DDOS攻擊防護(hù)的基本原理

1、DDOS攻擊防護(hù)的基本原理DDOS攻擊類型 流量型攻擊使用大量的包含偽造信息的數(shù)據(jù)包，耗盡服務(wù)器資源，使其拒絕服務(wù)常見：SYN Flood，ACK Flood，UDP Flood，ICMP Flood，F(xiàn)ragment Flood，NonIP Flood等 連接型攻擊使用大量的傀儡機(jī)，頻繁的連接服務(wù)器，形成虛假的客戶請求，耗盡服務(wù)器資源，使其拒絕服務(wù)常見：CC攻擊，HTTP Get Flood，傳奇假人攻擊等流量攻擊防御 我們主要使用連接跟蹤模塊，來實(shí)現(xiàn)對流量攻擊的防御 TCP連接跟蹤 TCP狀態(tài)轉(zhuǎn)換圖 UDP連接跟蹤 確認(rèn)雙向數(shù)據(jù)流量攻擊防御SYN Flood 偽造大量的TCP SYN請求，

2、使受攻擊服務(wù)器頻繁的向虛假地址回應(yīng)SYN-ACK，并耗用過多的內(nèi)存來存儲(chǔ)虛假的請求，最終達(dá)到使服務(wù)器拒絕服務(wù)的目的SYN Flood攻擊抓包防護(hù)策略 我們的防護(hù)策略：本質(zhì)來說是SYN-Proxy來進(jìn)行防御。SYN-Proxy的基本過程，就是客戶端首先和防火墻建立連接，之后防火墻再和服務(wù)器建立連接，并進(jìn)行兩個(gè)連接之間的數(shù)據(jù)傳輸。偽造源的半連接攻擊，攻擊器無法和防火墻建立連接，所以攻擊數(shù)據(jù)會(huì)被防火墻全部攔截下來，不會(huì)到達(dá)服務(wù)器，達(dá)到防護(hù)的目的 我們墻上對這兩個(gè)連接的建立是優(yōu)化過的處理模式，防火墻上只創(chuàng)建一個(gè)連接對象，也只顯示一個(gè)連接計(jì)數(shù)。同時(shí)對數(shù)據(jù)的轉(zhuǎn)發(fā)也是優(yōu)化過的模式。SYN-Proxy基本原理

3、圖SYN-Proxy基本原理輔助的優(yōu)化模式 還有一些輔助的優(yōu)化模式，可以提高攻擊防御能力： Urgent狀態(tài)：進(jìn)入SYN防護(hù)模式后，若攻擊量小于SYN-Urgent，對已經(jīng)訪問過的客戶端，會(huì)直接做回應(yīng)。否則全部按照新客戶訪問來處理。這樣在大流量攻擊下，可以很大程度上降低防火墻負(fù)載 重傳機(jī)制：對新客戶訪問，依靠TCP重傳來達(dá)到減少SYN-ACK回應(yīng)的效果?？蛻舳税l(fā)送第一個(gè)SYN后，防火墻摘取相關(guān)信息后不做回應(yīng)，直接丟棄。之后依據(jù) TCP協(xié)議規(guī)范，正常的客戶端在3秒后還要發(fā)送第二個(gè)SYN，防火墻接收到這個(gè)SYN時(shí)，進(jìn)行一些檢測，判斷是不是正常的客戶端重傳，之后才回應(yīng)SYN-ACK。這樣可以有效減少

4、防火墻的負(fù)載，并減少客戶的外出帶寬占用 旁路模式墻有些區(qū)別，沒有SYN-Urgent相關(guān)的處理 涉及參數(shù)：SYN Flood保護(hù)SYN Flood高壓保護(hù)SYN Flood單機(jī)保護(hù)TCP端口保護(hù)設(shè)置流量攻擊防御ACK Flood 我們所指的ACK報(bào)文，指TCP頭部設(shè)置了ACK、FIN、RST標(biāo)志的報(bào)文，例如ACK，F(xiàn)IN，F(xiàn)IN-ACK，RST、RST-ACK等 服務(wù)器在接收到ACK類報(bào)文之后，首先查找自身的連接表，如果找不到，則會(huì)在一定頻率內(nèi)發(fā)送RST報(bào)文，通知客戶端重置斷開連接。因此ACK類攻擊對服務(wù)器造成的影響有限，但防火墻還是應(yīng)該將攻擊阻擋在墻外，否則服務(wù)器很容易因?yàn)閹捄谋M而拒絕服務(wù)

