目录第一部分 DDOS 简介...4 第二部分 DDOS 攻击的类型...5 基于网络的 DDOS 攻击 SYN/ACK Flood 攻击 TCP 全连接攻击...5 基于应用的 DDOS 攻击 WEB Server 多连接攻击 WEB Server

Size: px

Start display at page:

Download "目录第一部分 DDOS 简介...4 第二部分 DDOS 攻击的类型...5 基于网络的 DDOS 攻击 SYN/ACK Flood 攻击 TCP 全连接攻击...5 基于应用的 DDOS 攻击 WEB Server 多连接攻击 WEB Server"

稻时
5 years ago
Views:

1 数据中心如何应对 DDOS 攻击的挑战 F5 Networks 刘勇

2 目录第一部分 DDOS 简介...4 第二部分 DDOS 攻击的类型...5 基于网络的 DDOS 攻击 SYN/ACK Flood 攻击 TCP 全连接攻击...5 基于应用的 DDOS 攻击 WEB Server 多连接攻击 WEB Server 变种攻击 - 资源消耗型...6 Keep Dead DOS 攻击 WEB Server 变种攻击 - 协议缺陷型...6 Http Slow Post 慢速 DOS 攻击...6 Http Slow Read 慢速 DOS 攻击...7 Slowloris 攻击...9 Apache Range header 攻击 SSL DDOS DNS Flood...11 第三部分 F5 的 DDOS 攻击防御之道...12 F5 产品的架构简述 Full proxy 架构 CMP 和机架式硬件...13 F5 如何帮助数据中心应对 DDOS 攻击 SYN/ACK Flood 攻击的防护 TCP 全连接攻击的防护 WEB Server 多连接攻击的防护 WEB Server 变种攻击 - 资源消耗型的防护...17 Keep Dead DOS 攻击的防护 WEB Server 变种攻击 - 协议缺陷型的防护...18 Slow POST 攻击的防护...18

3 Slow Read DOS 攻击防护...19 Slowloris 攻击防护...19 Apache Range header 攻击防护 SSL DDOS 攻击的防护 SSL+HTTP 协议缺陷性混合 DDOS 攻击的防护 DNS FLOOD 攻击的防护...23 第四部分典型案例分析...25 某知名物流企业...25 国外知名第三方支付企业...26 某电信运营商网上营业厅...28

4 第一部分 DDOS 简介 DDOS 全名是 Distributed Denial of service ( 分布式拒绝服务 ), 即很多 DOS 攻击源一起攻击某台服务器就组成了 DDOS 攻击,DDOS 最早可追溯到 1996 年最初, 在中国 2002 年开始频繁出现,2003 年已经初具规模随着 Internet 互联网络带宽的增加和多种 DDOS 黑客工具的不断发布, 再加上网络充斥着大量的肉鸡 ( 通过在大流量网站的网页里注入病毒木马, 木马可以通过 windows 平台的漏洞感染浏览网站的人, 一旦中了木马, 这台计算机就会被后台操作的人控制, 这台计算机也就成了所谓的肉鸡 ), DDOS 拒绝服务攻击的实施越来越容易, 并且实施的成本也是越来越低,DDOS 攻击事件正在成上升趋势出于商业竞争打击报复和网络敲诈等多种因素, 导致很多 IDC 托管机房企业的数据中心等长期以来一直被 DDOS 攻击所困扰, 随之而来的是客户投诉同虚拟主机用户受牵连法律纠纷商业损失等一系列问题, 因此, 解决数据中心的 DDOS 攻击问题成为各个企业 CIO 必须考虑的问题下面是最近的一些典型的 DDOS 攻击事件 : 2011 年 3 月 3 日, 韩国电子商务网站及政府机构遭到 DDoS 攻击 ; 2011 年 3 月 4 日,Wordpress.com 遭受 DDoS 攻击, 业务受到严重扰乱 ; 2011 年 3 月 9 日,DDoS 攻击服务器托管提供商 Codero, 并破坏 Twitter 网站 ; 其中最为活跃的黑客团体为 LulzSec 和 Anonymous 他们组织了针对多个国家政府网站的 DDoS 攻击, 其中包括美国英国西班牙土耳其伊朗等通过攻击, 黑客使得这些网站暂时无法访问, 例如 cia.gov( 美国中央情报局 ) 和英国重大组织犯罪调查局 (SOCA)) 除此之外, 企业中索尼遭受了严重的 DDoS 攻击今年 3 月底, 索尼曾起诉多位黑客涉嫌破解其 PlayStation 3 平台固件为了抗议索尼对这些黑客进行法律起诉,Anonymous 黑客组织发动了大规模的 DDoS 攻击, 导致该公司的 PlayStationnetwork.com 网站一度无法访问但这只是冰山的一角, 索尼公司所称,DDoS 攻击过程中, 索尼的 PSN 服务服务器被攻破, 造成 7700 万用户数据被盗

