前一篇文章讲述了什么是DDos,DDos的种类等。这一节我们讲述DDos的防御策略。
我们按照DDos的攻击类型来讲解每一种类型对应的防御策略。
一、DDos攻击类型
有以下一些类型,但不限于: 畸形报文、传输层(4层)DDoS攻击、Web应用DDoS攻击、DNS DDoS攻击、连接型DDoS攻击。
1. 畸形报文
每中报文都有相对应的标准格式,如果不符合这种格式就属于畸形报文,我们可以采取相应策略或丢弃。
TCP异常报文参见:
【华安解密之DDoS攻防】13 TCP原理篇之连接耗尽攻击&异常报文攻击
2. 传输层DDos攻击:
通过大流量的方式对目标机器造成攻击。有以下攻击类型: syn flood,syn-ack flood,ack flood,fin/rst flood,udp flood,icmp flood(这个属于网络层)等。
(1)syn flood:基本源认证(发错误确认序号的SYN-ACK回复包要求客户端发rst包)、高级源认证(发正确确认序号的SYN-ACK回复包要求客户端发ack包)、首包丢弃。
(2)syn-ack Flood:源认证(发syn包要求客户端发syn-ack包,模仿重传syn行为)
(3)ack flood:会话检查:分为基本模式,严格模式。
基本模式:
如果ACK报文没有命中会话,防御系统会允许第一个ACK报文通过,并建立会话,以此来对后续ACK报文进行会话检查;
如果ACK报文命中了会话,则继续检查报文的序号,序号正确的报文允许通过,序号不正确的报文则被丢弃。
严格模式:
如果ACK报文没有命中会话,直接丢弃报文;
如果ACK报文命中会话,并且序号正确,允许报文通过。
(4)fin/rstflood:会话检查。
如果FIN/RST报文没有命中会话,直接丢弃报文;
如果FIN/RST报文命中会话,则根据会话创建原因和会话检查结果来判断该报文是否通过:
如果会话是由SYN或SYN-ACK报文创建的,则允许该FIN/RST报文通过。
如果会话是由其他报文创建的(例如ACK报文),则进一步检查报文序号是否正确,序号正确的报文允许通过,序号不正确的报文则被丢弃。
(5)udp flood:一般传统的UDP攻击都是由攻击工具打出来的,通常会具有一定的特征,尤其在数据段会有一些相同或者有规律变化的字段。而对于我们前一节介绍的UDP反射放大攻击,虽然并不是攻击工具伪造的UDP报文,而是真实网络设备发出的UDP报文,在数据段不具备相同的特征,但是目的端口却是固定的,所以也可以作为一种特征。确定攻击报文的特征后,就可以根据特征进行过滤了。特征过滤也就是常说的指纹过滤,指纹分为静态指纹(手工配置)和动态配置(机器自主学习)
3. Web应用DDoS攻击
现在Web应用如此的多,攻击类型分为: http get flood, http post flood, cc攻击等。
(1)http get flood:302重定向认证、验证码认证、URI动态指纹学习(同一个源发出的包含同一指纹的请求超过设置的阈值时,就将该源加入黑名单)、URI行为监测(判断访问重点URI比例是否超过阈值来确定攻击源)
(2)http post flood:307重定向认证(加上Cookie)、验证码认证、URI动态指纹学习、URI行为监测
(3)http 慢连接攻击
Slow Headers:某个源发出的连续多个HTTP GET/POST请求报文的报文头中都没有结束符“\r\n”,则认为发生Slow Headers攻击,将该源IP地址加入黑名单。
Slow POST:某个源发出的连续多个HTTP POST请求报文的长度设置的很大,但是实际报文的数据部分长度都很小,则认为发生Slow POST攻击,将该源IP地址加入黑名单。
4. DNS DDoS攻击
DNS DDoS攻击类型有: DNS Request Flood、DNS Reply Flood和缓存投毒等。
(1)DNS Request Flood:TC源认证(让客户端使用TCP的请求,即可使用TCP的源认证)、首包丢弃、授权服务器可采用CNAME源认证
(2)DNS Reply Flood:因为只有缓存服务器会接收权威服务器的reply包,可以采用源认证权威服务器方式
(3)DNS反射攻击:会话机制:当DNS request报文经过Anti-DDoS系统时,Anti-DDoS系统会创建一张会话表,记录DNS请求报文的这五元组信息,当Anti-DDoS系统再收到DNS reply报文时,就会查会话表,五元组不对将被丢弃
(4)还有一个策略是:源IP限速和域名限速
(5)缓存投毒:会话机制
5. 连接型DDoS攻击
连接型攻击类型分为: TCP连接耗尽攻击,TCP慢速连接攻击,连接耗尽攻击,loic, hoic, slowloris, Pyloris, xoic等慢速攻击。
(1)TCP连接耗尽攻击:某个源IP在指定的时间间隔内发起的TCP新建连接数超过了阈值,则将该源IP加入黑名单。
(2)TCP慢速连接攻击:TCP连接上特定时间内通过的报文数小于阈值,则认为该连接为异常会话。如果在特定时间内某个源IP的异常会话数超过阈值,则将该源IP加入黑名单。
我们按照DDos的攻击类型来讲解每一种类型对应的防御策略。
一、DDos攻击类型
有以下一些类型,但不限于: 畸形报文、传输层(4层)DDoS攻击、Web应用DDoS攻击、DNS DDoS攻击、连接型DDoS攻击。