5、 我們的防護(hù)策略：依靠連接跟蹤來識(shí)別出異常的ACK。在進(jìn)行正常的連接處理之后，如果沒有匹配的連接，則該ACK會(huì)被識(shí)別成異常ACK。 異常ACK超過閥值會(huì)進(jìn)入ACK模式，之后的異常ACK會(huì)被丟棄 某些TCP連接關(guān)閉后，防火墻上的連接對象也會(huì)同時(shí)銷毀。但雙方可能會(huì)有一些遺留數(shù)據(jù)（linger data)依然繼續(xù)傳輸，所以會(huì)被識(shí)別成異常ACK，這些基本不會(huì)造成影響 涉及參數(shù)：ACK&RST Flood保護(hù)TCP端口保護(hù)設(shè)置流量攻擊防御UDP Flood UDP Flood，由于UDP協(xié)議不需要握手過程，因此從大量偽造源的UDP流量中識(shí)別出正?？蛻舻臄?shù)據(jù)，基本是不可能的一件事UDP Flood

6、攻擊抓包 我們的防護(hù)策略： UDP協(xié)議無關(guān)的服務(wù)器：使用默認(rèn)的UDP端口保護(hù)設(shè)置，直接進(jìn)行限流防護(hù) UDP協(xié)議相關(guān)的服務(wù)器：分析客戶應(yīng)用的情況，設(shè)置端口保護(hù)的特殊屬性。還可以通過抓包，得到客戶應(yīng)用的登陸數(shù)據(jù)，設(shè)置相應(yīng)的協(xié)議模式，實(shí)現(xiàn)針對性的防御 涉及參數(shù)： UDP保護(hù)觸發(fā) UDP端口保護(hù)設(shè)置 UDP端口保護(hù)的屬性： 開放端口開放端口：確認(rèn)該端口開放 同步連接同步連接：若同時(shí)存在同一客戶端的TCP連接，則放行該客戶端的UDP數(shù)據(jù)。用于一些視頻聊天室比較有效。因?yàn)橐恍┝奶焓沂窍韧ㄟ^WEB打開聊天室，然后網(wǎng)頁中的視頻插件連接服務(wù)器，發(fā)送UDP數(shù)據(jù)。這樣UDP到達(dá)服務(wù)器前就一定已經(jīng)建立了TCP連接 延

7、時(shí)提交延時(shí)提交：主要用于DNS的防護(hù)。普通DNS客戶端，當(dāng)發(fā)送第一個(gè)DNS查詢之后，沒有收到回應(yīng)，會(huì)在2秒后發(fā)送第二個(gè)查詢，因此可以用于識(shí)別出正常客戶端。之前有些攻擊器會(huì)模擬該重傳，新版本的墻對于該類攻擊已經(jīng)有較高的識(shí)別率，因此可以有效防御DNS攻擊 驗(yàn)證驗(yàn)證TTL：對UDP數(shù)據(jù)的IP頭部TTL進(jìn)行統(tǒng)計(jì)，如果某個(gè)數(shù)值的TTL頻率過高，會(huì)進(jìn)行屏蔽?？稍谝欢ǔ潭壬戏烙鵘DP類攻擊流量攻擊防御DNS Query Flood DNS Query Flood攻擊是UDP攻擊的一種：DNS協(xié)議使用UDP協(xié)議為載體，端口53 UDP/DNS攻擊由于無法驗(yàn)證源地址的有效性，無法實(shí)現(xiàn)完美的防御如果對方用的攻擊器

