简述ddos攻击的概念-ddos攻击史

hacker|
248

那些年,DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo(Distributed Denial of Service),即分布式拒绝服务攻击,是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络,向目标发送大量看似合法的请求,从而占用大量网络资源使网络瘫痪,阻止用户对网络资源的正常访问。

从各安全厂商的DDoS分析报告不难看出,DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低,技术门槛要求越来越低,攻击工具的肆意传播,互联网上随处可见成群的肉鸡,使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括:常见的流量直接攻击(如SYN/ACK/ICMP/UDP FLOOD),利用特定应用或协议进行反射型的流量攻击(如,NTP/DNS/SSDP反射攻击,2018年2月28日GitHub所遭受的Memcached反射攻击),基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源,不再赘述。

1.1 DDoS防御常规套路

防御DDoS的常规套路包括:本地设备清洗,运营商清洗,云清洗。

1.本地设备清洗

抗DDoS设备(业内习惯称ADS设备)一般以盒子的形式部署在网络出口处,可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引,其基本部署方案如图18-1所示。

图18-1 ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析,检测到DDoS攻击后通知清洗设备,清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备,然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中;当检测设备检测到DDoS攻击停止后,会通知清洗设备停止流量牵引。

将ADS设备部署在本地,企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击,同时结合盒子提供的可定制化策略和服务,方便有一定经验的企业用户对攻击报文进行分析,定制针对性的防御策略。目前国内市场上,主要以绿盟的黑洞为代表,具体可以访问其官网进一步了解。

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时,即使ADS设备处理性能够,也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G,如果遇到十G以上甚至上百G的流量,就真的麻烦了,更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时,往往需要借助运营商的能力了,紧急扩容或者开启清洗服务是一般做法,前提是要采购相应的清洗服务,而且一般需要通过电话或邮件确认,有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击,而且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等,真正攻击到来时处理可能会更慢,需要重点关注。

值得一提的是中国电信的云堤服务,提供了“流量压制”和“近源清洗”服务,而且还提供了自助平台供用户操作,查看流量、开启清洗也非常方便。

 3.云清洗

内容分发网络(Content Delivery Network,CDN)是指,通过在网络各处放置节点服务器,让用户能够在离自己最近的地方访问服务,以此来提高访问速度和服务质量。CDN主要利用了四大关键技术:内容路由,内容分发,内存存储,内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度,但是由于分布式、就近访问的特点,能对攻击流量进行稀释,因此,一些传统CDN厂商除了提供云加速功能外,也开始推出云清洗的服务,当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样,需要先在云端配置好相应的记录,当企业遭受大规模攻击时,通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上,等待DNS生效即可。

使用云清洗需要注意以下几个问题:

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后,需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击,无法使用云清洗防护,还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御,还涉及HTTPS证书,由此带来的数据安全风险需要考虑,市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术,所以不再赘述,如果有海外分支机构的网站需要防护,可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章,链接:[]()。

一些经验

结合笔者的一些经验,对DDoS防护落地做一些补充,仅供参考。

1.自动化平台

金融企业由于高可用要求,往往会有多个数据中心,一个数据中心还会接入多家运营商线路,通过广域网负载均衡系统对用户的访问进行调度,使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时,能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中,此方案能够有效保障正常客户的访问不受影响,为了实现快速切换,需要通过自动化运维平台来实现,如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练,使团队成员都能快速掌握方法,在事件发生第一时间进行切换,将影响降到最小。接下来才是通知运营商进行清洗处理,等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时,可以针对性地处置,比如一键停用,让正常用户访问其他IP;也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外,还有一些设备也需要关注抗DDoS能力,包括防火墙、负载均衡设备等。

出于安全可控需求,金融企业往往会采用异构模式部署防火墙,比如最外层用产品A,里面可能会用产品B。假如产品A的抗DDoS能力差,在发生攻击时,可能还没等到ADS设备清洗,产品A已经出问题了,比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时,需要关注这方面的能力,结合笔者所在团队经验,有以下几点供参考:

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗,在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差,但根据实际测试情况,还是建议当存在大量TCP、UDP新建连接时,防火墙的最大连接数越大越好

3. 多测试多对比,从对比中可以发现更优的方案,通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数,当超过一定值时开始着手优化规则,将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题,此外,负载均衡由于承接了应用访问请求分发调度,可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。

图18-3

负载均衡设备ASM防DDoS功能

请求经过防火墙和负载均衡,最后到了目标机器上处理的时候,也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等,都是在实际工作中会涉及的。

3.应急演练

部署好产品,开发好自动化运维平台,还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性,DDoS攻击发生的次数相比互联网行业还是少很多的,有的企业可能几年也碰不到一次。时间久了技能就生疏了,真正需要用到时,可能连登录设备的账号口令都忘了,又或者需要现场接线的连设备都找不到,那就太糟糕了。

此外,采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验,要先在心里打上一个问号。建议在不事先通知的情况下进行演练,观察这中间的问题并做好记录,待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。

电脑病毒安全威胁七大特征

下面由我给大家介绍计算机病毒发展史话 新兴安全威胁七大特征,希望能让大家认识到病毒,希望对你有帮助!

