攻防技术1-网络攻击(HCIP)

目录

一、网络攻击方式分类

1、被动攻击:

2、主动攻击:

3、中间人攻击:

二、网络攻击报文类型分类:

1、流量型攻击

2、单包攻击

三、流量型攻击防范技术

1、DNS Request Flood攻击

攻击原理

DNS交互过程

2、TCP类报文攻击防御

TCP三次握手

四次挥手手:两次FIN交换

4、SYN Flood攻击(DOS)

SYN Flood攻击抵御方法——首包丢弃(面对虚假源)

SYN Flood攻击抵御方法——源认证(面对虚假源)

SYN Flood攻击抵御方法——源认证(真实源)

SYN-ACK Flood攻击原理与防御原理

攻击原理

防御原理

5、ACK Flood攻击与防御原理

攻击原理

防御原理

Anti-DDoS设备防御方式

严格模式

基本模式

6、FIN/RST Flood攻击与防御原理

攻击原理

防御原理

四、抗DDOS攻击

1、华为的Anti-DDOS产品

2、Anti-DDOS三大单元

3、流量清洗原理

(1)、首包丢弃(适合支持重传的协议-应对虚假源)


一、网络攻击方式分类

1、被动攻击:

被动攻击:通过抓包获取信息,攻击不安全的协议。

2、主动攻击:

  • DOS:造成大量请求,消耗完服务器资源。
  • 篡改攻击:本来是直接访问服务器,现在要过中间人进行转发,转发过程中被篡改。
  • 假冒攻击:伪造身份去获取信息,通过跨站脚本等手段获取你网站的Cookie。

3、中间人攻击:

中间人攻击:成为中间人的方式有DHCP和ARP

  • DHCP:架设DHCP服务器,发送错误的地址信息,网关指向我。
  • ARP:修改去往互联往和返回互联网流量。

二、网络攻击报文类型分类:

1、流量型攻击

  • 网络层攻击:ARP、DHCP、DOS
  • 应用层攻击:Web

2、单包攻击

  • 畸形报文攻击
  • 特殊报文攻击
  • 扫描窥探攻击

 

三、流量型攻击防范技术

1、DNS Request Flood攻击

攻击原理

  • 针对缓存服务器的攻击
    • 针对缓存服务器的攻击是指攻击者直接或间接向DNS缓存服务器发送大量不存在的域名解析请求,导致DNS缓存服务器不停向授权服务器发送解析请求,最终导致DNS缓存服务器超载,影响正常业务的攻击。
  • 针对授权服务器的攻击
    • 针对授权服务器的攻击是指攻击者直接或间接向DNS授权服务器发送大量不存在的子域名请求,致使DNS授权服务器严重超载,无法继续响应正常用户的DNS请求,从而达到攻击的目的攻击。
  • DNS Request Flood攻击源可能是虚假源,也可能是真实源。针对不同类型的攻击源,采取的防御方式也不同。

DNS交互过程

2、TCP类报文攻击防御

TCP正常建立连接和断开连接的过程

TCP三次握手

1、A先发SYN携带seq初始化序列号a

2、B收到A的SYN后,回复SYN携带seq初始化序列号b,并且携带ack值为a+1为对上一次A发的SYN的确认。

3、A收到B的SYN后回复ACK确认,并携带seq为B发SYN的a+1值,ack确认为B的seq中b+1的值。

四次挥手手:两次FIN交换

4、SYN Flood攻击(DOS)

伪造报文一般为源IP地址不存在或不可达,大量的半连接消耗了服务器的资源,使服务器无法处理正常的连接请求。

RFC1918文档,RFC3330文档,互联网不会出现的网段。

缓存和RTT往返时间

1、攻击者发送大量的SYN,服务器收到SYN就会维护缓存信息。

2、服务器发送SYN ACK过去但是怎么也收不到ACK应答,在缓存中会制造大量的半开连接,占满缓存,导致正常连接无法建立。

重点:虚假伪装源、制造大量恶意缓存信息(半开连接)、高速率制造(RTT时间以内,合法清除正常缓存,恶意缓存打满)

SYN Flood攻击抵御方法——首包丢弃(面对虚假源)

SYN Flood攻击抵御方法——源认证(面对虚假源)

Anti-DDoS设备基于目的地址对SYN报文速率进行统计,当SYN报文速率超过阈值时,启动源认证防御。

此源认证方法主要针对虚假源的攻击者进行防御。

某些APP收到RST报文可能会认为服务器挂了,从而出现问题,首包丢弃好些。

SYN Flood攻击抵御方法——源认证(真实源)

  • 源IP加入白名单之后将继续对真实源IP进行统计分析,对异常的源IP进行限速,以防止真实源发起攻击。
    • TCP-Ratio异常限速:基于源来统计除ACK以外的其他报文总和 (SYN+SYN-ACK+FIN/RST) 与ACK报文的比例,当这个比例超过“TCPRatio比例闯值”时,判定源IP地址异常,将除ACK以外的其他报文的速率总和限制在阈值内。
    • 始终限速:任何情况下,都将除ACK以外的其他报文的速率总和限制在阈值内。