8、可以絕對隨機(jī)偽造攻擊包的話DNS Flood攻擊抓包 我們的防御策略： 通過插件檢測53端口的UDP數(shù)據(jù)，剔除非DNS查詢的攻擊包 通過延時(shí)提交，強(qiáng)制客戶端重傳查詢，應(yīng)對某些無法生成重傳包的DNS攻擊器 通過驗(yàn)證TTL，應(yīng)對某些固定 TTL的DNS攻擊器 通過重傳檢測算法，應(yīng)對某些生成重傳包的DNS攻擊器 可以通過插件學(xué)習(xí)正常流量時(shí)的訪問IP，受到攻擊時(shí)只放行訪問過的IP 涉及參數(shù)： UDP保護(hù)觸發(fā) UDP端口保護(hù)設(shè)置 DNS Service Protection參數(shù) DNS插件參數(shù)： 參數(shù)1：正常情況的DNS請求頻率。低于該值，插件將記錄所有的DNS請求源地址 參數(shù)2：攻擊情況的DNS請求頻

9、率。高于該值，插件將只放行記錄過的源地址 介于上兩個(gè)值之間，則只是放行數(shù)據(jù)，而不做記錄流量攻擊防御簡單截流 對于某些業(yè)務(wù)無關(guān)的協(xié)議，可以使用簡單截流策略防御攻擊： ICMP Flood IGMP Flood Fragment Flood NonIP Flood 注意： IGMP攻擊計(jì)入NonIP攻擊連接攻擊防御WEB服務(wù)器 特點(diǎn)：大量的HTTP請求，使得服務(wù)器 CPU過載，數(shù)據(jù)庫阻塞，外出帶寬占用大 攻擊機(jī)制： 由攻擊器直接生成HTTP請求 高攻擊負(fù)載：連接頻率高，帶寬占用大 易于防護(hù)：攻擊器無法解析WEB腳本 由攻擊器調(diào)用瀏覽器形成HTTP請求 需要調(diào)用瀏覽器，攻擊頻率相對較低 難于防護(hù)：完

10、整的客戶端請求 我們的防御策略：WEB Plugin 對新客戶端的HTTP請求，由插件返回一個(gè)包含驗(yàn)證腳本的頁面 正常的瀏覽器將執(zhí)行這段腳本，并由腳本重定向到原始頁面，并附加計(jì)算出的驗(yàn)證碼 防火墻得到該驗(yàn)證碼后判斷該客戶端是否可信 攻擊器一般無法解析腳本，因此無法完成驗(yàn)證碼的計(jì)算 利用互動(dòng)操作，識(shí)別自然人或攻擊器 防御模式 簡單防御模式：直接返回驗(yàn)證碼，由腳本實(shí)現(xiàn)跳轉(zhuǎn) 普通防御模式：驗(yàn)證碼需要客戶端執(zhí)行復(fù)雜的計(jì)算腳本，并由腳本實(shí)現(xiàn)頁面的跳轉(zhuǎn) 增強(qiáng)防御模式：返回包含“點(diǎn)擊進(jìn)入”連接的頁面，由客戶點(diǎn)擊后計(jì)算驗(yàn)證碼并跳轉(zhuǎn)，用于防護(hù)調(diào)用瀏覽器的攻擊方式 完美防御模式 需要一臺(tái)驗(yàn)證服務(wù)器，部署于防火墻內(nèi)

11、，并設(shè)置好驗(yàn)證頁面及驗(yàn)證碼圖片的生成腳本 防火墻在接收到新客戶的HTTP請求后，返回重定向頁面，指向驗(yàn)證服務(wù)器 客戶端隨后向驗(yàn)證服務(wù)器提交請求，防火墻修改該請求并附加驗(yàn)證碼，提交給驗(yàn)證服務(wù)器 服務(wù)器生成驗(yàn)證碼圖片，發(fā)送給客戶端 用戶手動(dòng)輸入驗(yàn)證碼，交由防火墻判驗(yàn)證使用驗(yàn)證服務(wù)器完成驗(yàn)證訪問過程 插件參數(shù)： 參數(shù)1：啟用的驗(yàn)證模式。此值大于256，表示對所有類型的頁面進(jìn)行驗(yàn)證 0, 256：不執(zhí)行跳轉(zhuǎn)過程 1, 257：生成跳轉(zhuǎn)頁面，由javascript執(zhí)行跳轉(zhuǎn)。若客戶端沒有開啟javascript，可以由用戶手動(dòng)點(diǎn)擊 2, 258：上一模式的基礎(chǔ)上，將驗(yàn)證代碼進(jìn)行表達(dá)式變換 3, 259：在