5 第二部分 DDOS 攻击的类型总体上来看,DDOS 攻击可以分为两类, 一类是基于网络的 DDOS 攻击, 这种是早期 DDOS 攻击的主要形式 ; 一类是基于应用的 DDOS 攻击, 这种是目前流行的攻击方法, 其更容易实施且危害性更大基于网络的 DDOS 攻击 1.SYN/ACK Flood 攻击这种攻击方法是经典的 DDOS 方法, 可通杀各种系统的网络服务, 主要是通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包, 导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务, 由于源都是伪造的故追踪起来比较困难, 缺点是实施起来有一定难度, 需要高带宽的僵尸主机支持少量的这种攻击会导致主机服务器无法访问, 但却可以 Ping 的通, 在服务器上用 Netstat -na 命令会观察到存在大量的 SYN_RECEIVED 状态, 大量的这种攻击会导致 Ping 失败 TCP/IP 栈失效, 并会出现系统凝固现象, 即不响应键盘和鼠标 SYN 变种攻击 : 发送伪造源 IP 的 SYN 数据包, 但是数据包不是 64 字节而是上千字节, 这种攻击会造成一些防火墙处理错误锁死, 消耗服务器 CPU 内存的同时还会堵塞带宽 2.TCP 全连接攻击和 SYN 攻击不同, 它是用合法并完整的连接攻击对方,SYN 攻击采用的是半连接攻击方式, 而全连接攻击是完整的, 合法的请求, 防火墙一般都无法过滤掉这种攻击, 这种攻击在现在的 DDOS 软件中非常常见, 有 UDP 碎片还有 SYN 洪水, 甚至还有 TCP 洪水攻击, 这些攻击都是针对服务器的常见流量攻击 : :80 ESTABLISHED : :80 ESTABLISHED : :80 ESTABLISHED : :80 ESTABLISHED 通过这里可以看出这个 IP 对这台服务器的 80 端口发动 TCP 全连接攻击, 通过大量完整的 TCP 链接就有可能让服务器的 80 端口无法访问

6 基于应用的 DDOS 攻击 1.WEB Server 多连接攻击通过控制大量肉鸡同时连接访问网站, 造成网站瘫痪, 这种攻击和正常访问网站是一样的, 只是瞬间访问量增加几十倍甚至上百倍, 有些防火墙可以通过限制每个连接过来的 IP 连接数来防护, 但是这样会造成正常用户稍微多打开几次网站也会被封典型的攻击工具为低轨道加能炮 (LOIC) 2.WEB Server 变种攻击 - 资源消耗型通过控制大量肉鸡同时连接访问网站, 一旦连接建立就不断开, 一直发送一些的 GET 请求, 访问一些动态页面, 比如 update.asp,search.php 等, 使得服务器需要消耗大量的 CPU 资源来生成这些回应页面, 这样通过限制每个连接过来的 IP 连接数就失效了, 因为每个肉鸡可能只建立一个或者只建立少量的连接这种攻击对于普通的 DDOS 设备非常难防护, 后面给大家介绍 F5 独特的解决方案 Keep Dead DOS 攻击这种一种变种的资源消耗型的攻击, 传统的资源消耗型的攻击方法通过 GET 命令来进行,GET 命令的缺点在于它会等待服务器的回应, 会造成攻击者本身资源的消耗和带宽的占用, 使得攻击的效率大打折扣 HEAD 方法与 GET 方法几乎是一样的, 对于 HEAD 请求的回应部分来说, 它的 HTTP 头部中包含的信息与通过 GET 请求所得到的信息是相同的利用这个方法, 不必传输整个资源内容, 就可以得到 Request-URI 所标识的资源的信息那么现在攻击者可以用 HEAD 命令来达到跟 GET 命令在服务器端一模一样的执行效果而不需要传输服务器的回应, 这样能够大大的提高攻击的效率的危害性 3.WEB Server 变种攻击 - 协议缺陷型通过控制肉鸡同时连接网站端口, 利用 HTTP 协议的一些漏洞, 通过大量占据服务器端的连接数而不释放, 消耗服务器连接数, 从而达到攻击的目的 Http Slow Post 慢速 DOS 攻击这个攻击的基本原理如下 : 针对任意 HTTP Server, 建立一个连接, 指定一个比较大的 content-length, 然后以很低的速度发包, 比如 s 发一个字节,hold 住这个连接不断开如果客户端持续建立这样的连接, 那么服务器上可用的连接将很快被占满, 从而导致 DOS, 这种攻击不一定需要大量的肉机客户端也可以实施图示为一个 slow post 慢速攻击的抓包结果 :

7 这一攻击引的特点如下 : 1. 它主要是针对任意 apache,iis 不受该攻击的影响 2. 廉价在客户端以单线程方式建立较大数量的无用连接, 并保持持续发包的代价非常低廉实际试验中一台普通 PC 可以建立的 Socket 连接在 3000 个以上这对一台普通的 web server, 将是致命的打击更不用说结合肉鸡群做分布式 DOS 了其他常见的类似的攻击还有 slow http header 慢速攻击和 apache range header 慢速攻击, 都是通过协议的一些缺陷或者漏洞来消耗服务器端的连接数, 来进行 DOS 攻击 Http Slow Read 慢速 DOS 攻击原理 : 在建立正常的 TCP 的三次握手后, 攻击的客户端向 Web 服务器发送正常合法的 read 请求, 比如下载文件在文件下载时, 将 TCP 的 window size 设为 1 或者 2(TCP 的 window size 实际上就是 socket 的接收缓冲区大小的字节数 ), 这样服务器就会以非常缓慢的速度发送文件, 文件将长期滞留在服务器内存中, 造成服务器连接的占用和资源的消耗, 最后造成 DOS 攻击示例如下 : 13:37: IP attacker > victim.http: Flags [S], seq , win 28, options [mss 1460,nop,wscale 0,nop,nop,TS val ecr 0,sackOK,eol], length 0 13:37: IP victim.http > attacker.64939: Flags [S.], seq , ack , win 5792, options [mss 1460,sackOK,TS val ecr ,nop,wscale 6], length 0

8 13:37: IP attacker > victim.http: Flags [.], ack 1, win 28, options [nop,nop,ts val ecr ], length 0 13:37: IP attacker > victim.http: Flags [P.], seq 1:236, ack 1, win 28, length :37: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:37: IP victim.http > attacker.64939: Flags [P.], seq 1:29, ack 236, win 98, length 28 13:37: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:37: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:37: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:37: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:37: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:37: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:37: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:38: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:38: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:38: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:38: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:38: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:38: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:40: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:40: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:42: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:42: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:44: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:44: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:46: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:46: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:48: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0 13:48: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 13:50: IP victim.http > attacker.64939: Flags [.], ack 236, win 98, length 0

13:50:02.437010 IP attacker.64939 > victim.http: Flags [.

