Your SlideShare is downloading. ×
0
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
网络攻击与防御-tseek
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

网络攻击与防御-tseek

1,222

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,222
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 网络攻击与防御没有硝烟的战场 <br /> Blog: http://xiaoxilin.com/<br />tseek<br />
  • 2. 网络世界不太平<br />2<br />
  • 3. 现状<br />3<br />目前比较普遍的攻击类型主要是两种:<br />Syn flood<br />CC<br />特别需要关注的:<br />Dns query flood<br />
  • 4. TCP三次握手<br />4<br />Connect()<br />Listen()<br />Send syn<br />SEQ=x<br />syn sent<br />Receive SYN<br />SEQ=x<br />SYN_RECEIVE<br />Send syn<br />SEQ=y ACK=X+1<br />Receive syn<br />Seq=y ACK=x+1<br />Send ACK<br />ESTABLISH<br />Receive ACK<br />ACK=y+1 <br />ESTABLISH<br />
  • 5. TCP/IP 协议栈<br />5<br />Linux 能处理的最大TCP半连接数有限制<br />一旦接收到Client发来的syn报文,就需要为该请求分配一个TCB(Transmission Control Block)<br />在放弃一个连接前,内核会尝试 syn+ack多次<br />
  • 6. Syn cookie<br />6<br />SYN-Cookie技术由于在连接建立过程中不需要在服务器端保存任何信息,不需要提前分配系统资源,实现了无状态的三次握手。<br />
  • 7. Syn cookie的实现<br />7<br />服务器收到一个SYN包后,计算一个消息摘要mac(a,k)<br />生成cookie, cookie = mac(0:24), 取mac值的第0到24比特位;<br />设置将要返回的SYN+ACK报文的初始序列号,设置过程如下:高24位用cookie代替;<br />
  • 8. Syn proxy<br />8<br />SYN Proxy则是防火墙设备在客户端和服务端中间作为一个中间人存在,将传统的TCP三次握手变成六次握手,转移中间的ACK等待,SYN状态维护等压力<br />
  • 9. 增大队列长度<br />9<br />net.ipv4.tcp_max_syn_backlog<br />net.core.somaxconn<br />net.ipv4.tcp_syncookies <br />net.ipv4.tcp_synack_retries<br />
  • 10. 增大网络缓冲区大小<br />10<br />net.core.rmem_default<br />net.core.wmem_default<br />net.core.rmem_max<br />net.core.wmem_max<br />可以缓解,但不能解决<br />
  • 11. 试验对比<br />11<br />相同配置的虚拟机<br />相同配置的Apache<br />相同的攻击强度<br />一台的参数经过调整,另一台使用默认值<br />
  • 12. 一大拨僵尸来了怎么办?<br />12<br />
  • 13. 流量检测<br />13<br />Cisco Anomaly Guard Module<br />Cisco Traffic Anomaly Detector Module<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 14. 发现攻击<br />14<br />Cisco Anomaly Guard Module<br />Cisco Traffic Anomaly Detector Module<br />1. Detect<br />Target<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 15. 启用Guard<br />15<br />Cisco Anomaly Guard Module<br />2. Activate: Auto/Manual<br />Cisco Traffic Anomaly Detector Module<br />1. Detect<br />Target<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 16. 宣告路由<br />16<br />Route update:<br />RHI internal, or BGP/other external <br />3. Divert only <br />target’s traffic<br />Cisco Anomaly Guard Module<br />2. Activate: Auto/Manual<br />Cisco Traffic Anomaly Detector Module<br />1. Detect<br />Target<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 17. 流量牵引<br />17<br />4. Identify and filter malicious traffic<br />3. Divert only <br />target’s traffic<br />Traffic Destined <br />to the Target<br />Cisco Anomaly Guard Module<br />2. Activate: Auto/Manual<br />Cisco Traffic Anomaly Detector Module<br />1. Detect<br />Target<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 18. 清洗并回注<br />18<br />4. Identify and filter malicious traffic<br />3. Divert only <br />target’s traffic<br />Traffic Destined <br />to the Target<br />Cisco Anomaly Guard Module<br />Legitimate <br />Traffic to <br />Target<br />2. Activate: Auto/Manual<br />Cisco Traffic Anomaly Detector Module<br />1. Detect<br />Target<br />5. Forward legitimate traffic<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 19. 