DDoS 攻击的分布式协同防御 龚俭东南大学计算机科学与工程学院 CERNET 华东北地区网络中心 2015.11.24
大纲 主干网安全的研究热点 DDoS 攻击 DDoS 监测 DDoS 防御 Hydra 系统 SEU 2
HSARPA 的网络空间安全战略研究计划 Research Theme 3:Network Security Security Protections for DNS Security Protocols for the Routing Infrastructure Next-Generation DDoS Defense: 大规模, 溯源 Network Measurement and Mapping:Enrich Modeling of Internet Attacks: 恶意代码行为 Network Reputation and Risk Analysis: 风险管理 SEU 3
DDoS 的攻击目标 Saturate critical services, e.g. DNS, Firewall prevent access to a particular service disrupt connections between two networks SEU 4
DDoS 的攻击放大 Spam mails based on address book Handler Agents/Zombies SYN flooding 用于直接 DDoS 攻击的放大网络 SEU 5
分布式反射服务失效攻击 DRDoS Small requests Servers Large responses Handler Agents/Zombies Reflectors SEU 6
特点 DRDoS 攻击者的隐蔽性 - 被攻击者收到的是放大器发送的散射流量, 攻击者的标识被隐藏 ; 攻击源的广泛性 - 攻击者可同时使用多个放大器, 使得在一个上行信道上产生广泛分布的攻击流量 ; 显著的倍增性 - 被攻击者收到的攻击流量远大于攻击者发送给放大器的流量 可用于 DRDoS 的协议具有下列特征 请求与响应之间存在明显的流量差 ;bps 或 pps 不需要或没有恰当的握手机制, 因此可以源冒充 SEU 7
协议放大率分析 Amplification Hell: Revisiting Network Protocols for DDoS Abuse Christian Rossow,NDSS 14, 23-26 February 2014, San Diego, CA, USA SEU 8
协议放大器调查 Amplification Hell: Revisiting Network Protocols for DDoS Abuse Christian Rossow,NDSS 14, 23-26 February 2014, San Diego, CA, USA SEU 9
Arbor 的调查结果 - 普遍性 Arbor 调查了 1500 家大型企业, 包括 Tier1 和 Tier2 的 ISP The report provides the results of Arbor Network s ninth annual Worldwide Infrastructure Security Survey. The survey covers a 12-month period from Nov. 2012 through the end of Oct. 2013. This report documents the collective experiences, observations and concerns of the operational security community in 2013. SEU 10
Arbor 的调查结果 - 动机 游戏破坏 政治 突发 示威个人恩怨赌博故障竞争 操控 犯罪 SEU 11
Arbor 的 调查结果 - 强度 The targets of these largest reported attacks of over 100Gbps have all been UDP/53 or TCP/80, or the combination of both of these. SEU 12
感知 影响 失效 东南大学 13
新动向 2014 年 12 月 20-21 号, 阿里云计算宣布遭到 14 小时的 DDoS 攻击, 峰值强度达到 453.8Gb/s; 2014 年 9 月, 一个由 1.2 万 -1.5 万个由无线 AP 家用恒温器 烘干机等物联网设备构成的僵尸网络在亚洲和美国发起了多次 DDoS 攻击, 峰值强度达到 215Gb/s; 2014 年, 江苏基础电信企业的 DNS 服务器被由无线 AP 视频监控设备和机顶盒设备构成的僵尸网络实施泛查询攻击, 强度达到 400 万 QPS SEU 14
NBOSv3.0 SEU 15
NBOS 对 DDoS 攻击的检测 11.121% 25.783% 0.126% 62.97% 14649 次 90.857% 5.857% 2.105% 0.507% 0.293% 0.381% SEU 16