9 13:50: IP attacker > victim.http: Flags [.], ack 29, win 0, length 0 在这个范例中, 我们可以看到, 在初始的 syn 包中, 客户端宣称其 window size 为 28byte, ( 上面红色语句部分 ) 服务器把最初的 28byte 的数据发送给客户端, 然后服务器端会不停的询问客户端可用的 window size, 但是客户端根本不予回应, 连接就一直被占用, 并且一旦服务器收到请求并生成响应, 将数据发送到 Socket( 这是应该提供给最终用户 ), 然后这些数据会进入 socket 的发送缓存, 如果有大量的这种连接的话, 就会导致服务器被 DOS Slowloris 攻击 Slowloris 是一种基于应用层的 DDOS 攻击,( 对 apache 的 web 服务器,IIS 有 http header timeout 时间, 所以影响比较小 ) 其大致原理是, 攻击者先发送一个包 : GET / HTTP/1.1\r\n Host: host\r\n User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR l3;.NET CLR ;.NET CLR ; MSOffice 12)\r\n Content-Length: 42\r\n 结尾少了一个 \r\n, 按照 RFC 规定, 一个正常的 HTTP 请求是以 2 个 \r\n 结束, 所以 apache 等待, 攻击者再发一坨狗屎过去 : X-a: b\r\n Apache 一看啥都不是, 继续痴痴地等待攻击者可以多发送一些类似的组合, 直到 Apache 连接数耗尽

这个攻击的特点在于, 因为不需要太多流量, 就是一些 HTTP 头, 就可以造成大的危害另外 apache 组织认为这不是一个 BUG, 并且没有修复的计划 Apache Range header 攻击只需要一个请求数据包就能折腾服务器的一种攻击方式 HTTP 头字段 Range 用于文件分段下载迅雷,PDF 在线阅读都使用了这个功能这个字段也可以被用于 DOS 服务器攻击数据包如下

10 这个攻击的特点在于, 因为不需要太多流量, 就是一些 HTTP 头, 就可以造成大的危害另外 apache 组织认为这不是一个 BUG, 并且没有修复的计划 Apache Range header 攻击只需要一个请求数据包就能折腾服务器的一种攻击方式 HTTP 头字段 Range 用于文件分段下载迅雷,PDF 在线阅读都使用了这个功能这个字段也可以被用于 DOS 服务器攻击数据包如下 : HEAD /file.rmvb HTTP/1.1 Host: Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,,,,, Accept-Encoding: gzip Connection: close Web 服务器收到这个包是, 会将 file.rmvb 文件大量的小片段, 然后使用 gzip 加压下片段分片后加压过程会消耗服务器大量资源, 造成 DOS

11 4.SSL DDOS 德国黑客组织 The Hacker s Choice 发布了 THC SSL DOS, 利用 SSL 中的已知弱点, 迅速消耗服务器资源, 与传统 DDoS 工具不同的是, 它不需要任何带宽, 只需要一台执行单一攻击的电脑漏洞存在于协议的 renegotiation 过程中,renegotiation 被用于浏览器到服务器之间的验证, SSL renegotiation 允许网站利用已经建立 SSL 连接来重新协商新的安全密钥我们知道, 在 SSL 协议的握手过程中, 密钥协商过程是需要需要消耗大量的 CPU 的资源的, 通过这个漏洞, 一台笔记本电脑, 通过一个 SSL 连接, 就可以放倒一个网站网站可以在不启用 renegotiation 进程的情况下使用 HTTPS, 但研究人员指出很多网站仍然默认启用 renegotiation 新的 THC SSL DOS 工具还可以不利用 SSL renegotiation, 直接通过建立新的 TCP 连接来实施 SSL DDOS 攻击 SSL renegotiation 漏洞还可以用来做 man in the middle 的中间人攻击,F5 的应用交付控制同样可以通过 iruels 来防护, 本文就不做介绍和阐述了 5.DNS Flood DNS Flood 是日渐猖厥的流量型 DOS 攻击, 原理也很简单常见的情况是利用大量 UDP 小包冲击 DNS 服务器 100k pps 的 DNS Flood 经常把 DNS 服务器打瘫, 造成 DNS 服务器无法对外提供域名解析服务由于 UDP 协议是一种无连接的服务, 在 DNS FLOOD 攻击中, 攻击者可发送大量伪造源 IP 地址的小 UDP 包来进行攻击由于 UDP 协议是无连接性的, 所以只要开了一个 UDP 的的 53 端口提供 DNS 服务的话, 那么就进行攻击比较典型的 DNS flood 的案例就是暴风影音事件, 具体的过程大家可以 Baidu 进行了解, 这里就不做详细阐述了

