1、DDOS攻擊及防御攻擊及防御2015年1月DOS攻擊簡介拒絕服務(wù)，(DoS,Denial of Service的簡稱)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。常見的DOS攻擊手段有：Syn Flood、UDP Flood、ICMP Flood和Ping of Death黑客主機黑客主機受害主機受害主機DoS攻擊攻擊DDOS攻擊簡介分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DD

2、oS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。常見的DOS攻擊手段有： IP Spoofing、 LAND attack、ICMP Flood和Application受害主機受害主機DoS攻擊攻擊傀儡控制主機傀儡控制主機傀儡攻擊主機群傀儡攻擊主機群隨著隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)中存在多種攻擊行為，目網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)中存在多種攻擊行為，

3、目前網(wǎng)絡(luò)主流的攻擊方法如下：前網(wǎng)絡(luò)主流的攻擊方法如下：l Syn Floodl UDP Floodl ICMP Floodl Ping of Deathl Land attackl IP SpoofingDDOS防御簡介1.1. 核心層核心層邊界防御邊界防御2.2. 匯聚層匯聚層內(nèi)部隔離內(nèi)部隔離3.3. 接入層接入層本地防御本地防御邊界防御我們把網(wǎng)絡(luò)可以看作一個獨立的對象，通過自身的屬性，維持內(nèi)部業(yè)務(wù)的運轉(zhuǎn)。他的安全威脅來自內(nèi)部與邊界兩個方面：內(nèi)部是指網(wǎng)絡(luò)的合法用戶在使用網(wǎng)絡(luò)資源的時候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界是指

4、網(wǎng)絡(luò)與外界互通引起的安全問題，有入侵、病毒與攻擊。內(nèi)部隔離DMZ：英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)。因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡。本地防御linuxlinux防火墻：

5、防火墻：iptables，一個運行在用戶空間的應(yīng)用軟件，通過控制Linux內(nèi)核netfilter模塊，來管理網(wǎng)絡(luò)數(shù)據(jù)包的移動與轉(zhuǎn)送。本地防御IPSIPS防御：防御：Suricata是一款高性能的網(wǎng)絡(luò)IDS、IPS和網(wǎng)絡(luò)安全監(jiān)控引擎。它是由the Open Information Security Foundation開發(fā)，是一款開源的系統(tǒng)。軟件的源代碼可以通過/獲得。網(wǎng)關(guān)模式配置網(wǎng)關(guān)模式配置: :sudo iptables -I FORWARD -j NFQUEUEsudo iptables -I FORWARD -j NFQUEUE本地模式配置：本

6、地模式配置：sudo iptables -I INPUT -j NFQUEUEsudo iptables -I INPUT -j NFQUEUEsudo iptables -I OUTPUT -j NFQUEUEsudo iptables -I OUTPUT -j NFQUEUE啟動啟動suricatasuricata：sudo suricata -c /etc/suricata/suricata.yaml -q 0sudo suricata -c /etc/suricata/suricata.yaml -q 0本地防御SuricataSuricata規(guī)則規(guī)則#these are more p

7、ermanent, C&C related#alert http $EXTERNAL_NET any - $HTTP_SERVERS any (msg:ET TROJAN E-Jihad 3.0 DDoS HTTP Activity INBOUND; flow:established,to_server; content:GET; nocase; http_method; content:User-Agent|3a| Attacker|0d 0a|; http_header; reference:url, classtype:denial-of-service; sid:2007687

8、; rev:10;)alert http $EXTERNAL_NET any - $HOME_NET any (msg:ET WEB_SERVER LOIC Javascript DDoS Inbound; flow:established,to_server; content:GET; http_method; content:?id=; http_uri; content:&msg=; http_uri; distance:13; within:5; pcre:/?id=0-913&msg=&+$/U; threshold: type both, track by_

9、src, count 5, seconds 60; reference:url,/diary/Javascript+DDoS+Tool+Analysis/12442; reference:url, classtype:attempted-dos; sid:2014140; rev:5;)6.4.2 抗?jié)B透 a） 測試方法 1） 采用滲透測試工具或?qū)Ｓ眯阅軠y試設(shè)備，對防火墻進行各種拒絕服務(wù)攻擊。攻擊手段至少包括:Syn Flood、UDP Flood、ICMP Flood和Ping of Death； GBT 202812006 防火墻技術(shù)要求和測試評價方法黑客主機黑客主

10、機受害服務(wù)器受害服務(wù)器Syn=10 number=10Ack(s)= Syn=10 +1=11Syn(s)=100number=100Ack=Syn(s)+1=101XSYN flood attackSYN flood attack安裝安裝iptablesiptables對特定對特定ipip進行屏蔽進行屏蔽A.安裝iptables和系統(tǒng)內(nèi)核版本對應(yīng)的內(nèi)核模塊kernel-smp-modules-connlimitB. 配置相應(yīng)的iptables規(guī)則示例如下：(1)控制單個IP在一定的時間內(nèi)允許新建立的連接數(shù)(#單個IP在60秒內(nèi)只允許最多新建30個連接)iptables -A INPUT -p

11、 tcp -dport 80 -syn -m recent -name webpool -rcheck -seconds 60 -hitcount 30 j REJECT(2)范圍內(nèi)允許通過 iptables -A INPUT -p tcp -dport 80 -syn -m recent -name webpool -set -j ACCEPTLand attack黑客主機黑客主機DataDataSynSourceDestination受害服務(wù)器受害服務(wù)器黑客主機黑客主機DataD

12、ataSynSourceDestination針對land attack防護，主要通過分析判斷數(shù)據(jù)包的源地址和目標地址是否相同來確認是否是Land attack。在配置安全網(wǎng)關(guān)時加載這一安全策略來過濾掉land attack數(shù)據(jù)報文，并對這種攻擊進行審計，記錄事件發(fā)生的時間、源主機和目標主機的地址，從而可以有效地防范Land attack。Land attack受害服務(wù)器受害服務(wù)器UDP flood attackUDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。100k pps的UDPFlood

13、經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù)，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要開了一個UDP的端口提供相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù)進行攻擊。黑客主機黑客主機5353DataDataUDPDestination受害服務(wù)器受害服務(wù)器DportUDP flood attackA.安裝iptables和系統(tǒng)內(nèi)核版本對應(yīng)的內(nèi)核模塊kernel-smp-modules-connlimitB. 配置相應(yīng)的iptables規(guī)則示例如下：(1)控制單個

14、IP在一定的時間內(nèi)允許指定端口UDP數(shù)量(#單個IP在60秒內(nèi)只允許最多新建30個DNS請求)iptables -A INPUT -p udp -dport 53 -m recent -name webpool -rcheck -seconds 60 -hitcount 30 j DROP(2)范圍內(nèi)允許通過 iptables -A INPUT -p udp -dport 53 -m recent -name webpool -set -j ACCEPT黑客主機黑客主機5353DataDataUDPDestination受害服務(wù)器受害服務(wù)器Dport安裝安裝iptablesiptables對特定對特定ipip進行屏蔽進行屏蔽ping of death死亡之Ping，（英文：ping of death, POD），是一種向目標電腦發(fā)送錯誤封包的或惡意的ping指令的攻擊方式。通常，一次ping大小為32字節(jié)（若考慮IP標頭則為84字節(jié)）。在當時，大部分電腦無法處理大