电脑病毒安全威胁七大特征:

■ 历史悠久的自我防御技术

早自过去的档案型、开机型或宏型病毒,即开始采用加密、压缩、自我编码、变体引擎(McTation Engine或Polymorphic Engine)、更名感染等技术,藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术,仍为目前流行的恶性程序所沿用。

除此之外,一些恶性程序还具备自我检查及反防毒软件(Anti-Antivirus)的能力,他们会在计算机被启动的同时,卸载系统中的防毒软件或防火墙软件。

不过,目前恶性程序的发展趋势似乎有了转变,虽然过去的自我防御功能仍继续沿用,但已非关注的重点。

反之,这些恶意程序不再在乎是否能被防毒软件或 其它 安全配备侦测阻挡,因为再怎么防,不用多久,资安厂商仍很快就有因应 措施 及解决方案的推出。所以他们追求的重点已转变成「快、狠、准」,也就是尽可能地在最短的时间内,以迅雷不及掩耳、秋风扫落叶的方式,造成一定的影响或达到一定的目的。也因为如此,许多恶意程序甚至设定自我毁灭时间。

■ 令人眼花撩乱的庞大变种

变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒(Polymorphic/Mutation Virus),该病毒具备自我编码的能力,每感染一个档案,其病毒码都不一样。基本上,千面人应归类成多形病毒的一种。

虽然千面人病毒具备变幻莫测的外表,但它仍有破绽,就是每个变换后的病毒码,其程序开头都相同,所以仍然有迹可循。为了解决这个问题,网上遂有了.OBJ的变体引擎子程序供人下载撰写多形病毒。总之,由于变体引擎及病毒原始码的公开,所以各式各样的变种因而斥充在网络上。

如今的恶性程序除了展开全球性传播的"水平繁衍"外,并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是,这些恶性程序还结合不同的混合式攻击技术,让每代的变种各具不同"邪恶"特性及破坏力,或是每隔一代海纳百川地加入新的"毒术"。

过去病毒多半接续个两三代就"over"了,如今恶意程序传宗接代的能力一个比一个强,动辄几十代,甚至打破30代大关,例如培果病毒(Bagle)到目前为止共有37代变种,实在惊人。

若以平均天数来看,早先的顽皮熊病毒,从2002年10月第一代出现起,到2004年9月第四代止,大约平均每176天才推出新的变种。如今像是Bagle、MyDoom、NetSky及Korgo等蠕虫,平均不到10天就推出新的变种。其中,最可怕的莫过于Korgo蠕虫,在短短三个月多内,就接连繁衍出高达27代的变种,换句话说,其不到3天就变种一次。

感觉起来,这些恶意程序彷佛在比谁的生育率比较强似的,事实上Bagle、Netsky和MyDoom的确一直在互别苗头,不但相互争夺变种的数目高低,甚至相互攻击(例如Bagle变种专砍Netsky,而Netsky也专门找MyDoom下手)。

■ 乱"件"齐发的垃圾邮件

对于恶意程序而言,电子邮件彷佛就是其增加其功力的大补丸。为了达到最终感染及传播的目的,黑客多半会采用社交工程学(Social Engineering)来引诱收信者打开附件或连结,进而启动或下载攻击程序。此外,过去也有不少病毒邮件,进而发展出不用开启邮件及附件,只要浏览就会中毒的技术。

在信件传播方面,由于采用微软讯息应用程序接口(MAPI)来发病毒邮件,很容易会被防毒软件拦截到,所以黑客多半都会改用专属的SMTP外寄邮件服务器,绕过防毒软件的拦截网来发送病毒信。

自从Melissa宏病毒开启恶意程序搭乘电子邮件的首例之后,许多恶意程序,尤其是造成重大影响的蠕虫几乎都是以垃圾邮件为作恶的工具,垃圾邮件的问题也开始被广泛注意。

史上利用垃圾邮件最彻底、最成功的蠕虫当推Sobig.F,该蠕虫每隔几秒钟就会自动向受害计算机中的所有通讯簿名单发出毒件,因而登上史上传播最迅速的宝座,莫怪乎有人称其为史上最强力的超级邮件发送机(Mass Mailer)。

■ 难以抗拒的诱惑-社交工程

社交工程(Social Engineering)原本是一种源自于飞客(Phreak)的诈骗手法,对于该手法读者应该不致于太陌生,因为之前没多久,相信很多人应该曾接到一些诈骗电话,像是谎称自己是警察人员,并告知接听者的银行账号被盗领,或是"你儿子现在在我手上,快拿两百万过来"等云云,这些就是运用社交工程的显例。

