DDOS攻防與追蹤

1、XFOCUS.ORGFREE IS ALL !1DDOS攻防與追蹤Refdom12/21/2002XFOCUS.ORGFREE IS ALL !2內(nèi)容介紹 DDOS攻擊 DDOS防御技術 數(shù)據(jù)包特征識別技術研究 源追蹤（Traceback）技術 DDOS監(jiān)控技術XFOCUS.ORGFREE IS ALL !3一、DDOS攻擊現(xiàn)狀與趨勢 大分布型的高強度攻擊 產(chǎn)生隨機源IP地址 數(shù)據(jù)包結(jié)構(gòu)位的隨機性 協(xié)議缺陷與系統(tǒng)處理缺陷 使用多種協(xié)議及多種形式XFOCUS.ORGFREE IS ALL !4加強DDOS的強度 混合的攻擊 例：例：Syn-cookie等防御在CPU消耗方面： Syn包在Cook

2、ie表中的檢查 查詢ACK標志包對應的Cookie表SYN 、ACK flood； 對Syn-cookie的探測XFOCUS.ORGFREE IS ALL !5加強DDOS的強度 提高發(fā)包速率，減小checksum的計算量； 攻擊包預產(chǎn)生法CreatPacket()LinkListLoadPacket()Send()XFOCUS.ORGFREE IS ALL !6加強DDOS的強度 無指紋可識別；ipheader.id = SYSIdent.id + random;ipheader.ttl = SYSIdent. TTL + random(10);tcpheader.th_win = SYSI

3、dent.window;tcpheader.seq != random();tcpheader.sport != rand(65535);XFOCUS.ORGFREE IS ALL !7二、防御方法現(xiàn)狀 數(shù)據(jù)包過濾（包括特征分析） 隨機丟包 SYN-Cookie, SYN-Cache等 被動消極忽略 主動發(fā)送RST 其他方法（動態(tài)DNS等） 拔網(wǎng)線 XFOCUS.ORGFREE IS ALL !8抗拒絕服務設計 簡單結(jié)構(gòu)（Syn-Cookie）哈希表Intel網(wǎng)卡Net抗拒絕服務部分受保護部分DMAXFOCUS.ORGFREE IS ALL !9Syn Cookies Kernel/ driv

4、ers/ char/ random.c Cookie:MD5(sec1,saddr,sport,daddr,dport,sec1)+ their sequence number + (count * 224)+ MD5(sec2,saddr,sport,daddr,dport,count,sec2) % 224) Where count increases every minute by 1. XFOCUS.ORGFREE IS ALL !10IDS對SYN Flood的檢測 現(xiàn)在的基于SYNs + TIME的特征； 真的沒有問題么？ 正常SYN的高流量問題 調(diào)整TIME問題 RSTs + T

5、IME是解決辦法么？XFOCUS.ORGFREE IS ALL !11路由器上的防御 Access-list 訪問控制列表 access-list 101 deny ip 55 any Rate-limit 流量限制(bps) rate-limit output 512000 56000 64000 conform-action transmit exceed-action drop 請參考相關資料XFOCUS.ORGFREE IS ALL !12路由器的Intercept模式 開啟該功能：ip tcp intercept list access-li

6、st-number Watch和intercept（默認）模式。 設置模式命令：ip tcp intercept mode intercept | watch XFOCUS.ORGFREE IS ALL !13路由器的Intercept模式 Watch模式下，路由器允許SYN直接達到服務器。如果該會話在30秒（默認）內(nèi)沒有建立，就向服務器發(fā)送RST清除該連接。 Intercept模式下，TCP連接請求達到目標主機之前，路由器攔截所有TCP請求，并代表服務器建立客戶機的連接，并代表客戶機建立與服務器的連接，當兩個連接都成功實現(xiàn)，路由器就將兩個連接進行透明的合并。 XFOCUS.ORGFREE I

7、S ALL !14三、基礎的數(shù)據(jù)包特征分析 從攻擊代碼中獲得數(shù)據(jù)包的固定值，包括window、sourceport、seq或id等，比如mstream：win= htons(16384)；teardrop：id=htons(242) Land攻擊的源IP與目的IP一樣； Ping of Death分片ICMP包，重組的包大于65535，通常為65538； XFOCUS.ORGFREE IS ALL !15目前的特征分析缺陷 局限于對某種特定攻擊或者工具； 太依賴于攻擊程序中的固定值； 對于隨機數(shù)則無法特征化； 無法普遍標識攻擊流；XFOCUS.ORGFREE IS ALL !16v 基于統(tǒng)計的

