版权归原作者所有,如有侵权,请联系我们

DDoS攻防“修炼”手册

CCF计算机科普
由中国计算机学会主办,提供优质的计算机科普内容。
收藏

一、小剧场

小白:东哥,暑假有没有出去玩呀?

大东:暑假我当然是在家分担一下家务劳动呀!

小白:皮一下很开心哟!东哥,轮到我考考你。你知道国际劳动节的发展历史吗?

大东:说来听听,我们一起涨知识。

小白:19世纪资本家通过不断增加劳动时间和劳动强度的方法进行资本积累,最终引起了工人们大规模罢工,1889年宣布将每年的五月一日定为国际劳动节,而我国庆祝劳动节的活动还可追溯至1918年呢。怎么样,是不是听起来也是一段漫长曲折的发展史呢?

大东:是啊,不如今天我就给你讲讲DDoS的发展史吧。

小白:好呀好呀,我早就想了解了。

(图片来源于网络)

二、DDoS攻击发展“里程碑”

大东:DDoS攻击是非常常见的一种攻击,随着黑客技术的不断发展,它变得越来越简单和自动化,发动一次DDoS攻击并不需要太高的技术门槛,攻击流量也从最开始的10GB、90GB,逐渐扩大至300GB、400GB,如今已经以“T”级别来计算。

小白:天呐,DDoS攻击几乎在以飞跃式的速度增长啊!

大东:是的,这二十多年来DDoS攻击也成为了犯罪工具箱的一部分。

DDoS发展史 (图片来源于网络)

小白:东哥,快给我讲讲吧,我小板凳都搬好了。

第一阶段,虚假源DDoS攻击

大东:早期的DDoS以虚假源攻击为主,简单粗暴但极为有效,聊天室聊着聊着可能就“死了”。这类攻击一般由工具或者仪表构造产生,一般传统的TCP-Flood防护算法就能够很好地清洗此类攻击。

小白:那这块是不是已经没有太多的技术门槛了?

大东:可以这么说吧。再后来,ISP也开始在网络接入层面启用URPF策略,希望可以从大网架构层面直接过滤虚假源攻击。从一些统计数据来看,URPF确实起到了一定的效果,但仍然有漏网之鱼,近几年虚假源Flood依然是DDoS攻击重要组成。

小白:这么看来的话,要想防御这一阶段的DDoS攻击,也不是很难吧?

大东:非也。实际上,虚假源DDoS攻击并不是大家想象的那么“简单”。攻击者也在不断思考、改进和实践虚假源攻击的实战效果,因为这种攻击的”开销”实在是太低了,如果能以低成本的方式打垮对方,又何必去兴师动众发动更复杂、更高成本的攻击呢?

小白:那倒也是。

大东:所以在DDoS攻防对抗史中,出现了一些增强型虚假源DDoS,也可以简单理解为第一代DDoS的Plus版本。

小白:东哥,可以举个例子吗?我已经有点晕了。

大东:大概在2010年,安全公司发现攻击者打出的虚假源攻击不再全随机源了,而是将攻击源IP伪造为真实服务器的地址段,比如伪装为某省某服务商的地址段,当防护产品去探测这些源IP真实性的时候,就很可能误认这些IP是真实存在的,从而探测算法失效,服务器崩溃。

小白:披着羊皮的狼啊!

大东:不仅如此,同时,这些服务商还被流量反射了,攻击者可谓一箭双雕,从另外一个角度讲,这也算最早期的DDoS反射攻击,比名震四方的的NTP反射还要早。

(图片来源于网络)

第二阶段,针对知名协议的DDoS真实源攻击

小白:除了虚假源是不是还有真实源呀?

大东:哎呀,我们小白变聪明啦!这一阶段CC攻击(Challenge Collapsar)的重大改变在于,它不再简单利用虚假源发起攻击,而是利用真实源(比如网上的代理服务器),对Web服务器发起攻击(HTTP),以耗尽服务器资源。

小白:正面刚啊!

大东:广义上的CC攻击还包括HTTPS攻击、慢速攻击、连接耗尽、空连接攻击等,但它们有一个共同点,就是利用真实源发起攻击,攻击者利用真实源可跟随协议栈行为的特点,使得防御难度加大。

小白:啊,那可怎么办?

大东:别担心,知名协议(如HTTP、DNS)还有一个好处,就是安全人员可以通过研究公开的RFC文档去了解协议的每一个细节,而DDoS攻击和防御的平衡点往往就在毫厘之间。

小白:天下难事,必做于易;天下大事,必做于细。

第三阶段,针对私有协议的DDoS真实源攻击

大东:对于DDoS防护设备,任何无法解码的流量都可以认为是私有协议流量,极难防御。针对知名协议,安全人员还可以通过查看分析RFC寻找蛛丝马迹,但当面对私有协议流量的时候,大家两眼一抹黑,除了限速不知道怎么办了,就出现了攻守不平衡的局面。

小白:那该怎么应对呢?

大东:我们的安全人员发明了一系列算法,并针对攻击者的思路和手法灵活应对。

小白:太棒了,这样可真是治标又治本呀!

第四阶段,超大反射攻击出现导致攻守资源不平衡

大东:2014年,一起峰值达到400Gbps的NTP反射攻击震惊全球网络,它使得原本小众的DDoS攻击进入平常人们的视野,超大反射攻击的出现,从根本上改变了 DDoS 对抗格局。

小白:这事我也听说过,还有2016年9月19日,OVH声称遭受了一起来自 145607个网络视频监控设备发起的峰值最高800Gbps的DDoS攻击。紧接着9月20日,KrebsonSecurity遭受峰值达620Gbps的DDoS攻击。

(图片来源:2017绿盟科技DDoS威胁报告——反射攻击流量趋势图)

大东:是的,业内网络安全人员认为这几起攻击均来源于名叫Mirai的僵尸网络。据统计,当时全球感染Mirai的物联网设备数量累计超过200万,遍布全球90多个国家和地区。推算一下的话,光这一僵尸网络就具备发动峰值超过1.5Tbps 的攻击能力。

小白:这也太可怕了。

大东:是的,当攻击者可以较低的成本利用网上资源,将攻击规模提升到百G甚至上T的级别,这给物联网等设备带来安全问题甚至给全球的网络安全防护都带来巨大挑战。

三、DDoS防御路径

小白:东哥,我刚才上网随便搜索DDoS攻击服务,就出现了一大片搜索结果。

大东:是啊,现在DDoS黑产也越来越专业化,成立网站兜售DDoS攻击服务,有的可能有专业的团队做开发,随时更新用户的DDoS需求,从植入广告收益、商业竞争敲诈勒索(游戏、电商行业等)。

小白:东哥,快教教我们该怎么防御DDoS攻击吧。

大东:第一,要从我们日常的DDoS攻击防御方法开始说起,这种自主防御的方法对个人和企业来说成本最低,也是防御必不可少的环节。主要可通过定期扫描漏洞及时打上补丁;过滤不必要的服务和端口;检查访客来等方法进行防御。

小白:那如果自主防御不能达到很好的效果呢?

大东:第二,可采用高防服务器来保证服务器系统的安全。此外,还可采用高防IP隐藏服务器的真实IP地址;或者采用高防CDN通过内容分离数据流量进行防御。

小白:防御DDoS攻击的方法除了这四种还有其他的吗?

大东:还有最后一种就是配置Web应用程序防火墙。

小白:感谢东哥倾囊相送,我要把这些知识分享给我的朋友们啦。