12 第三部分 F5 的 DDOS 攻击防御之道 F5 公司作为应用交付领域的领导厂商, 一直以来对安全非常的重视, 认为安全是应用交付的环节当中非常重要的一个环节并且, 在进行产品设计的时候, 在架构上就考虑了对 DDOS 攻击的防护 F5 产品的架构简述 1.Full proxy 架构 F5 的应用交付控制器 (ADC) 是一款基于 full proxy( 全代理 ) 架构的硬件平台在这种结构下,F5 的应用交付控制器对于每一个连接, 建立了两个 TCP 堆栈, 分别是 client side 和 Server side 客户端发起的 TCP 连接, 实际上是和 F5 的应用交付控制器建立的连接, 然后 F5 的应用交付控制器才以客户端的源 IP 地址, 和服务器端建立连接这样,TCP 连接就在 F5 的应用交付控制器的层面上被中断为两段,F5 的应用交付控制器分别为两段 TCP 连接去维护 TCP 状态信息对于客户端,F5 的应用交付控制器就是一个完整的 Socket 服务, 对于服务器端,F5 的应用交付控制器就是一个标准的客户端 socket 连接在抛开 TCP 的连接层面后, 只有真正的数据包才在 F5 的应用交付控制器的两个 TCP 堆栈之间进行转发这也就是 F5 的应用交付控制器可以完成很多非常复杂的处理功能的主要原因由于工作在 full proxy 模式, 因此大部分的网络层攻击手段都无法通过应用交付控制器, 比如我们常见的 syn 攻击, 只会导致应用交付控制器的 client side 连接数量增加, 而不会导致 server side 有任何的反应

2.CMP 和机架式硬件当系统中有多个 CPU 内核存在时, 应用交付控制器将进入 CMP(Cluster Multi Processor) 的工作模式, 所谓 CMP, 就是在应用交付控制器的内部, 使用硬件芯片 HSB(High Speed Bridge) 对进入生产端口的流量在内部进行了一次负载均衡, 使流量均匀的分布到每个 TMM(traffic management

13 2.CMP 和机架式硬件当系统中有多个 CPU 内核存在时, 应用交付控制器将进入 CMP(Cluster Multi Processor) 的工作模式, 所谓 CMP, 就是在应用交付控制器的内部, 使用硬件芯片 HSB(High Speed Bridge) 对进入生产端口的流量在内部进行了一次负载均衡, 使流量均匀的分布到每个 TMM(traffic management module,f5 设备用来处理流量的核心进程 ) 处理核心上去而每个 TMM 核心占据一个 CPU 内核当这些 TMM 都在启用的时候, 系统的处理能力就直线上升了之所以叫直线上升, 是因为和其他产品不同,LTM 采用了硬件芯片内部实现负载均衡, 而不是简单的采用 Unix 上的标准 SMP 概念, SMP 处理模式下, 随着 CPU 数量的上升, 系统的处理性能是呈非线性增长的而 CMP 结构下, 系统的处理性能是会直线增长的

在应对 DDOS 攻击的时候, 抗 DDOS 攻击设备本身的性能也是非常重要的,F5 非常清晰的认识到了这一点, 因为很早就推出了机架式的硬件平台 Viprion 系列, 该系列的硬件可以通过增加处理刀片的方法在线的进行硬件处理能力的扩容, 这种特点使得 F5 的设备在应对突发性持续性的 DDOS 攻击的时候, 具有非常好的性能扩展能力 BIG-IP 数据中心安全防护平台 ---

14 在应对 DDOS 攻击的时候, 抗 DDOS 攻击设备本身的性能也是非常重要的,F5 非常清晰的认识到了这一点, 因为很早就推出了机架式的硬件平台 Viprion 系列, 该系列的硬件可以通过增加处理刀片的方法在线的进行硬件处理能力的扩容, 这种特点使得 F5 的设备在应对突发性持续性的 DDOS 攻击的时候, 具有非常好的性能扩展能力 BIG-IP 数据中心安全防护平台 --- 可扩展插卡式架构 12 BIG-IP Platform BIG-IP L4 Tput (Gbps) BIG-IP L4 Conn per Sec BIG-IP Max Conn VPR 2400 V2400 x ,000 16M VPR 4400 V2400 x ,600,000 64M V4400 x ,000 16M VPR 4480 V4400 x ,800,000 64M V4480 x ,400,000 48M V4480 x ,600, M F5 Networks, Inc.

15 F5 如何帮助数据中心应对 DDOS 攻击 1.SYN/ACK Flood 攻击的防护由于 F5 的应用交付控制器工作在全代理模式下, 客户端在访问位于应用交付控制器后台上的虚拟 IP 时, 必须要是先在 client-side( 也就是应用交付控制器 ) 建立 TCP 三次握手, 然后,F5 应用交付控制其才会将客户端的请求发送给后台的真实服务器, 所以, 默认的,F5 的应用控制器就能够防御 SYN/ACK flood 攻击图示 : 另外 F5 的应用交付控制器还支持 syn-cookie 来对 SYN/ACK Flood 进行防护, 其原理如下 : SYN Cookie 是对 TCP 服务器端的三次握手协议作一些修改, 专门用来防范 SYN Flood 攻击的一种手段它的原理是, 在 TCP 服务器收到 TCP SYN 包并返回 TCP SYN+ACK 包时, 不分配一个专门的数据区, 而是根据这个 SYN 包计算出一个 cookie 值在收到 TCP ACK 包时,TCP 服务器在根据那个 cookie 值检查这个 TCP ACK 包的合法性如果合法, 再分配专门的数据区进行处理未来的 TCP 连接有余通过启用 syn-cookie 的功能,F5 应用交付控制器在防护 SYN/ACK Flood 攻击时, 更加的游刃 2.TCP 全连接攻击的防护和 SYN 攻击不同,TCP 全连接攻击是用合法并完整的连接攻击服务器,SYN 攻击采用的是半连接攻击方式, 而全连接攻击是完整的, 合法的请求, 防火墙一般都无法过滤掉这种攻击 F5 的应用交付控制器由于采用的是 Full-proxy 的架构, 将 TCP 的连接拆成了 client-side 和 server-side, 即使是

