和程序可用于入侵网 络，招募“傀儡计算机”军团，以便从“傀儡计算机”发动攻击。这批“傀儡计算机”大军 建成之后，黑客就可以利用其它工具对所有“傀儡计算机”发送单一的攻击指令。有时，这 些指令是搭载在ICMP或UDP数据包上，从而绕过防火墙。有时候“傀儡计算机”也会主 动与攻击者的控制系统建立TCP连接（也称：Phones Home）。一旦连接建立起来，这个 攻击者就可以控制“傀儡计算机”了。用

16、于攻击与控制系统的工具主要包括： Tribe Flood Network(TFN)-TFN由主控端程序和代理端程序两部分组成，它主要 采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和Smurf，具有伪造数据包 的能力。 Tribe Flood Network 2000(TFN2k)-TFN2K 是由 TFN 发展而来的，在 TFN 所具 有的特性上，TFN2K又新增一些特性。 Trinoo 向被攻击目标主机的随机端口发出UDP包，包大小可配置。在处理这些 超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不 能提供正常服务，乃至崩溃。 Stacheldraht 可产

17、生 TCP、ACK、TCP NULL、HAVOC、DNS 洪流以及随机头 的TCP数据包涌入攻击。DDoS攻击工具无论是采用建立秘密信道还是发送DDoS涌入攻击的，都日臻成熟。新型 入侵工具可通过任意端口或旧C发起攻击。另外，一些改进的工具可以把涌入的攻击性数 据包伪装成合法的服务请求，并有更高难度的随机性。增加了这些改进后，端口过滤装置若 要将这些攻击数据包从合法流量中分离出来，可以说是愈来愈难了。TippingPoint的针对DDoS攻击工具解决方案TippingPoint的UnityOne系列IPS提供数百种过滤器，可以精准检测并阻拦秘密传输通道，干扰DDoS军团黑客对网络的支配和控制。

18、如果配合防毒与漏洞防护工具，UnityOne 还可以防止新“傀儡计算机”产生、阻挡与现有“傀儡计算机”的通信、并为管理员提供清 理受感染系统所需的详细信息。方法4带宽攻击黑客发起DDoS攻击时，通常可通过统计侦测到网络流量的组成出现重大变化。比如， 一般网络流量中，TCP通常占80%，UDP和ICMP共占20%。统计流量组成的变化往往 预示着新一轮的攻击。例如，Slammer蠕虫病毒会导致UDP数据包大量增加，而Welchi 蠕虫病毒则带来大量的ICMP数据包涌入。某类数据包突然大量增加，可能表示发生DDoS 攻击或所谓的“零日攻击”(zero-day)这种攻击利用未知漏洞发起的攻击。Tipp

19、ingPoint的带宽攻击解决方案UnityOne IPS具有统计异常过滤器，能侦测大量涌入的数据包攻击，并利用流量整形 (rate-shaping )减轻攻击带来的影响。TippingPoint同时具有协议与应用程序流量临界值过滤器。可为TCP、UDP、ICMP和 其它IP协议设定协议流量临界值过滤器。应用程序流量临界值过滤器则可监控特定TCP与 UDP端口的流量。这两种统计异常过滤器可以针对其中一种流量来设定正常值的基准线， 并在该流量超过用户定义值时发出警告。例如，你可以用它的协议流量临界值过滤器为 ICMP流量设定正常的基准线，一旦它超过正常值的300%就发出警告。除了警示功能外，Un

20、ityOne IPS还可以防止受监控的流量超过或占用多于预设值的网 络带宽。比方说，如果ICMP流量超出正常值的500%，它的速率就会被限制在3Mbps之 内。这一强大的功能可以避免非关键性应用耗用过多带宽，从而为关键性流量保留足够的带 宽。近来蠕虫病毒传播产生的大量流量，导致了针对路由器、防火墙及其它一些网络基础架 构设备的DoS攻击。将这些流量在一定的带宽内，可保证网络正常运行，有效地抑制各种 攻击行为。流量临界值过滤器属边缘触发器。这些过滤器会在流量超过临界值时活动，并在流量不 再超越临界值时，它会等待下一次被触发。这些触发活动也提供了每一次流量组成结果发生 改变期间的信息。方法 5-S