8、特征分析 Statistic-Based Fingerprint Identification Inside XFocuss DDOS Research Project 用某種Hash標志數(shù)據(jù)包。對正常的數(shù)據(jù)流量進行記錄統(tǒng)計，得出正常的特征A，這些特征以數(shù)據(jù)包數(shù)量間關系的分布。在攻擊發(fā)起的一段時間內(nèi)，再次統(tǒng)計得到一個新的流量特征B 從分布曲線對比，獲得B在A上的突變特征C； 通過將具有突變特征C的數(shù)據(jù)過濾，來減少攻擊的損失，盡可能地保證最大化的正常訪問。 XFOCUS.ORGFREE IS ALL !17基于的假設 攻擊發(fā)起的數(shù)據(jù)包與統(tǒng)計沒有關系 攻擊發(fā)起的包程序化 攻擊者發(fā)送足夠多的數(shù)據(jù)包

9、攻擊沒有造成網(wǎng)絡通路上的堵塞 XFOCUS.ORGFREE IS ALL !18突變特征的產(chǎn)生XFOCUS.ORGFREE IS ALL !19對于TTL值的分析 系統(tǒng)默認的TTL值為255、128、64、32。 通常的路由Hop為10-20 正常的TTL范圍：235245、108 118、44 54、12 22XFOCUS.ORGFREE IS ALL !20對TTL值的分析 TFN3K的TTL算法：ih-ttl = getrandom (200, 255)TTL的范圍為： （MAX）180245；（MIN）190235 通過TTL值即可過濾最大84.6%的攻擊包XFOCUS.ORGFREE

10、 IS ALL !21對TTL值的分析 Mstream的TTL計算方法： packet.ip.ip_ttl = 255； 單一的TTL值255意味著TTL的統(tǒng)計分析能出現(xiàn)突變，對定位攻擊源的位置也有一定幫助。 XFOCUS.ORGFREE IS ALL !22難度與缺陷 統(tǒng)計分布分析花銷問題 只能盡可能地弱化攻擊 將影響一部分正常數(shù)據(jù)包 不可特征化問題 過濾操作問題 XFOCUS.ORGFREE IS ALL !23仍進行中的研究 用SEQ序號分析 Hash函數(shù)研究 XFOCUS.ORGFREE IS ALL !24四、源追蹤 Traceback Traceback簡介 Link Tesing

11、 Controlled Flooding ICMP Message Marking Packet TracebackXFOCUS.ORGFREE IS ALL !25Traceback簡介 目的 杜絕攻擊數(shù)據(jù)包的源頭 攻擊取證與誘捕 難度 隨機偽造IP地址 源頭只是傀儡 目前協(xié)議和硬件的局限 路徑重構(gòu)的花銷XFOCUS.ORGFREE IS ALL !26Link Testing Hop-By-Hop 利用Cisco路由器 實例介紹 Cisco的IP Source TrackerXFOCUS.ORGFREE IS ALL !27Controlled Flooding 實際上就是制造flood攻

12、擊，通過觀察路由器的狀態(tài)來判斷攻擊路徑。首先應該有一張上游的路徑圖，當受到攻擊的時候，可以從victim的上級路由器開始依照路徑圖對上游的路由器進行控制的flood，因為這些數(shù)據(jù)包同攻擊者發(fā)起的數(shù)據(jù)包同時共享了路由器，因此增加了路由器丟包的可能性。通過這種沿路徑圖不斷向上進行，就能夠接近攻擊發(fā)起的源頭。XFOCUS.ORGFREE IS ALL !28Itrace Working Group(IETF) 目前進度為：draft-ietf-itrace-02-ICMP Traceback Messages.txt 路由器以一定概率發(fā)送ICMP Traceback消息。 ICMP Tracebac

13、k Messages重構(gòu)攻擊路徑XFOCUS.ORGFREE IS ALL !29ICMP Traceback的缺陷 在1/20000概率下增加0.1%的包 ICMP包很可能被過濾掉 一些路由器沒有input debugging功能 偽造ICMP Traceback問題 路由器的貧窮與富裕問題XFOCUS.ORGFREE IS ALL !30Packet Marking Traceback Node Append Node Sampling Edge Sampling Compressed edge fragment sampling XFOCUS.ORGFREE IS ALL !31附加節(jié)點

14、算法 (Node Append) 把每一個節(jié)點地址附加在數(shù)據(jù)包的末尾，表明這是從哪里傳入的。 缺點： 對于高速路由器來說將增加負擔 可能導致不必要的分片，或者因為MTU而破壞 協(xié)議中保留空間可能導致攻擊者偽造內(nèi)容XFOCUS.ORGFREE IS ALL !32節(jié)點取樣算法 (Node Sampling) 在路徑中的一個節(jié)點取樣，讓一個樣本來代替整個路徑。 當接收到一個數(shù)據(jù)包，每個路由器就以概率p，選擇性地將地址寫到節(jié)點地址區(qū)間內(nèi)。 Victim通過一系列樣本重構(gòu)攻擊路徑XFOCUS.ORGFREE IS ALL !33節(jié)點取樣算法 (Node Sampling) 可以通過每個節(jié)點的相關數(shù)推理