TCP 的全连接, 也只是跟 F5 的应用交付控制器建立了 TCP 连接, 由于只是 TCP 连接, 没有业务请求, 所以 F5 应用交付控制器并不会去和后台的服务器建立连接, 保护后台服务器不会受到该攻击的影响而 F5 应用交付控制器本身具有极强的连接处理能力,F5 主流的应用交付控制平台的并发连接数都是千万级别同时,F5 可以设置空闲的 TCP 连接的超时时间, 快速的回收连接,

16 TCP 的全连接, 也只是跟 F5 的应用交付控制器建立了 TCP 连接, 由于只是 TCP 连接, 没有业务请求, 所以 F5 应用交付控制器并不会去和后台的服务器建立连接, 保护后台服务器不会受到该攻击的影响而 F5 应用交付控制器本身具有极强的连接处理能力,F5 主流的应用交付控制平台的并发连接数都是千万级别同时,F5 可以设置空闲的 TCP 连接的超时时间, 快速的回收连接, 释放系统的内存在某一些极端情况下,F5 应用控制器还会主动回收连接,F5 应用交付控制器内置的 DoS 监控程序会自动实时检测整个系统的 CPU/Memory 利用率, 如果超过低阀值 (Low WaterMark) 则自动随意丢弃新建链接, 如果达到高阀值 (High WaterMark ) 系统将丢弃所有的新建链接, 将所有的攻击屏蔽, 以达到保护自身系统的效果, 等待 CPU/Memory 利用率下降或攻击流下降时再开启新链接 3.WEB Server 多连接攻击的防护通过控制大量肉鸡同时连接访问网站, 造成网站瘫痪, 这种攻击和正常访问网站是一样的, 其特点是瞬间访问量增加几十倍甚至上百倍, 有些防火墙可以通过限制每个连接过来的 IP 连接数来防护, 但是这样会造成正常用户的正常访问也会受到影响通过对这种攻击的特点的分析, 我们可以知道 : 1. 攻击是通过肉鸡发起, 很多实际的场景是黑客控制肉机, 通过在肉机上执行 java 脚本或者程序来发起对网站的请求, 比如说 GET 一个页面 2. 总的请求数量会是正常访问的数量的几十倍, 甚至上百倍 F5 应用交付控制器可以准确的检测到攻击流量并阻挡攻击流量, 正常访问的流量则不受影响 F5 特有的 DoS 防护引擎可以通过统计实际数据和设定基准值的偏离值或者是设定的绝对阀值来检测异常流量可用于判断的数据有 : 基于源 IP 的 TPS, 基于被访问 URL 的 TPS 和服务器的 latency 一旦检测到有 DOS 攻击的时候,F5 的防护引擎可以采用如下几种方法来阻挡攻击 :

1.Client Side Integrity Defense: 客户端兼容性检查防护, 当启用时,F5 的应用交付控制器会通过发送一个 JAVA 脚本的挑战给每一个可疑的源 IP 地址, 并且等待回应, 来确认客户端是否是正常的浏览器 ( 正常的浏览器会通过 POST 将执行结果回应给 F5, 通过脚本生成的请求则是无法回应的 ) 如果是正常的浏览器发出的请求,F5

17 1.Client Side Integrity Defense: 客户端兼容性检查防护, 当启用时,F5 的应用交付控制器会通过发送一个 JAVA 脚本的挑战给每一个可疑的源 IP 地址, 并且等待回应, 来确认客户端是否是正常的浏览器 ( 正常的浏览器会通过 POST 将执行结果回应给 F5, 通过脚本生成的请求则是无法回应的 ) 如果是正常的浏览器发出的请求,F5 会将该请求转发到后台服务器进行处理, 如果客户端无法正常回应,ASM 则会将该请求过滤掉 2.Source IP-Based Rate Limiting: 基于源 IP 的速率限制, 丢弃可疑 IP 的连接, 直到该 IP 的探测周期内的每秒交易数等于或小于历史的每秒交易数, 或者是由于达到了 TPS 限制阀值的客户端其 TPS 数值降到了阀值以下 3.URL-Bases Rate Limiting: 基于 URL 的速率限制, 丢弃访问该 URL 的连接,( 无论客户端是否真实用户还是非法用户 ) 直到该 URL 的探测周期内的每秒交易数等于或小于历史的每秒交易数, 或者是访问该 URL 的总的 TPS 数值降到了限制阀值以下通过对 F5 防护原理的了解, 我们可以知道, 当大量的请求访问进来时, 会触发 F5 ASM 的 DOS 防护引擎, 然后根据配置的防护策略 ( 推荐使用客户端完整性检查的防护方法 ), 来过滤由肉鸡产生的非法的访问请求, 从而保护后台服务器不会遭受攻击, 同时, 对于正常的用户的访问, 能够提供正常的服务 4.WEB Server 变种攻击 - 资源消耗型的防护该攻击除了具有 web server 多连接攻击的特点之外, 其攻击的对象是那些消耗后台资源比较大的 URL 连接, 比如 asp,jsp 等通过数据库动态生成的页面, 因而只需要少量的客户端和连接数, 就可以造成服务器资源的大量消耗而被 DOS 攻击