不影响其他应用<br />19<br />4. Identify and filter malicious traffic<br />3. Divert only <br />target’s traffic<br />Traffic Destined <br />to the Target<br />Cisco Anomaly Guard Module<br />6. Non-targeted traffic flowsfreely<br />Legitimate <br />Traffic to<br />Target<br />2. Activate: Auto/Manual<br />Cisco Traffic Anomaly Detector Module<br />1. Detect<br />Target<br />5. Forward legitimate traffic<br />Protected Zone 1: Web<br />Protected Zone 2: Name Servers <br />Protected Zone 3: E-Commerce Application <br />
  • 20. Guard对syn flood防御原理<br />syn(isn#)<br />stateless<br />part<br />State created<br />only for <br />authenticated <br />connections<br />synack(cky#,isn#+1) WS=0<br />ack(cky#+1)<br />syn(isn#)<br />synack(isn’#,isn#+1)<br />ack(isn#+1) WS&lt;&gt;0<br />ack(isn’#+1)<br />Sequence #<br />adaptation<br />Source<br />Guard<br />Target<br />
  • 21. Syn flood的防御方法<br />21<br />如攻击针对IP,可修改DNS解析<br />Guard做流量清洗<br />调整系统参数<br />增加服务器硬抗<br />
  • 22. Guard对Dns flood防御原理<br />22<br />Antispoofing only when under attack<br /><ul><li>Authenticate source on initial query
  • 23. Subsequent queries verified</li></ul>Ab.com rqst UDP/53<br />Ab.com reply TC=1<br />syn<br />synack<br />ack<br />Ab.com rqst UDP/53<br />Ab.com rqst TCP/53<br />Reply<br />Authenticated IP<br />Reply<br />Repeated IP - UDP<br />Target<br />Guard<br />Client<br />
  • 24. 什么是CC攻击<br />23<br />传统的syn flood针对的是协议的弱点,而CC针对的则是针对应用层的弱点,或者说是瓶颈来造成拒绝服务。<br />
  • 25. 易遭攻击的应用<br />24<br />数据库性能不佳。查询时间跨度大、跨多个表等。<br />处理逻辑上性能最差的点。<br />能获取经济利益。<br />能造成重大影响<br />
  • 26. 攻击手法<br />25<br />利用傀儡机,IP通常分散<br />将攻击目标的URL嵌入到访问量大的站点的HTML标签中<br />
  • 27. 防御方法<br />26<br />mod-evasive<br />网络版mod-evasive<br />应用程序正确的逻辑和良好的设计<br />
  • 28. 针对web server缺陷的攻击<br />27<br />当客户端与apache建立连接但没有发送数据,apache将等待300s。<br />这种名为“slowloris”的攻击就是利用apache这个特性消耗apache的连接数,当连接数达到上限时,新的请求将无法响应。<br />Apache拒绝修复<br />
  • 29. 影响范围<br />28<br />Apache 1.x/2.x, Squid…<br />
  • 30. Slow Header<br />29<br />不发送最后一个红色的CRLF<br />GET / HTTP/1.1 CRLF<br />Host: www.example.com CRLF<br />User-Agent: Mozilla/4.0 (….) CRLF<br />Content-Length: 42 CRLF<br />CRLF<br />
  • 31. Slow Request Body<br />30<br />客户端发送完request_header后,缓慢发送<br />request body(即post数据),如1个字符/100s。<br />
  • 32. 如何检测<br />31<br />Apache log 没有任何特征。很难被发现,特别是混杂在正常的http连接中。<br />
  • 33. 如何防御<br />32<br />调整调整Timeout, KeepAliveTimeOut, MaxClients<br />Apache 2.2.15 后新增mod- reqtimeout。可以修改Request header &amp; body 的timeout时间<br />Mod_security探测mod- reqtimeout产生的408状态码。但目前Apache 2.3.x 版本才会在log中输出408状态码.<br />
  • 34. 如何检测<br />33<br />直接在主机上抓包分析检测<br />安装方便。yum install attack-detector<br />能够检测syn flood, cc , slowloris<br />
  • 35. 混合攻击检测试验<br />34<br />同时发起多种攻击<br />使用attack-detector检测<br />
  • 36. 针对软件漏洞的拒绝服务攻击<br />35<br />导致用户可以远程执行命令<br />导致程序Crash<br />导致程序Hung up<br />导致系统资源被大量消耗cpu,mem……)<br />上述问题都可以导致拒绝服务(DOS)<br />
  • 37. JDK Remote Denial Of Service<br />36<br />
  • 38. 网络攻击的趋势<br />37<br />BotNets越来越多,越来越大。攻击工具功能更强大,攻击速度更快,更隐蔽。<br />
  • 39. 网络攻击的趋势<br />38<br />网络攻击需要的流量和PPS越来越小,攻击成本降低。<br />网络攻击的技术含量提升。但Flood类型的攻击在今后一段时间内还会大量存在。<br />与web相关的拒绝服务漏洞层出不穷。<br />
  • 40. TODO<br />39<br />攻击防御中心 汇总所有异常<br />全网数据包监测 确认攻击类型<br />流量清洗中心 确保清洗效果<br />更快的响应速度!<br />更好的防御效果!<br />
  • 41. 谢谢<br />40<br />Q &amp; A<br />

×