Your SlideShare is downloading. ×
网络攻击与防御-tseek
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

网络攻击与防御-tseek

1,208
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,208
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 网络攻击与防御没有硝烟的战场
    Blog: http://xiaoxilin.com/
    tseek
  • 2. 网络世界不太平
    2
  • 3. 现状
    3
    目前比较普遍的攻击类型主要是两种:
    Syn flood
    CC
    特别需要关注的:
    Dns query flood
  • 4. TCP三次握手
    4
    Connect()
    Listen()
    Send syn
    SEQ=x
    syn sent
    Receive SYN
    SEQ=x
    SYN_RECEIVE
    Send syn
    SEQ=y ACK=X+1
    Receive syn
    Seq=y ACK=x+1
    Send ACK
    ESTABLISH
    Receive ACK
    ACK=y+1
    ESTABLISH
  • 5. TCP/IP 协议栈
    5
    Linux 能处理的最大TCP半连接数有限制
    一旦接收到Client发来的syn报文,就需要为该请求分配一个TCB(Transmission Control Block)
    在放弃一个连接前,内核会尝试 syn+ack多次
  • 6. Syn cookie
    6
    SYN-Cookie技术由于在连接建立过程中不需要在服务器端保存任何信息,不需要提前分配系统资源,实现了无状态的三次握手。
  • 7. Syn cookie的实现
    7
    服务器收到一个SYN包后,计算一个消息摘要mac(a,k)
    生成cookie, cookie = mac(0:24), 取mac值的第0到24比特位;
    设置将要返回的SYN+ACK报文的初始序列号,设置过程如下:高24位用cookie代替;
  • 8. Syn proxy
    8
    SYN Proxy则是防火墙设备在客户端和服务端中间作为一个中间人存在,将传统的TCP三次握手变成六次握手,转移中间的ACK等待,SYN状态维护等压力
  • 9. 增大队列长度
    9
    net.ipv4.tcp_max_syn_backlog
    net.core.somaxconn
    net.ipv4.tcp_syncookies
    net.ipv4.tcp_synack_retries
  • 10. 增大网络缓冲区大小
    10
    net.core.rmem_default
    net.core.wmem_default
    net.core.rmem_max
    net.core.wmem_max
    可以缓解,但不能解决
  • 11. 试验对比
    11
    相同配置的虚拟机
    相同配置的Apache
    相同的攻击强度
    一台的参数经过调整,另一台使用默认值
  • 12. 一大拨僵尸来了怎么办?
    12
  • 13. 流量检测
    13
    Cisco Anomaly Guard Module
    Cisco Traffic Anomaly Detector Module
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 14. 发现攻击
    14
    Cisco Anomaly Guard Module
    Cisco Traffic Anomaly Detector Module
    1. Detect
    Target
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 15. 启用Guard
    15
    Cisco Anomaly Guard Module
    2. Activate: Auto/Manual
    Cisco Traffic Anomaly Detector Module
    1. Detect
    Target
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 16. 宣告路由
    16
    Route update:
    RHI internal, or BGP/other external
    3. Divert only
    target’s traffic
    Cisco Anomaly Guard Module
    2. Activate: Auto/Manual
    Cisco Traffic Anomaly Detector Module
    1. Detect
    Target
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 17. 流量牵引
    17
    4. Identify and filter malicious traffic
    3. Divert only
    target’s traffic
    Traffic Destined
    to the Target
    Cisco Anomaly Guard Module
    2. Activate: Auto/Manual
    Cisco Traffic Anomaly Detector Module
    1. Detect
    Target
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 18. 清洗并回注
    18
    4. Identify and filter malicious traffic
    3. Divert only
    target’s traffic
    Traffic Destined
    to the Target
    Cisco Anomaly Guard Module
    Legitimate
    Traffic to
    Target
    2. Activate: Auto/Manual
    Cisco Traffic Anomaly Detector Module
    1. Detect
    Target
    5. Forward legitimate traffic