通过分析该攻击的特点, 我们可以知道, 其攻击的对象是特定的 URL, 那么我们可以在 F5 的 ASM 上启用针对 URL 防护的检测, 一旦攻击发生时, 那么被攻击的那几个 URL 的访问量会比平常高出许多, 那么 F5 ASM 可以立即就检测到 DOS 攻击, 同时启用相应的防护策略 ( 推荐使用客户端完整性检查的防护方法 ), 来阻挡攻击的请求, 从而保护后台服务器不会遭受攻击, 同时,

18 通过分析该攻击的特点, 我们可以知道, 其攻击的对象是特定的 URL, 那么我们可以在 F5 的 ASM 上启用针对 URL 防护的检测, 一旦攻击发生时, 那么被攻击的那几个 URL 的访问量会比平常高出许多, 那么 F5 ASM 可以立即就检测到 DOS 攻击, 同时启用相应的防护策略 ( 推荐使用客户端完整性检查的防护方法 ), 来阻挡攻击的请求, 从而保护后台服务器不会遭受攻击, 同时, 对于正常的用户的访问, 能够提供正常的服务示例如下 : Keep Dead DOS 攻击的防护对于 Keep Dead DOS 攻击而言, 我们知道其主要是利用 HTTP 的 HEAD 请求来实现, 那我们可以限制 Http 请求的方法, 例如, 只允许 POST 或 GET 这两种请求方法, 这样就可以非常简单的过滤 Keep Dead DOS 攻击当然, 上面所说的其他方法也同样适用于 Keep Dead DOS 攻击的防护 5.WEB Server 变种攻击 - 协议缺陷型的防护 Slow POST 攻击的防护在 F5 的 V11 的版本中,F5 的 ASM( 应用安全管理器 ) 专门增加了针对 Slow POST 的 DDOS 攻击的防护功能下面的 2 个 ASM 的参数专门用于防止 Slow POST 的 DDOS 攻击 : slow_transaction_timeout: 定义慢速交易的时间 ( 即多少时间内仍然没有完成的交易 ) max_slow_transactions: 最大允许的慢速交易的数量 ( 基于每一个 CPU), 超过该数量的慢速交易将会被丢弃默认数值为 25.

ASM 会记录那些被标记为慢速交易的连接, 一旦慢速交易的连接数超过了允许的最大慢速连接数, 那么后续的慢速交易的连接将会被 ASM 丢弃从而达到抵御 Slow POST 攻击的目的, 并保障正常访问请求 Slow Read DOS 攻击防护针对 Slow Read DOS 攻击, 其产生的攻击连接一样会被认为是慢速连接,F5 的 ASM 会标记这些慢速连接,

19 ASM 会记录那些被标记为慢速交易的连接, 一旦慢速交易的连接数超过了允许的最大慢速连接数, 那么后续的慢速交易的连接将会被 ASM 丢弃从而达到抵御 Slow POST 攻击的目的, 并保障正常访问请求 Slow Read DOS 攻击防护针对 Slow Read DOS 攻击, 其产生的攻击连接一样会被认为是慢速连接,F5 的 ASM 会标记这些慢速连接, 一旦慢速交易的连接数超过了允许的最大慢速连接数, 那么后续的慢速交易的连接将会被 ASM 丢弃从而达到抵御 Slow Read DOS 攻击的目的, 并保障正常访问请求 Slowloris 攻击防护由于 F5 的应用交付控制器是基于 Full-proxy 的架构, 在 full-proxy 架构下,F5 的应用交付控制器在没有收到完整的 HTTP request 之前, 是不会向后台的服务器转发 http request 的因而 slowloris 的攻击在默认的情况下,F5 的应用交付控制器就是可以防护的, 攻击只是打到了 F5 上, 会消耗设备的内存和连接数而已正常的请求, 则不受影响, 可以正常的被转发到后台服务器进行处理为了更好的防范该攻击, 避免内存大量消耗, 我们还可以通过 irules 来识别 slowloris 的连接, 并丢弃这些连接, 以释放资源 i-rules 如下 : when CLIENT_ACCEPTED { set rtimer 0 after 1000 {

$} if { not $rtimer} { drop } } when HTTP_REQUEST { set rtimer 1 } 基于 full-proxy$

20 } if { not $rtimer} { drop } } when HTTP_REQUEST { set rtimer 1 } 基于 full-proxy 的架构,F5 应用交付控制还可以设定允许的最大的 http header 的大小, 长度及数量, 如下图, 一旦相应的参数的大小超过允许的值, 该连接将会被丢弃

21 Apache Range header 攻击防护 F5 应用交付控制器可以通过也可以使用一个 irule 来防御 Apache Range header 攻击通过 I- rules 检查, 如果在 RANGE 报头中检测出大量的 range, 通过 i-rules, 可以根据需要特殊处理这些请求可能的操作有报头清除, 拒绝请求,honey pot 重定向, 或报头更换等等

$irule 代码示例 : when HTTP_REQUEST { # remove Range requests for CVE-2011-3192 if more than 5 ranges are requested if { [HTTP::header "Range"] matches_regex {bytes=(([0-9\- ])+,){5,}} } { HTTP::header$