21、YN FloodSYN Flood可算是最常见的一种DoS/DDoS攻击方法。攻击者可以从单一或多个机器 发动攻击，结果会导致目标服务器无法被访问。此类攻击利用的是TCP建立连接机制，每 个TCP连接的建立都需要完成“三次握手”(three-way handshake)后才能传送数据： 连接请求(Connection Request)第1个数据包是请求者向服务器发送的同步 请求数据包(SYN)，以开始“三次握手”过程。 请求确认(Request Acknowledgement)第2个数据包是服务器传送给请求者 的确认数据包(SYN+ACK)。 建立连接(C onnection Complete

22、)第3个数据包是请求者向服务器发送的确认 数据包(ACK)，完成“三次握手”。SYN Flood攻击由大量包含伪造源IP地址的无效SYN包组成的，伪造的源IP地址使 得目标服务器向未知或不存在的源主机发送对SYN的回应包SYN-ACK。然后目标服务器 就会长期等待来自伪源机器的确认ACK数据包以便完成联机动作。但伪源机器确认ACK 数据包肯定是永远不会来到的，这些无法完成的无效的联机请求一直占据在服务器连接表 中。这样服务器的连接表会在很短时间内塞满无效的请求，并且因此耗尽所有可用资源。虽 然每个服务器连接表的项目数量有所不同，但也只能容纳几百或几千个连接请求。一旦连接 表被塞满，目标服务器就

23、无法为合法的请求服务，导致拒绝服务。SYN攻击最可怕的是每个请求单独来看都是良性的，很难区分什么是无效请求，什么 是合法请求。TippingPoint 的 SYN Flood 解决方案UnityOne 100E利用最先进的方法来检测和保护企业网络免受SYN Flood攻击。其IPSDoS/DDoS高级防护好比一个代理服务器（Proxy）,生成SYN/ACK数据包并将它作为应答传给请求者，并等候 最后的请求者的ACK数据包。在IPS从请求者处接收到ACK数据包后，IPS就会将这三 次的握手过程“回放”给接收端。完整的攻击与响应过程如下：1、攻击者发送SYN数据包给目标服务器，UnityOne 1

24、00E拦截到SYN数据包后， 开始判断目标是否收到UnityOne的保护。2、若是，IPS就代表目标服务器产生SYN-ACK响应数据包。3、一旦IPS接到“三次握手”过程中最后的ACK，IPS就会利用最先进的算法验 证这个ACK数据包是不是对IPS产生的SYN-ACK数据包的确认应答。若是， 则IPS会与目标服务器建立这个TCP连接。4、一旦建立连接，IPS就会监视数据和连接，确保流量安全。如果是一个攻击者发 起的请求不会完成TCP的“三次握手”，就不会由数据包传向目标服务器，IPS 上也就不必对其状态进行维护。遇到SYN Flood攻击时，由于UnityOne 100E可扫描、检测和阻挡SY

25、N Flood攻击， 从而使服务器处于UnityOne 100E的完全保护之下。UnityOne允许用户指定信任的客户端，来自信任源的连接不会使用代理。方法 6Established Connection FloodEstablished Connection Flood攻击是SYN Flood攻击的进化，它是利用各种各样的傀 儡计算机”对同一目标机发起DDoS攻击。表面上，“傀儡计算机”和目标服务器建立的连 接是合法的。黑客就是通过大量的“傀儡计算机”连接至目标服务器，从而使目标服务器生 成大量的连接，以至于目标服务器无法再接收其它合法的联机请求。例设有一千台“傀儡计 算机”都与目标服务器建

26、立一千条连接，那么目标服务器就要管理一百万条开放连接。这样 一来，服务器资源就会被消耗殆尽，这与SYN Flood攻击产生的结果相似，但它又比SYN Flood更难侦测。TippingPoint 针对 Established Connection Flood 解决方案UnityOne系列IPS的Established Connection Flood过滤器可跟踪每个请求者与受保 护的服务器建立起的连接数量，要是某个请求者建立的连接超过一定数量，那么UnityOne 会阻挡新的连接，直到请求者关闭一些已有的连接。比方说，UnityOne可以限定每一个请 求者和一台服务器之间最多只能建立10条开发

27、连接。如此一来，1000台“傀儡计算机” 和受保护的服务器之间建立的连接数就不会超过10，000条。方法 7Connections Per Second FloodConnections Per Second （CPS） Flood攻击从看似合法的来源建立高速连接，借此轰 炸服务器。在此类攻击中，攻击者或“傀儡计算机”军团企图快速建立和撤除TCP连接， 可能一个连接就会发出一个请求，以耗尽服务器资源。例如，攻击者命令“傀儡计算机”大 军从目标Web服务器上反复请求首页，这么沉重的工作负担就会大幅拖慢服务器的处理速 度。TippingPoint 的 CPS Flood 解决方案UnityOne可