12、上一模式的基礎(chǔ)上，將javascript執(zhí)行的跳轉(zhuǎn)，變成用戶點(diǎn)擊操作 4, 260：驗(yàn)證服務(wù)器模式，由外部驗(yàn)證服務(wù)器來輔助驗(yàn)證過程 參數(shù)2：對同一個(gè)頁面的請求次數(shù)，如果超過次設(shè)置值，則該客戶端將被屏蔽 參數(shù)3：監(jiān)測服務(wù)器回應(yīng)，若超過次數(shù)值沒有304 Not Modified，則執(zhí)行一次異常連接攻擊防御游戲服務(wù)器 特點(diǎn)：游戲服務(wù)器因?yàn)楸容^復(fù)雜，弱點(diǎn)也比較多，所以受到攻擊很容易拒絕服務(wù) 攻擊機(jī)制： 空連接攻擊：頻繁的連接服務(wù)器，隨后斷開，造成服務(wù)器處理隊(duì)列阻塞 連接攻擊：頻繁的連接服務(wù)器，發(fā)送大量垃圾數(shù)據(jù)，造成服務(wù)器忙于解碼垃圾數(shù)據(jù)，無法處理正常業(yè)務(wù) 傳奇假人攻擊：攻擊器可以完整的模擬創(chuàng)建人物、登

13、陸服務(wù)器的過程，造成服務(wù)器人滿為患，正常玩家無法登陸游戲 我們的防御策略：Game Plugin 對于刷端口攻擊，很多攻擊器都是對同一個(gè)端口頻繁建立連接。因此插件判斷某個(gè)客戶端是否打開若干個(gè)服務(wù)器端口，若只對同一個(gè)端口頻繁連接，則會(huì)屏蔽該客戶端 對于游戲應(yīng)用來說，服務(wù)器回應(yīng)的數(shù)據(jù)比客戶端發(fā)送的數(shù)據(jù)要大很多，因此該插件還會(huì)判斷客戶端同服務(wù)器之間的數(shù)據(jù)比例，如果比例無法達(dá)到設(shè)定值，則會(huì)屏蔽該客戶端 對于傳奇假人攻擊，插件會(huì)在玩家登陸30秒后發(fā)送驗(yàn)證碼對話框，玩家若無法完成驗(yàn)證碼的輸入，則會(huì)被斷開連接。次數(shù)過多則會(huì)被屏蔽插件參數(shù)： 參數(shù)1-3：用于開放端口檢測的3個(gè)游戲端口，為0則表示不設(shè)置，為65535則可匹配任一端口 參數(shù)4：低位字節(jié)，為連接頻率檢測值，當(dāng)建立連接超過該設(shè)置值，則進(jìn)行開放端口檢測；高位字節(jié)，為端口60秒內(nèi)最多允許的報(bào)文總數(shù) 參數(shù)5：測試數(shù)據(jù)因子時(shí)的客戶端需要發(fā)送的數(shù)據(jù)量 參數(shù)6：服務(wù)器返回?cái)?shù)據(jù)因子 參數(shù)7：用于區(qū)別登陸包和創(chuàng)建人物包的報(bào)文長度 參數(shù)8：低位字節(jié)，登陸包應(yīng)具有的延時(shí)；高位字節(jié)，創(chuàng)建人物包應(yīng)具有的延時(shí) 參數(shù)9：創(chuàng)建人物限制。每創(chuàng)建指定數(shù)量人物，則執(zhí)行一次異常 參數(shù)10：擴(kuò)充防護(hù)模式0：默認(rèn)，不啟用