22 irule 代码示例 : when HTTP_REQUEST { # remove Range requests for CVE if more than 5 ranges are requested if { [ "Range"] matches_regex {bytes=(([0-9\- ])+,){5,}} } { remove Range } } 另外一个防御攻击的 F5 解决方案是使用 F5 BIG-IP 应用安全管理器 (ASM) 攻击签名来对攻击进行检测和防护在 ASM 的攻击签名库中添加新的攻击签名, 类似下面的表达式 : pcre:"/range:[\t ]*bytes=(([0-9\- ])+,){5,}/Hi"; 6.SSL DDOS 攻击的防护首先, 由于 F5 应用交付控制器是基于 full-proxy 的架构, 那么对于 SSL 业务而言,F5 应用交付控制器首先都会进行 SSL Offload 的处理, 即将 SSL 终结在 F5 应用交付控制器上, 而 F5 应用交付控制跟后台服务器通过 HTTP 来通信, 用户也可以根据需要, 让 F5 应用交付控制器再跟服务器进行 SSL 通讯, 以保障整个通讯过程不会被监听

在 Full-proxy 架构下,F5 应用交付控制内置 cavium 的 SSL chips 用来做 SSL 的处理, 并且性能强大最高平台的 SSL 处理能力可以达到 600,000 TPS 通过 SSL offload 的功能, 把攻击也卸载到了 F5 应用交付控制器上, 如果攻击只是针对 SSL 加解密功能,F5 的 SSL offload 就可凭借强大的性能来进行防护,

23 在 Full-proxy 架构下,F5 应用交付控制内置 cavium 的 SSL chips 用来做 SSL 的处理, 并且性能强大最高平台的 SSL 处理能力可以达到 600,000 TPS 通过 SSL offload 的功能, 把攻击也卸载到了 F5 应用交付控制器上, 如果攻击只是针对 SSL 加解密功能,F5 的 SSL offload 就可凭借强大的性能来进行防护, 保障了服务器则不会受到 SSL DDOS 攻击 7.SSL+HTTP 协议缺陷性混合 DDOS 攻击的防护如果攻击者采用混合模式的攻击方法, 即在 SSL DDOS 中插入一些基于 HTTP 协议缺陷的一些攻击手段, 比如 SLOW POST 或者 Apache range header 等, 那么这个时候会对 WEB 应用造成更大的压力, 而且, 在这种情况下, 如果只有 SSL offload 的功能, 是无法防范这种混合攻击的, 但是由于 F5 应用交付控制器是基于 Full-proxy 的架构, 并且是一个可以整合多个功能的平台, 可以把 SSL Offload 和其他防护功能整合在一起, 那么在 SSL 流量解密之后, 针对 WEB Server 的多连接攻击的探测和防御手段可以防护基于 HTTP 协议缺陷的 DDOS 攻击, 以应对这种混合攻击的方法, 保护后台的服务器, 并正常的提供业务访问 8.DNS FLOOD 攻击的防护对于数据中心的 DNS 服务器来讲,DNS FLOOD 确实是很难防范的一种攻击首先,DNS 请求的来源 IP 是不确定的, 因为有可能全世界的人都要来访问你的业务 ; 另外,DNS 查询的记录也是很难去限定的, 因为随着业务的扩展,DNS 的记录也会越来越多因此总的防护原则还是提高 DNS 服务

的性能一般来讲, 比较常用的方法是 DNS cache 技术和 DNS 服务器的负载均衡通过 cache 和负载均衡来提高 DNS 服务的性能对于 F5 而言, 应对 DNS

cache 在应对新的 DNS FLOOD 攻击的时候会有一些局限性, 比如下图的这种 DNS Flood 攻击 : 这是一个针对同一个域名的随机 A 记录的 DNS FLOOD

DOS 攻击 F5 的 DNS Express 技术是一种更加智能的 DNS cache,f5 应用交付控制器定期会与后台的 DNS 服务器进行通讯并同步 Zone file, 并将

24 的性能一般来讲, 比较常用的方法是 DNS cache 技术和 DNS 服务器的负载均衡通过 cache 和负载均衡来提高 DNS 服务的性能对于 F5 而言, 应对 DNS FLOOD 的攻击, 我们主要是通过 DNS Express 和 DNS 的负载均衡这两种手段来防护 DNS Express 是一种更加智能的 DNS cache 技术,DNS cache 在应对新的 DNS FLOOD 攻击的时候会有一些局限性, 比如下图的这种 DNS Flood 攻击 : 这是一个针对同一个域名的随机 A 记录的 DNS FLOOD 攻击, 很明显, 这些随机的 A 记录请求攻击会让 DNS cache 失效, 然后攻击请求就会穿过 DNS cache 设备, 到达 DNS 服务器上, 对 DNS 服务器造成 DOS 攻击 F5 的 DNS Express 技术是一种更加智能的 DNS cache,f5 应用交付控制器定期会与后台的 DNS 服务器进行通讯并同步 Zone file, 并将 zone file 载入到 F5 应用交付控制器的内存中 ( 如下图 ), 以便进行高速的 DNS 请求的响应, 提高 DNS 的性能, 并防护这种针对同一个域名的随机 A 记录的 DNS FLOOD 攻击

25 我们在一次模拟测试中, 打出 600M 的 DNS FLOOD, 的 QPS, 在一台 3900 平台上的 F5 的应用交付控制器产生的性能消耗在 6% 左右, 后台 DNS 服务器解析仍然正常第四部分典型案例分析某知名物流企业攻击的第一阶段 : 遭受 WEB Server 多连接攻击, 攻击发起者使用了超过十万台的肉鸡对其首页进行了 DDOS 攻击, 每台肉鸡的每秒并发连接都很小, 在 10 个左右, 和正常用户的连接数差不多,

