2018年DDoS的灾难性攻击解析与应对.pdf

1、DDoS的灾难性攻击解析与应对目录历史背景风险管理网络攻击和应对措施架构视图历史时间线第一次攻击：1999年-2000年 2005年:微软提出STRIDE威胁模型身份欺骗篡改数据否认信息泄漏拒绝服务权限提升D?DoS“分布式攻击”与“非分布式攻击”的区别十分模糊。传统意义上来说，分布式攻击有多个来源。来源是什么？是一个IP地址还是一台物理机呢？如果是一台物理机，是一个虚拟机发起的攻击吗？亦或是同一台物理虚拟监视器下的多个虚拟机？如果这些虚拟机经常在数台物理机间迁移呢？假如我的电脑遭到了分布式攻击，我该如何判断攻击是单个来源还是多个来源呢？假如攻击来自某个IP地址，那么我们该如何处理虚假流量呢？

2、D?DoS因此，需要运用不同的思维来理解：拒绝服务（DoS）（正如STRIDE模型的一样）：软件中存在的弱点（比如像Ping of Death的空指针解引用。）分布式拒绝服务（DDoS）：消耗计算资源。风险管理STRIDE和其他威胁模型的基本思想是风险评估、建模以及管理。可能性/影响矩阵图轻微影响可能性极低不太可能中度影响可能非常可能轻度影响中度影响重大影响严重影响可能性/影响矩阵图轻微影响可能性极低不太可能中度影响可能非常可能轻度影响中度影响重大影响严重影响2018年分布式拒绝服务（DDoS）攻击 影响：严重影响 可能性：？风险管理攻击者的动机寻求快乐！敲诈勒索自我炫耀政治目的报复市场竞争转

3、移注意力（比如窃取信息时）防止他人访问不利于自己的信息。很难评估和控制大致可预测！网络资源耗竭 现在，计算机网络由多层构成。当至少一个网络层级停止提供服务后，用户将无法接收到相关网络资源。因此，不同网络层级受到影响将形成不同的DDoS攻击：L2L3普通带宽消耗L4 L5 L6L7应用特有的瓶颈问题超负荷使用TCP/TLS的边缘案例攻击案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等（简单了解即可）基础设施层攻击典型放大攻击 多台服务器通过互联网向客户发送的数据比接收到的多。UDP服务通常不会检查源IP地址。这种漏洞给了DDoS放大攻击可乘之机。攻击者受害者来源（Src）

4、：受害者（受到欺骗）目的（Dst）：放大攻击“ANY?com.”1Gbps来源（Src）：放大攻击目的（Dst）：受害者“com.NS i.gtld-.”29Gbps脆弱的协议 长长的协议清单 大多数协议早已过时 诸如游戏协议类的当前协议包括：网络时间协议（NTP）DNS协议 简单网络管理协议（SNMP）简单服务发现协议（SSDP）互联网控制消息协议(ICMP)网路基本输入输出系统协议（NetBIOS）RIPv1 PORTMAP协议 字符发生器协议（CHARGEN）雷神之锤协议（Quake）Steam协议 Memcached协议 脆弱的服务器 大多数过时的服务器最终会被更新 替换 或遭到淘汰。

5、因此放大器的数量呈稳定的下降趋势。然而，时不时会出现新的脆弱协议。放大器总数放大器总数累积放大的可能性累积放大的可能性源地址所有权的证明例如，基于UDP的低时延的互联网传输层协议（QUIC）（由国际互联网工程任务组设计的传输层协议）：初次握手包有1280字节 源地址验证其他UDP协议必须执行类似的过程。L2-L3 攻击缓解在受害者看来：Anycast网络检验到位 进行清单管理，清除来路不明的通信服务器（比如UDP服务连接HTTP服务器）限速控制不太重要的网络流量 挑战和握手（稍后会详细介绍）在互联网服务供应商（ISP）看来：抵抗典型攻击的简单启发法 远程触发黑洞技术（让客户自行解决问题。）攻击

6、案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等（简单了解即可）基础设施层攻击攻击案例L2-L3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等（简单了解即可）基础设施层攻击L4-L6SYN洪水攻击、TCP连接攻击、Sockstress攻击等。TLS攻击攻击案例L2-3 容量耗尽攻击：UDP洪水攻击、SYN洪水攻击、放大攻击等（简单了解即可）基础设施层攻击L4-6SYN洪水攻击、TCP连接攻击、Sockstress攻击等。TLS攻击一次攻击可以同时影响多个网络层级。联合攻击 比如，NTP放大攻击和SYN洪水攻击同时进行。联合攻击的目的在于转移负责人的注意力，防