检测到的最大强度攻击 SYN-Flooding SEU 17
XXX.XXX.73.100 内部视频监控设备 海康威视高危漏洞事件
多种僵尸网络控制 85.118.XXX.XXX 37.200.XXX.XXX
DDoS 攻击行为 2015 年 3 月 - 今 2042 次 DDoS 攻击 SYNFLOOD 攻击
XXX.XXX.191.247 中国知网镜像服务器 教学资源参考数据库 装有瑞星杀毒系统
多个僵尸网络控制服务器 133.130.XXX.XXX 202.102.XXX.XXX 23.234.XXX.XXXX 相同控制协议
活跃的 DDoS 攻击行为 2015.1 ~ 今 28000 余起攻击 SYNFLOOD
NBOS 的观测 SEU 24
宿端防御机制 在被攻击的宿点网络边界部署检测与防御系统, 保护宿点服务的可用性 目标明确但效果可能不好, 因为无法抑制源点 源端防御机制 在攻击源点的网络边界部署检测与阻截系统, 拦截或限制攻击流量 可使攻击抑制效果最大化, 但源点难以发现且缺乏利益驱动力 主干网防御机制 DDoS 的防御架构 在互联网主干网中部署检测与阻截系统, 拦截或限制攻击流量 检测难度介于宿端防御机制和源端防御机制之间, 防御效果也介于两者之间 需要协同机制支持以达到理想的防御效果 由于作为 ISP 有服务质量保证的责任, 因此对攻击防御有一定的利益驱动力 SEU 25
基于统计方法 针对 Flooding 类型的攻击, 基于流量的统计特征来进行异常检测, 重点是一些典型报文 ( 例如 TCP 的 SYN 报文 ) 的统计特征 这类方法的部署没有限制, 在源端 主干网和宿端均可进行流量的异常检测 软计算方法 对不精确性和不确定性有一定容忍程度的异常检测方法, 包括神经网络方法 遗传算法等等 这类法较多是用在宿端或主干网, 针对放大类攻击进行流量的异常检测 基于知识的检测方法 DDoS 的检测方法 针对基于协议及其实现的漏洞类型的攻击, 基于预定义的攻击特征或模板进行检测, 多部署在宿端或主干网中 SEU 26
Arbor 的调查结果 - 检测 SEU 27
DDoS 防御面临的挑战 随路检测方式的有效性 : 检测系统同时也受到攻击而无法正常工作 ; 响应的有效性 : 攻击检测的及时性, 自适应的检测与响应联动机制, 广泛的攻击抑制协同机制 ; 流量相似性的干扰 : 低速 DDoS 与正常流量相似, 一般 DDoS 与突发流量相似, 相似性导致检测精度过低 ; 检测系统对新的未知类型攻击的适应性 : 检测系统如何进化 ; 检测与防御系统的可部署性 : 对现有网络及其设备不产生负面影响 ; 检测与防御系统的性能要求 : 能够适应网络流量的增长现状和设备性能约束 ; 伪造源地址的攻击源追踪 : 需要协同机制的支持 SEU 28
学术界的思路 FireCol relies on a distributed architecture composed of multiple IPSs forming overlay networks of protection rings around subscribed customers. Participating IPSs along the path to a subscribed customer collaborate (vertical communication) by computing and exchanging belief scores on potential attacks. 协同防御的要点在于在攻击强度增强到单一防御系统不能处理之前就开始对其进行阻断, 这要求在主干网中离被攻击对象尽可能远的地方就开始对攻击进行逐步地和协同地检测与拦截, 以期同时解决攻击的大规模和源冒充问题 FireCol: A Collaborative Protection Network for the Detection of Flooding DDoS Attacks Jérôme François, et.al.,ieee/acm TRANSACTIONS ON NETWORKING, VOL. 20, NO. 6, pp1828-1841, DECEMBER 2012 SEU 29
Arbor 的 调查结果 - 攻击阻断 对防火墙的使用比例在下降, 因为它会成为状态消耗类攻击的对象, 从而成为瓶颈, 因此更多的用户选择使用智能阻断系统, 例如黑洞 SEU 30
基本防御机制 洗流 In-line 方法 ACL: 粗粒度过滤 IPS: 细粒度过滤 引流 Remote Triggered Black Hole (RTBH) 可以基于宿地址或源地址 SEU 31
BGP Flowspec 可以使用的过滤测度 源 / 宿地址前缀 IP 报头的 Protocol 字段 源 / 宿端口 ICMP 的 type 和 code 字段 TCP 的 Flag 报文长度 DSCP 字段 Fragment 字段 使用 Extended Communities 定义过滤动作 0x8006:traffic-rate (rate 0 表示丢弃该流所有报文 ) 0x8007:traffic-action 0x8008:redirect to VRF 0x8009:traffic-marking RFC 5635 - Remote Triggered Black Hole Filtering with Unicast Reverse Path Forwarding (urpf) RFC 5575 - Dissemination of Flow Specification Rules RFC 7674 - Clarification of the Flowspec Redirect Extended Community SEU 32