26 导致后台服务器直接被放倒 F5 应用交付控制器通过使用 ram cache 技术, 将首页面 cache 在 F5 应用交付控制器上, 由 F5 来直接回应访问首页的 HTTP 请求, 从而达到保护后台服务器的目的攻击的第二阶段 : 攻击者修改攻击的对象, 由首页转向包裹查询页面的验证码链接, 由于该连接需要调用数据库, 直接导致后台应用服务器和数据库服务器受到攻击 F5 工程师在客户的应用交付平台上激活了 ASM 功能模块, 通过 ASM 的应用层 DDOS 防护功能, 开启了基于 URL 的攻击识别机制, 并启用了基于 URL-Bases Rate Limiting 和 Client Side Integrity Defense 对攻击的请求进行识别和阻挡, 后台服务器的连接降到正常水平, 确保了业务的正常运行攻击持续 3 个多小时后, 攻击结束国外知名第三方支付企业由于 wiki leaks 事件, 黑客组织 anonymous 对某国外知名第三方企业展开了 DDOS 攻击, 攻击者使用的增强版的 LOIC( 低轨道佳能炮 ) 软件, 通过自愿型僵尸网络 Botnet 来发起攻击, 自愿进行 DDoS 分布式拒绝服务攻击的僵尸网络 Botnet 通过 IRC 在线交谈系统 (Internet Relay Chat, 简称 IRC) 控制, 协调者可迅速果决地针对不同的目标采取行动该客户的逻辑架构图如下 :

27 攻击进行了 3 波 : 第一波 : 使用 TCP flood, 产生超过 1.2 M concurrent connections 第二波 :LOIC & Slowloris,2-4M 并发连接, 8M pkts/s 第三波 :ICMP flood 针对 CPU, memory,6k 字节的 ICMP 包和分片. 第一波攻击就穿透了最外层和第 2 层防护, 在第 3 层防护上被拦截第二波攻击同样穿透了最外层和第 2 层, 并将第三层的防火墙放倒, 打到了 F5 设备上, 由于一开始客户在 F5 应用交付控制器上只是配置了应用负载的功能 ( 而且没有购买 ASM 模块 ), 导致流量全部都打到了后台服务器上, 导致业务中断通过增加 I-rules 和相关的 HTTP 的限制功能, 客户成功的将第二波攻击顶住了

28 第三波攻击主要是针对 F5 应用交付控制器, 因为在第二波攻击中, 防火墙已经被放倒了, 客户撤下了防火墙设备, 大量 ICMP 的攻击导致 F5 应用交付控制的性能消耗也急剧增加, 最后更换了更高端的平台 11050, 并配置 ASM 模块, 帮助客户顶住了第三波的攻击某电信运营商网上营业厅该客户的案例非常的有意思, 该客户实际上并没有遭受真正的 DDOS 的攻击, 只是由于 iphone4s 的发售, 导致其在线订购的业务访问量大增, 是平时流量的 4 倍, 导致其新购买的 WAF 设备的性能出现瓶颈, 导致用户打开页面的速度非常慢或者是出现空白页面其实这也可以算是 DDOS 攻击的一种吧, 记得有一年所有中国网民都去访问美国白宫的首页, 也把白宫首页给 DOS 掉了, 但这种类型的流量往往是最难处理的, 因为全部都是正常的业务请求另外因为根据木桶原理, 系统最弱的地方就是那块最短的板, 如果这块板出现问题, 那么整个系统都会出现问题那么现在 DDOS 攻击不一定说一定是要打倒服务器, 只要糖葫芦串上的任何一个设备被放倒, 那么整个业务也基本上无法访问,DDOS 攻击的目的也就达到了当时的逻辑架构 : 在这种情况下, 首先在前端的 F5 的应用交付设备上增加 I-rules, 将访问对象是图片或者 js 类型的 http request 直接发送给后台服务器, 而不经过 WAF 设备进行防护, 降低 WAF 设备的性能消耗, 通过 I-rules 的优化,WAF 设备的 CPU 使用率下降了 15-20% 然后, 再紧急调派设备, 临时增加 F5 的 WEB Server 优化设备 Web Accelerator, 对 WEB 应用进行优化, 凡是访问过的静态对象,WA 会进行处理, 告诉客户端的浏览器, 将这些图片和 JS 等静态

29 对象缓存在客户端的本地, 后续访问的页面需要这些对象时, 直接从本地缓存调用, 大大的降低了 http request 的数量同时提升了用户的用户体验 ; 做完这些动作后,WAF 设备的性能消耗回复到合理水平现在该用户的网上营业厅的逻辑架构如下 : 同时该客户正在考虑将原有的 LTM 6400 进行更换, 更换为机架式的新的平台, 实现骨干设备的性能可扩展, 防止出现新的木桶短板

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP # iptables 默认安全规则脚本一 #nat 路由器 ( 一 ) 允许路由 # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT ( 二 ) DNAT 与端口转发 1 启用 DNAT 转发 # iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dprot 422 -j DNAT to-destination

目录 第一部分 DDOS 简介...4 第二部分 DDOS 攻击的类型...5 基于网络的 DDOS 攻击 SYN/ACK Flood 攻击 TCP 全连接攻击...5 基于应用的 DDOS 攻击 WEB Server 多连接攻击 WEB Server

目录第一部分 DDOS 简介...4 第二部分 DDOS 攻击的类型...5 基于网络的 DDOS 攻击 SYN/ACK Flood 攻击 TCP 全连接攻击...5 基于应用的 DDOS 攻击 WEB Server 多连接攻击 WEB Server