15、得到路徑次序。 由于路由器被成序列地安排在一起，而且數(shù)據(jù)包被路由器標記的概率有一個概率基數(shù)，那么距離victim越近的路由器被標記的概率就會越小。 每個路由器的概率基數(shù)是p那么，經(jīng)過d級路由標記的概率就是p(1-p)d-1XFOCUS.ORGFREE IS ALL !34節(jié)點取樣算法 (Node Sampling) 算法：Marking procedure at router R: for each packet w let x be a random number from 0.1) if xp then, write R into w.nodeXFOCUS.ORGFREE IS ALL !

16、35節(jié)點取樣算法 (Node Sampling)Path reconstruction procedure at vitim v: let NodeTbl be a table of tuples(node,count) for each packet w from attacker z:= lookup w.node in NodeTbl if z!= NULL then increment z.count else insert tuple(w.node,1) in NodeTbl sort NodeTbl by count extract pacth(Ri.Rj) from ordere

17、d node fileds in NodeTblXFOCUS.ORGFREE IS ALL !36節(jié)點取樣算法 (Node Sampling) 缺陷 改變IP頭，并添加32 bits的節(jié)點空間 需要重新計算checksum 從有用的的取樣中推理得出整個路由是一個相當慢的過程，如果d=15, p=0.51，那么接收方至少需要接收到42000個數(shù)據(jù)包才可得到一個標記取樣。要確保正確率在95%以上，那么，還需要是這個數(shù)字的7倍。 完全不適合分布式攻擊XFOCUS.ORGFREE IS ALL !37邊緣取樣(Edge Sampling) 在數(shù)據(jù)包中保留兩個地址空間，用來標記路由開始點(start)和

18、終止點(end)，并且用一個區(qū)間來表示距離(distance)，用它來表示一個樣本到victim的距離。 當一個路由器決定標記數(shù)據(jù)包的時候，它把自己的地址填充到start，把distance域填0。如果distance域已經(jīng)是0了，就表示這個數(shù)據(jù)包已經(jīng)被前一個路由器標記過。在這種情況下，路由器就把自己的地址填入end域。如果路由器不標記數(shù)據(jù)包，那么就始終在distance域中加1。XFOCUS.ORGFREE IS ALL !38邊緣取樣(Edge Sampling) 算法：Marking procedure at router R:For each packet w let x be a r

19、andom number from 0,1 if xp then write R into w.start and 0 into w.distance else if w.distance = 0 then write R into w.end increment w.distanceXFOCUS.ORGFREE IS ALL !39邊緣取樣(Edge Sampling) Path reconstruction procedure at vitim v: Let G be a tree with root v let edges in G be tuples(start,end,distanc

20、e) for each packet w from attacker if w.distance=0 then insert edge(w.start,v,0) into G else insert edge(w.start,w.end,w.distance) into G remove any edge(x,y,d) with d!=distance from x to v in G extract path(Ri,.Rj) by enumerating acyclie paths in GXFOCUS.ORGFREE IS ALL !40邊緣取樣(Edge Sampling) 上面的算法表

21、示邊緣取樣回溯IP過程。因為接收樣本的可能性是與它同Victim的距離成幾何遞減的，對于一個有d級遠的路由器來說，期望值就是 1/p(1-p)(d-1) 要求從Victim能重新構(gòu)建d深度路徑的數(shù)據(jù)包數(shù)X，表達式是：E(x) ln(d)/p(1-p)(d-1) （Ln(d)為影響因數(shù)）XFOCUS.ORGFREE IS ALL !41邊緣取樣(Edge Sampling) 缺陷 在邊緣取樣算法中每個IP包需要多72bit空間； 在包后面附加額外的數(shù)據(jù)花費昂貴，并且不一定有足夠的空間來附加這些數(shù)據(jù)；XFOCUS.ORGFREE IS ALL !42Compressed edge fragment sampling 建立在重載16位的IP identification域的編碼方式； 通過標記邊緣的兩個IP地址進行XOR運算，可以只需要一半的空間； 將每個邊界標記再進行細分成；XFOCUS.ORGFREE IS ALL !43對IP地址進行XOR運算XFOCUS.ORGFREE IS ALL !44將邊界標記細分XFOCUS.ORGFREE IS ALL !45邊界標記的重組判斷XFOCUS.ORGFREE IS ALL !46重載IP頭的identification域 當前統(tǒng)計表明只有0.25%被分片； 重載IP頭部的identification域； 3bit的offset