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 19. 不影响其他应用
    19
    4. Identify and filter malicious traffic
    3. Divert only
    target’s traffic
    Traffic Destined
    to the Target
    Cisco Anomaly Guard Module
    6. Non-targeted traffic flowsfreely
    Legitimate
    Traffic to
    Target
    2. Activate: Auto/Manual
    Cisco Traffic Anomaly Detector Module
    1. Detect
    Target
    5. Forward legitimate traffic
    Protected Zone 1: Web
    Protected Zone 2: Name Servers
    Protected Zone 3: E-Commerce Application
  • 20. Guard对syn flood防御原理
    syn(isn#)
    stateless
    part
    State created
    only for
    authenticated
    connections
    synack(cky#,isn#+1) WS=0
    ack(cky#+1)
    syn(isn#)
    synack(isn’#,isn#+1)
    ack(isn#+1) WS<>0
    ack(isn’#+1)
    Sequence #
    adaptation
    Source
    Guard
    Target
  • 21. Syn flood的防御方法
    21
    如攻击针对IP,可修改DNS解析
    Guard做流量清洗
    调整系统参数
    增加服务器硬抗
  • 22. Guard对Dns flood防御原理
    22
    Antispoofing only when under attack
    • Authenticate source on initial query
    • 23. Subsequent queries verified
    Ab.com rqst UDP/53
    Ab.com reply TC=1
    syn
    synack
    ack
    Ab.com rqst UDP/53
    Ab.com rqst TCP/53
    Reply
    Authenticated IP
    Reply
    Repeated IP - UDP
    Target
    Guard
    Client
  • 24. 什么是CC攻击
    23
    传统的syn flood针对的是协议的弱点,而CC针对的则是针对应用层的弱点,或者说是瓶颈来造成拒绝服务。
  • 25. 易遭攻击的应用
    24
    数据库性能不佳。查询时间跨度大、跨多个表等。
    处理逻辑上性能最差的点。
    能获取经济利益。
    能造成重大影响
  • 26. 攻击手法
    25
    利用傀儡机,IP通常分散
    将攻击目标的URL嵌入到访问量大的站点的HTML标签中
  • 27. 防御方法
    26
    mod-evasive
    网络版mod-evasive
    应用程序正确的逻辑和良好的设计
  • 28. 针对web server缺陷的攻击
    27
    当客户端与apache建立连接但没有发送数据,apache将等待300s。
    这种名为“slowloris”的攻击就是利用apache这个特性消耗apache的连接数,当连接数达到上限时,新的请求将无法响应。
    Apache拒绝修复
  • 29. 影响范围
    28
    Apache 1.x/2.x, Squid…
  • 30. Slow Header
    29
    不发送最后一个红色的CRLF
    GET / HTTP/1.1 CRLF
    Host: www.example.com CRLF
    User-Agent: Mozilla/4.0 (….) CRLF
    Content-Length: 42 CRLF
    CRLF
  • 31. Slow Request Body
    30
    客户端发送完request_header后,缓慢发送
    request body(即post数据),如1个字符/100s。
  • 32. 如何检测
    31
    Apache log 没有任何特征。很难被发现,特别是混杂在正常的http连接中。
  • 33. 如何防御
    32
    调整调整Timeout, KeepAliveTimeOut, MaxClients
    Apache 2.2.15 后新增mod- reqtimeout。可以修改Request header & body 的timeout时间
    Mod_security探测mod- reqtimeout产生的408状态码。但目前Apache 2.3.x 版本才会在log中输出408状态码.
  • 34. 如何检测
    33
    直接在主机上抓包分析检测
    安装方便。yum install attack-detector
    能够检测syn flood, cc , slowloris
  • 35. 混合攻击检测试验
    34
    同时发起多种攻击
    使用attack-detector检测
  • 36. 针对软件漏洞的拒绝服务攻击
    35
    导致用户可以远程执行命令
    导致程序Crash
    导致程序Hung up
    导致系统资源被大量消耗cpu,mem……)
    上述问题都可以导致拒绝服务(DOS)
  • 37. JDK Remote Denial Of Service
    36
  • 38. 网络攻击的趋势
    37
    BotNets越来越多,越来越大。攻击工具功能更强大,攻击速度更快,更隐蔽。
  • 39. 网络攻击的趋势
    38
    网络攻击需要的流量和PPS越来越小,攻击成本降低。
    网络攻击的技术含量提升。但Flood类型的攻击在今后一段时间内还会大量存在。
    与web相关的拒绝服务漏洞层出不穷。
  • 40. TODO
    39
    攻击防御中心 汇总所有异常
    全网数据包监测 确认攻击类型
    流量清洗中心 确保清洗效果
    更快的响应速度!
    更好的防御效果!
  • 41. 谢谢
    40
    Q & A