1. 畸形报文
每中报文都有相对应的标准格式,如果不符合这种格式就属于畸形报文,我们可以采取相应策略或丢弃。
TCP异常报文参见:
【华安解密之DDoS攻防】13 TCP原理篇之连接耗尽攻击&异常报文攻击
2. 传输层DDos攻击:
通过大流量的方式对目标机器造成攻击。有以下攻击类型: syn flood,syn-ack flood,ack flood,fin/rst flood,udp flood,icmp flood(这个属于网络层)等。
(1)syn flood:基本源认证(发错误确认序号的SYN-ACK回复包要求客户端发rst包)、高级源认证(发正确确认序号的SYN-ACK回复包要求客户端发ack包)、首包丢弃。
(2)syn-ack Flood:源认证(发syn包要求客户端发syn-ack包,模仿重传syn行为)
(3)ack flood:会话检查:分为基本模式,严格模式。
基本模式:
如果ACK报文没有命中会话,防御系统会允许第一个ACK报文通过,并建立会话,以此来对后续ACK报文进行会话检查;
如果ACK报文命中了会话,则继续检查报文的序号,序号正确的报文允许通过,序号不正确的报文则被丢弃。
严格模式:
如果ACK报文没有命中会话,直接丢弃报文;
如果ACK报文命中会话,并且序号正确,允许报文通过。
(4)fin/rstflood:会话检查。
如果FIN/RST报文没有命中会话,直接丢弃报文;
如果FIN/RST报文命中会话,则根据会话创建原因和会话检查结果来判断该报文是否通过:
如果会话是由SYN或SYN-ACK报文创建的,则允许该FIN/RST报文通过。
如果会话是由其他报文创建的(例如ACK报文),则进一步检查报文序号是否正确,序号正确的报文允许通过,序号不正确的报文则被丢弃。
(5)udp flood:一般传统的UDP攻击都是由攻击工具打出来的,通常会具有一定的特征,尤其在数据段会有一些相同或者有规律变化的字段。而对于我们前一节介绍的UDP反射放大攻击,虽然并不是攻击工具伪造的UDP报文,而是真实网络设备发出的UDP报文,在数据段不具备相同的特征,但是目的端口却是固定的,所以也可以作为一种特征。确定攻击报文的特征后,就可以根据特征进行过滤了。特征过滤也就是常说的指纹过滤,指纹分为静态指纹(手工配置)和动态配置(机器自主学习)
3. Web应用DDoS攻击
现在Web应用如此的多,攻击类型分为: http get flood, http post flood, cc攻击等。
(1)http get flood:302重定向认证、验证码认证、URI动态指纹学习(同一个源发出的包含同一指纹的请求超过设置的阈值时,就将该源加入黑名单)、URI行为监测(判断访问重点URI比例是否超过阈值来确定攻击源)
(2)http post flood:307重定向认证(加上Cookie)、验证码认证、URI动态指纹学习、URI行为监测
(3)http 慢连接攻击
Slow Headers:某个源发出的连续多个HTTP GET/POST请求报文的报文头中都没有结束符“\r\n”,则认为发生Slow Headers攻击,将该源IP地址加入黑名单。
Slow POST:某个源发出的连续多个HTTP POST请求报文的长度设置的很大,但是实际报文的数据部分长度都很小,则认为发生Slow POST攻击,将该源IP地址加入黑名单。
4. DNS DDoS攻击
DNS DDoS攻击类型有: DNS Request Flood、DNS Reply Flood和缓存投毒等。
(1)DNS Request Flood:TC源认证(让客户端使用TCP的请求,即可使用TCP的源认证)、首包丢弃、授权服务器可采用CNAME源认证
(2)DNS Reply Flood:因为只有缓存服务器会接收权威服务器的reply包,可以采用源认证权威服务器方式
(3)DNS反射攻击:会话机制:当DNS request报文经过Anti-DDoS系统时,Anti-DDoS系统会创建一张会话表,记录DNS请求报文的这五元组信息,当Anti-DDoS系统再收到DNS reply报文时,就会查会话表,五元组不对将被丢弃
(4)还有一个策略是:源IP限速和域名限速
(5)缓存投毒:会话机制
5. 连接型DDoS攻击
连接型攻击类型分为: TCP连接耗尽攻击,TCP慢速连接攻击,连接耗尽攻击,loic, hoic, slowloris, Pyloris, xoic等慢速攻击。
(1)TCP连接耗尽攻击:某个源IP在指定的时间间隔内发起的TCP新建连接数超过了阈值,则将该源IP加入黑名单。
(2)TCP慢速连接攻击:TCP连接上特定时间内通过的报文数小于阈值,则认为该连接为异常会话。如果在特定时间内某个源IP的异常会话数超过阈值,则将该源IP加入黑名单。
(3)总体来说,基于会话机制,通过新建连接速率检查、并发连接数检查、异常会话检查等措施,将攻击源加入黑名单,阻断攻击流量达到防御效果。
总体来说,防御分为这几大类:包检查、源认证、会话机制、机器自主学习。
源认证包括:
1. TCP/IP源认证(syn-cookie技术等)
2. 应用层源认证(302跳转,CNAME反弹等)
3. 用户源认证(验证码等)
3291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
