安全HCIP之攻击防范-各类报文泛洪攻击防御

攻击防范-各类报文泛洪攻击防御

TCP Flood 攻击和防范

• SYN Flood攻击：伪造报文一般为源IP地址不存在或者不可达，大量的半连接小号了服务器的资源，使服务器无法处理正常的连接请求；
• SYN Flood攻击防御—源认证（虚假源）
  • Anti-DDoS设备基于目的地址对SYN报文速率进行统计，当SYN报文速率超过阈值时，启动源认证防御；
  • 此源认证方法主要针对虚假源的攻击者进行防御；

  • 注意：对于极高速率的变源变端口SYN报文攻击，请同时开启首包检测功能，以提高Anti-DDoS设备处理性能；

• SYN Flood攻击防御—源认证（真实源）
  • 源IP加入白名单之后将继续对正式源IP进行统计分析，对异常的源IP进行限速，以防止真实源发起攻击；
    • TCP-Ratio异常限速：基于原来统计除ACK以外的其他报文总和（SYN+SYN-ACK-FIN/RST）与ACK报文的比例，当这个比例超过“TCP-Ratio比例阈值”时，判断源IP地址异常，将除ACK以外的其他报文的速率总和限制在阈值内；
    • 始终限速：在任何情况下，都将除ACK以外的其他报文的速率总和限制在阈值内；

    • 配置真是源IP限速前需要先开启SYN Flood源认证功能，Anti-DDoS设备对SYN报文进行统计，当SYN报文速率达到告警阈值时，启动真是源限速；

UDP Flood攻击

• UDP Flood攻击原理：攻击者通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，通常会造成以下危害：
  • 消耗网络带宽资源，严重时造成链路拥塞；
  • 大量变源端口的UDP Flood会导致依靠会话转发的网络设备性能降低，甚至会话耗尽，从而导致网络瘫痪；
  • 攻击报文到达服务器开放的UDP业务端口，服务器检查报文的正确性需要消耗计算资源，影响正常业务；
• 防范：
  • UDP类的攻击中报文的源IP和原端口变换频繁，但报文负载一般报纸不变或有规律的变化，有效防御这类攻击的方法是使用关联防御和指纹学习；

UDP Flood关联TCP类服务防范

• 防御原理：当UDP流量与TCP类服务有关联时，通过防御TCP类服务来防御UDP Flood；

• 注意：有些服务，例如游戏类服务，是先通过TCP协议对用户进行认证，认证通过后使用UDP协议传输业务数据，此时可以通过验证UDP关联的TCP类服务来达到防御UDP Flood攻击的目的；

载荷检查和指纹学习

• 防御原理：使用载荷检查和指纹学习方法防御具有规律的UDP Flood攻击；

DNS Request Flood攻击

• 攻击原理

  • 针对缓存服务器的攻击：针对缓存服务器的攻击是指攻击者直接或间接向DNS缓存服务器发送大量不存在的域名解析请求，导致DNS缓存服务器不停向授权服务器发送解析请求，最终导致DNS缓存服务器超载，影响正常业务的攻击；
  • 针对授权服务器的攻击：针对授权服务器的攻击是指攻击者直接或间接向DNS授权服务器发送大量不存在的子域名请求，致使DNS授权服务器严重超载，无法继续相应正常用户的DNS请求，从而达到攻击的目的攻击；

  • DNS Request Flood攻击源可能是虚假源，也可能是真实源，针对不同类型的攻击源，采取的防御方式也不同；

• DNS Request Flood防御原理

  • 针对虚假源攻击缓存服务器
  • 针对真实源攻击：
    • 如果是真实源攻击，经过上述防御过程后，通过的DNS报文还很大，则可以继续采用以下方式进行防御；
      • DNS请求报文限速
        • 指定域名限速；
        • 源IP限速；
      • Anti-DDoS设备还支持对异常DNS报文的检测，根据预定义的规则分别从以下三个方面进行检测：
        • DNS报文的格式；
        • DNS报文的长度；
        • DNS报文的TTL；

HTTP Flood攻击与防御原理

• 防御HTTP Flood攻击的方法包括源认证、目的IP的URL检测和指纹学习；
• 攻击原理：攻击者通过代理服务器或僵尸主机向目标服务器发起大量的HTTP报文，请求涉及数据库操作的URL或者其他消耗系统资源的URL，造成服务器资源耗尽，无法响应正常请求；
• 防御原理：
  • HTTP Flood源认证；
    • 基本模式：该模式可有效阻止来自非浏览器客户端的访问，吐过僵尸工具没有实现完整的HTTP协议栈，不支持自动重定向，无法通过认证，而浏览器支持自动重定向，可以通过认证，该模式不会影响用户体验，但防御效果低于增强模式；
    • 增强模式：有些僵尸工具实现了重定向功能，或者攻击过程中使用的免费代理支持重定向功能，导致基本模式的防御失效，通过推送验证码的方式可以避免此类防御失效，此时通过让用户输入验证码，可以判断HTTP访问是否由真实的用户发起，而不是僵尸工具发起的访问，因为僵尸网络工具依靠自动植入PC的僵尸工具发起，无法自动响应随机变化的验证码，故可以有效的防御攻击，为避免防御对正常用户体验的影响，此防御方式仅对超过源访问阈值的异常源实施；
  • HTTP源统计；
    • HTTP源统计是在基于目的IP流量异常的基础上，再启动针对原IP流量进行统计，Anti-DDoS设备首先对到达目的IP的流量进行统计，当目的IP流量出发告警阈值时，再启动到达这个目的IP的每个源的流量进行统计，判定具体哪个源流量异常，并对元IP的流量进行防御；
    • HTTP源统计功能可以更准确的定位异常源，并对异常源发出的流量进行防御；
  • URL监测；
    • URL检测是HTTP源认证防御的补充功能，当通过HTTP源认证的流量还是超过阈值时，可以启用URL检测，Anti-DDoS设备对HTTP源认证过程中加入白名单的源IP也会进行URL检测；
    • 在指定时间内，某个URL的访问流量超过一定阈值时，Anti-DDoS设备启动针对元IP的URL行为检测，当这个源IP地址对某个URL访问数与总访问数的比例超过阈值时，则将该源IP地址作为攻击源并加入动态黑名单，在配置URL检测时，可将消耗内存或占用计算机资源多、容易受到攻击的URL加入“重点检测URL”列表；
  • URL源指纹学习功能；
    • 指纹学习方法适用于攻击源访问的URL比较固定的场景，因为如果要形成攻击效果，攻击者一般都事先进行探测，找到容易消耗系统资源的URL作为攻击目标，然后一个攻击源的一个回话上会有多个针对该URL的请求，最终呈现为该源对选定的URL发送大量的请求报文，动态指纹学习正式基于这个原理，Anti-DDoS设备对源访问的URL进行指纹学习，找到攻击目标URL指纹，如果对该URL指纹的命中次数高于设置的阈值就将该源加入黑名单；