Inter-domain Flowspec injection D/RTBH 按流规范处理所有发往 victim 的流量 Remotely Trigged Black Hole Filtering at Peer SP edge Victim 发布 BGP 路由通告 Victim RTBH RTBH Firewall IPS Internet 正常流量攻击流量 BGP 路由通告 Service Provider Network Forwarded to null0 Enterprise or IDC BGP Prefix with next hop set to predefined black-hole route RFC 5635 - Remote Triggered Black Hole Filtering with Unicast Reverse Path Forwarding (urpf) RFC 5575 - Dissemination of Flow Specification Rules RFC 7674 - Clarification of the Flowspec Redirect Extended Community SEU 33
Intra-domain Flowspec injection D/RTBH 按流规范处理所有发往 victim 的流量 Remotely Trigged Black Hole Filtering at Peer SP edge Victim RTBH RTBH Firewall IPS Internet 正常流量 攻击流量 BGP 路由通告 SP 发布 BGP 路由通告 Service Provider Network Enterprise or IDC BGP Prefix with next hop set to predefined black-hole route SEU 34
Intelligent DDoS Mitigation System 手术式阻断 (Surgical Mitigation) 基于 DPI 技术的洗流技术, 从流量中将攻击流剔除 ; 通常是网络基础设施中的一个共享资源 ( 系统 ); 攻击流量需要在正常路由表 (GRT) 中重定向以通过这个系统 (Traffic Diversion or Offramping), 按规则过滤后再 ( 隧道或 VPN) 转发到实际的宿端 (Traffic Reinjection or Onramping); SEU 35
DDoS Mitigation Appliance Surgical Diversion Using BGP Flowspec Redirect to VRF Action 使用 VPN 进行重定向流量的传输 Redirect to VRF Scrubbing Center Mitigation Appliance Traffic Reinjection Victim Internet Firewall IPS BGP Flowspec 仅将过滤出的特定流量重定向给洗流中心 Dirty VRF 正常流量 攻击流量 BGP Flowspec Diversion Detection & Control Internet Enterprise or IDC SEU 36
Hydra2.0 系统 HYDRA1.0 ( 混合检测响应系统, HYbrid Detection Response Agent) 系统是在国家科技支撑计划课题 新一代可信任互联网安全和网络服务 和 211 二期 CERNET 建设项目支持研制的网络安全事件应急响应系统 Traffic diversion & Scrubbing 手工配置 GE 环境 Hydra2.0 系统 基于 SDN 技术 Scrubbing & Intrusion detection & Sniffing SEU 37
Hydra2.0 系统架构 正常流量 攻击流量 采集流量 省网 A Openflow 交换机 Openflow CHAIRS Netflow SDN 控制器 主干网 SDN 控制器 HYDRA 调用控制器 API Openflow 交换机 省网 B SEU 38
Hydra2.0 测试 SEU 39
Hydra2.0 测试 SEU 40
Hydra2.0 测试 SEU 41
小结 DDoS 攻击广泛存在并具有一定威胁 在 CERNET 内的观测是每月数十万起 对 DDoS 攻击及其防御的研究是热点 RTBH 是 BCP DDoS 攻击的遏制需要协同机制支持 逐步地感知和阻截 主机安全管理仍然是重点问题 僵尸主机 网站漏洞 管理意识和能力的提高 SEU 42
谢谢! SEU 43