超过比例,判断异常,限制速率。

SYN-ACK Flood攻击原理与防御原理

  • 攻击原理
    • SYN-ACK Flood攻击源会假冒服务器,发送大量SYN-ACK报文到攻击目标网络,如果网络出口有依靠会话转发的网络设备,比如防火墙、IPS(查询状态表项消耗资源)等设备,则大量的SYN-ACK报文会导致这类网络设备处理性能降低,甚至会话耗尽。
    • 另外,SYNFlood的反射攻击也可能造成服务器发送大量的SYN-ACK报文。
  • 防御原理
    • Anti-DDoS设备基于目的地址对SYN-ACK报文速率进行统计,当SYN-ACK报文速率超过闯值时,启动源认证防御。

5、ACK Flood攻击与防御原理

攻击原理

  • 如果是带有超大载荷的ACK Food攻击,会导致路拥塞。
  • 如果是极高速率的变源变端口ACK Flood攻击,很容易导致依靠会话转发的没备转发性能降低,甚至会话耗尽造成网络瘫痪。
  • 如果攻击报文到达服务器,则导致服务器处理性能耗尽,从而拒绝正常服务。

防御原理

会话检查和载荷检查结合来防御ACK Flood攻击。

Anti-DDoS设备防御方式

严格模式

直路部署组网中建议采用“严格模式”

  • 如果ACK报文没有命中会话表,则Anti-DDoS设各直接丢弃ACK报文。
  • 如果ACK报文命中会话表,则允许ACK报文通过

基本模式

旁路部署动态引流时,由于报文来回路径不一致,对于引流前已经建立的会话,Anti-DDoS设备上检查不到会话此时建议采用“基本模式”。当连续一段时间内ACK报文速率超过阅值时,启动会话检查“基本模式”。

  • 如果ACK报文没有命中会话表,Anti-DDoS设备会允许第一个ACK报文通过,并建立会话,然后对后续ACK报文进行会话检查,以确定是否允许后续同源IP发送的ACK报文通过。
  • 如果ACK报文命中会话表,则继续检查报文序列号,序列号正确的报文允许通过,不正确的报文则被丢弃。

6、FIN/RST Flood攻击与防御原理

  • 如果Anti-DDoS设备检查到FIN/RST报文没有命中会话,直接丢弃报文。
  • 如果Anti-DDoS设备检查到FIN/RST报文命中会话,则根据会话创建原因和会话检查结果来判断该报文是否通过。
    • 1、如果会话是由SYN或SYN-ACK报文创建的,则允许该FIN/RST报文通过。
    • 2、如果会话是由其他报文创建的《例如ACK报文),则进一步检查报文序列号是否正确,序列号正确的报文允许通过,不正确的报文则被丢弃。

攻击原理

  • 攻击者利用僵尸网络发送大量的变源变端口FIN/RST报文攻击,这些攻击到达依靠会话转发的设备上,很容易导致转发设备性能降低甚至会话耗尽造成网络瘫痪,从而拒绝正常服务。

防御原理

  • 当FIN/RST报文速率超过闯值时,启动会话检查。

四、抗DDOS攻击

1、华为的Anti-DDOS产品

2、Anti-DDOS三大单元

Anti-DDOS三大单元:检测单元、管理中心、清洗中心

  • 检测单元:把入口关键性流量通过流量镜像方式送到检测中心,通过响应的算法识别流量,上报到管理中心。
  • 管理中心:管理中心发现DDOS存在,会登录到边界设备上,把流量引导到清洗中心(流量原本是直接到服务器,经过引导到清洗中心清洗流量,引导流量一般是使用BGP)。
  • 清洗中心:把问题流量清洗后,回灌到服务器(回灌一般使用GRE)。

DDOS通用攻击防范技术

3、流量清洗原理

(1)、首包丢弃(适合支持重传的协议-应对虚假源)

有些攻击采用不断变换源IP地址或者源端口号的方式发送攻击报文通过首包丢弃,可以有效拦截这部分流量。首包丢弃与源认证结合使用,防止虚假源攻击。

(支持首包丢弃后重传报文的协议包括TCP、DNS、ICMP协议UDP协议虽然不具备重传机制,如果有应用层协议来协助实现重传时,也可以配置首包丢弃功能。)

大量的SYN过来,丢弃首包,并记录三元组信息(源IP+源端口+协议)及时间,等待对方进行报文重传(对付虚假源),正常时间间隔内收到重传报文,如果重传信息和记录信息一致,判断重传报文并接收。

阻断和限流

通过服务基线学习或管理员经验判断,发现网络中根本没有某种服务或某种服务流量很小,则可以分别采用阻断和限流方法来防御攻击。

阻断:在自定义服务策略中,阻断表示将匹配自定义服务的报文全部丢弃;在默认防御策略中表示将自定义服务以外的此协议报文全部丢弃。

限流:在自定义服务策略中,限流表示将匹配自定义服务的报文限0制在闯值内,丢弃超过闯值的部分报文;在默认防御策略中,限流表示将自定义服务以外的此协议报文限制在闯值内,丢弃超过闯值的部分报文。

过滤器

  • 通过配置过滤器,对匹配特征的报文执行相应的操作。
  • Anti-DDoS设备提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP七种类型的过滤器

指纹是多个值哈希出来的哈希值。

黑名单和白名单

Anti-DDoS防御系统支持将一些不可信任的源IP地址加入黑名单对此源发出的报文禁止通过;将信任的源IP地址加入到白名单,对此源发出的报文允许通过。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数通工程师小明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值