28、让网络管理员生成一个Connection Per Second Flood（CPS）的过滤器， 每个过滤器都可以限制客户端每秒对某个服务器建立的平均连接数量。每个过滤器都有个临 界值可设定特定客户端每秒钟能建立连接平均数量。利用CPS过滤器，网络管理员可对A 端口 -B端口和B端口 -A端口的流量进行过滤。灵活的设置允许用户依据网络流量需求， 对所有进出的流量以及攻击进行自定义。UntiyOne会计算出10秒间的平均连接数，以便为流量的正常波动预留空间。普通的流 量模式是，一个浏览器下载一个复杂的网页开放10条连接，而在用户阅读时这个网站就保 持闲置。依照这一模式，UnityOne的过滤器可以

29、依据10秒内新连接的平均数量进行扫描及 检测。比方说，若一个过滤器指定每秒最多3.5条连接，则浏览器就可以每秒钟开放35条 连接。然而，这些连接建立之后9秒钟内，浏览器就无法再建立新的连接了。这样一来， 平均10秒钟内，浏览器每秒钟允许建立3.5条连接。CPS Flood防护功能若和Established Connection过滤器结合使用，则能同时提供网络检测与保护功能。成功案例-eNom成立于1997年的eNom公司，是ICANN（互联网域名与地址管理机构）认证的最大网络 域名注册代理商，它拥有400万个网络域名用户。一直以来该公司就饱受DoS对服务器及 客户攻击的困扰。从2004年的1月

30、份到8月份，每个月都会有15天遭到DDoS攻击。检 查他们的网络流量时发现，eNom服务器每秒遭到6,000到7,000次SYN包的攻击。攻击 高峰期时服务器遭受将近每秒40,000次SYN包的攻击。为了保护客户和与自己的网络系统的安全，eNom公司开始寻找能检测与阻挡攻击，又 能不干扰合法流量的IPS。面临这个艰巨而又代价昂贵的任务，eNom筛选出一组具有DoS 防护能力的IPS系统厂商。以下名单是他们觉得符合资格的厂商： TippingPoint Radware Top Layer NAI NetscreeneNom对具有高级DDoS防护的UnityOne 100E IPS系统进行了评估。

31、增强的DoS防 护偕同业界最优越的网络防护功能一数字疫苗（Digital Vaccine）更新服务与优异的技术支 持，为该公司带来了最完善的解决方案，确保其为客户提供稳定不间断的服务。高级DoS 防护阻挡各种DoS及DDoS攻击，包括SYN Flood、Connection Flood、数据包涌入（PacketDoS/DDoS高级防护Flood），以及种种来自伪造与非伪造来源、而又难以检测的攻击。IPS的必备属性一个最完整的网络防护解决方案中，IPS占有最核心的地位，它提供了一系列最关键的 功能。下表详细描述了各IPS厂商提供的IPS必须具备的属性。在每一项属性中， TippingPoint都

32、提供了屡获嘉奖的产品及服务。属性TippingP ointMcAfeeISSJuniperradwareTop Layer可自定义ASICsY8 celerons软件软件YY50Mbps-5Gbps5Gbps2 Gbps1 Gbps500M3 Gbps2 Gbps交换机级延迟YNNNYYIn-line攻击阻断YYYYLimitedLimited带宽管理YNNNYNDDoS SYN Flood 防护YNNYYYDDoS连接速度限制 防护YNNNNY过滤方法：签名YYYYNN过滤方法：协议YYYYNLimited过滤方法：漏洞YYYLimitedNN过滤方法：流量异常YYNNNLimitedVoI

33、P保护YNNNNN结论想要全面免于DoS攻击的威胁，企业一般需要购买多台代理服务器、网络安全装置、 入侵防御系统以及软件，随着公司的成长还得花钱再购买升级与其它授权。TippingPoint使用一台系统可以解决所有问题。UnityOne系列是一套容易使用、价格 合理与可扩展的解决方案，具备多种防护机制，包括应用异常过滤器、协议异常过滤器、攻 击签名过滤器、统计流量异常过滤器、临界值流量整形过滤器，以及高级DoS/DDoS过滤 器，使企业可以检测并阻挡住各种形态的攻击。网络科技一日千里，黑客攻击手法也日新月异。UnityOne弹性化的平台具备业界最顶 级的防护能力，协助企业阻挡现有攻击，并能防患于未然。