基本上,社交工程是利用人性弱点,并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。对于大部分的企业而言,技术面的问题好解决,但是牵涉到人性面的问题就相当棘手难防了,也因为如此,社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。

尤其对个人而言,面对每日眼花瞭乱的邮件实在很难防,而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡,偏偏这些东西是黑客运用社交工程的最佳试炼场。

■ 有洞就钻

在过去,软件上的臭虫(Bug)顶多会造成软件或系统稳定性或兼容性上的问题,但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示,如今许多软件及平台都存在许多漏洞,而后一版本的软件大多仍会继续沿用之前版本的组件,所以漏洞有可能也会流传到不同版本之中。如此一来,便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。

根据Gartner Group今年4月的分析 报告 指出,2003年有25%的网络攻击事件来自于已知漏洞。面对漏洞问题,唯一最直接的解决 方法 就是下载厂商提供的修补程序(Patches)。对于企业而言,由于软件系统种类繁多、数量庞大,所以必须搭配漏洞及弱点管理工具,以进行固定的扫描、侦测及修补作业。但前文曾提到Symantec的研究报告,目前漏洞发布与相关蠕虫攻击的平均时间差只有短短的5.8天,而Witty蠕虫甚至缔造了2天的惊人纪录,未来随着蠕虫技术的不断突破,平均时间差只会愈来愈短。今后,要与黑客一比抢攻漏洞之高下,绝对是今后企业及资安厂商努力的重点之一。对于个人而言,修补漏洞一直是件不得不做,但又极其困扰的事情。最主要是因为 操作系统 会随着软件、游戏或硬件的安装、解除,档案的进进出出或其它不当的操作而终至变慢、甚至当机的地步,换句话说,为求系统稳定,操作系统每隔一段时间是要重灌的。也因为如此,重灌计算机也意味着要重灌之前所有安装过的修补程序。 如果使用者是透过在线修补,那么在冗长的修补过程中难保不会被蠕虫入侵或被种下后门。如果透过已下载的修补档来修补,虽然较安全,但数量庞大的修补作业可是相当累人的事情。

虽然操作系统中也有提供系统还原的功能,只要选择较后面的还原点,可以减少修补作业的次数。但使用者要如何确认哪一个还原点才是完全安全干净的呢?总而言之,对个人来说,修补漏洞绝对是件既困扰又无奈的事情。

另外要补充强调的是,使用者千万不要因为麻烦或抱着侥幸心态,认为之前旧漏洞不补也没关系,而只要修补最新漏洞即可。事实上,旧漏洞才是黑客最爱,根据Gartner Group今年4月的分析报告指出,2003年有25%的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞,都是非补不可的。

■ 就是要你消受不起-DDoS

阻断式服务攻击(Denial-of-Service;DoS)已成为目前黑客及蠕虫的主要攻击方式之一。透过DoS攻击,网站会被大量而密集的封包所淹没,结果导致网站用户无法正常进入网站,享受应有的内容或服务。

如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击(Distributed DoS;DDoS)手法,形成对企业、网站更长时间的"封锁"及更大的损失。

所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式,以整合更多的攻击来源,以对主要目标展开更猛烈持久的服务封锁。如此的好处是,可以结合更大的攻击能量,同时真正发号司令的黑客不容易被抓到。BOT遥控程序就是透过网络扫描、感染更多的僵尸计算机,形成庞大的僵尸网络大军,然后针对主要目标展开猛烈的DDoS攻击。史上著名的DDoS攻击事件,像是2001年的红色密码(Code Red),即为一只曾对微软IIS Server展开DDoS的蠕虫;2003年疾风蠕虫(MSBlast.A)则透过RPC DCOM缓冲区溢位的弱点,攻击微软Windows Update 网站;2004年1月底,Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击,而造成相当大的损失。

■ 陆海空联合大进击-混合式攻击

自从2001年Code Red率先采用混合式攻击技术以来,混合式攻击已成为目前恶意程序发展中的最大特色及惯用手法。透过不同攻击技术的结合,恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯种"的恶意程序已经愈来愈少,即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。

就各恶意程序的特性而言,病毒具备其它恶意程序所没有的感染力,蠕虫则提供无人能敌的主动散播能力,至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性,以及网络漏洞、系统弱点扫描的新一代恶意程序技术。

一只混合式攻击程序可能会透过不同的媒介及管道,来进行陆海空联合多点大进击,换句话说,它可能一方面透过垃圾邮件传播,一方面在网上扫描并寄生在有弱点的主机上,一方面在网络上"装可爱"成可供人们下载的MP3、游戏或软件,或是搜寻感染网络芳邻上的分享目录夹,抑或提高来宾账户的权限等级等。由于攻击来自于四方八面不同的管道,所以单靠传统单一的防毒软件是无法有效因应的,目前资安厂商则主张多层次的主动防御方案以为因应。

2015 ddos有哪些重大的攻击事件

重大事件这块,网络上公布数据并不多,公布的就是BBC,和阿里多一些

0条大神的评论

发表评论