[Tehniskā analīze] Padziļināts un viegli saprotams: ievads tīkla uzbrukuma un aizsardzības uzbrukumā

DDoS (Distributed Denial of Service) uzbrukumi ir viens no spēcīgākajiem un grūtākajiem uzbrukumiem, pret kuriem jāaizstāvas, jo DDoS uzbrukumu galvenais mērķis ir novērst mērķa nodrošināšanu normālos pakalpojumus vai pat pazust no interneta.

DDoS var vienkārši iedalīt trīs kategorijās atkarībā no to uzsākšanas veida.

Pirmā kategorija uzvar ar spēkuMilzīgas datu paketes plūst no visiem interneta stūriem, bloķējot ieeju IDC, padarot dažādas jaudīgas aparatūras aizsardzības sistēmas un ātrus un efektīvus ārkārtas procesus bezjēdzīgus. Tipiski šāda veida uzbrukuma piemēri ir ICMP Flood un UDP Flood, kas tagad ir reti.

Otrā kategorija uzvar ar gudrību, gudrs un nemanāms, nosūtot paketi ik pēc dažām minūtēm vai pat nepieciešama tikai pakete, grezns konfigurācijas serveris vairs nereaģē. Šāda veida uzbrukumi galvenokārt tiek uzsākti, izmantojot protokolu vai programmatūras ievainojamību, piemēram, Slowloris uzbrukumus, jaucējsadursmes uzbrukumus utt., Un prasa īpašas vides sakritības.

Trešā kategorija ir iepriekš minēto divu maisījumsTas ne tikai izmanto protokola un sistēmas defektus, bet arī lielu trafika daudzumu, piemēram, SYN plūdu uzbrukumu un DNS vaicājumu plūdu uzbrukumu, kas ir pašreizējā galvenā uzbrukuma metode.

Šajā rakstā tiks aprakstītas šīs visbiežāk sastopamās un reprezentatīvas uzbrukuma metodes pa vienai un iepazīstinātas ar to aizsardzības iespējām.

SYN Flood ir viens no klasiskākajiem DDoS uzbrukumiem internetā, kas pirmo reizi parādījās ap 1999. gadu, un Yahoo bija slavenākais upuris. SYN Flood uzbrukumi izmanto TCP trīskāršus rokasspiediena trūkumus, kas var padarīt mērķa serveri nereaģējošu un grūti izsekojamu par nelielām izmaksām.

Standarta TCP trīsceļu rokasspiediena process ir šāds:

• Klients nosūta TCP paketi, kas satur SYN karodziņu, SYN ir sinhronizēts, un sinhronizācijas pakete norāda klienta izmantoto portu un TCP savienojuma sākotnējo sērijas numuru.
• Pēc SYN paketes saņemšanas no klienta serveris atgriezīs SYN+ACK (t.i., apstiprinājuma apstiprinājuma) paketi, norādot, ka klienta pieprasījums ir pieņemts, un TCP sākotnējais sērijas numurs tiek automātiski pievienots ar 1.
• Klients arī atgriež serverim apstiprinājuma ziņojumu ACK, un TCP sērijas numurs tiek pievienots arī ar 1.
  

Pēc šīm trim darbībām tiek izveidots TCP savienojums. Lai panāktu uzticamu pārraidi, TCP protokols ir izveidojis dažus izņēmumu apstrādes mehānismus trīs rokasspiedienu laikā. Trešajā solī, ja serveris nesaņem galīgo ACK apstiprinājuma paketi no klienta, serveris paliks SYN_RECV stāvoklī, pievienos klienta IP adresi gaidīšanas sarakstam un otrajā solī atkārtoti nosūtīs SYN+ACK paketi. Atkārtotas publicēšanas parasti tiek veiktas 3-5 reizes, un gaidīšanas saraksts tiek aptaujāts vienu reizi ar apmēram 30 sekunžu intervālu, lai atkārtoti mēģinātu visus klientus. No otras puses, pēc tam, kad serveris ir nosūtījis SYN+ACK paketi, tas iepriekš piešķir resursus, lai saglabātu informāciju par gaidāmo TCP savienojumu, kas tiek saglabāts, gaidot atkārtotu mēģinājumu. Vēl svarīgāk ir tas, ka, ja servera resursi ir ierobežoti, uzturamais SYN_RECV stāvoklis pēc ierobežojuma pārsniegšanas vairs nepieņems jaunas SYN paketes, tas ir, jauni TCP savienojumi tiks noraidīti.

SYN Flood izmanto iepriekš minētos TCP protokola iestatījumus, lai sasniegtu uzbrukuma mērķi. Uzbrucēji slēpj lielu skaitu IP adrešu, lai nosūtītu SYN paketes uz serveri, un, tā kā viltotās IP adreses ir gandrīz neiespējami pastāvēt, gandrīz neviena ierīce neatgriezīs serverim nekādu atbildi. Tā rezultātā serveris uztur milzīgu gaidīšanas sarakstu un turpina atkārtoti mēģināt nosūtīt SYN+ACK paketes, kas patērē daudz resursu un to nevar atbrīvot. Vēl svarīgāk ir tas, ka uzbrukuma servera SYN_RECV rinda ir piepildīta ar ļaunprātīgām paketēm, un jauni SYN pieprasījumi vairs netiek pieņemti, un likumīgie lietotāji nevar pabeigt trīs rokasspiedienus, lai izveidotu TCP savienojumus. Citiem vārdiem sakot, SYN Flood serverim liedza pakalpojumu.

Ja jūs interesē SYN Flood, varat apskatīt http://www.icylife.net/yunshu/show.php?id=367, kuru es uzrakstīju 2006. gadā, un vēlāk veicu vairākas izmaiņas, laboju kļūdas un samazināju agresivitāti, un to izmantoja tikai testēšanai.

DNS kā visvienkāršākais un galvenais interneta pakalpojums, protams, ir viens no svarīgākajiem DDoS uzbrukumu mērķiem. DNS pakalpojuma samazināšana var netieši samazināt visu uzņēmuma biznesu vai tīkla pakalpojumu reģionā. Pirms kāda laika populārā hakeru grupa anonīms arī paziņoja, ka tā uzbruks 13 DNS serveriem globālajā internetā, bet galu galā tas neizdevās.

UDP uzbrukumi ir vienkāršākā uzbrukuma metode, lai uzsāktu masveida trafiku, un nejauša avota IP viltošanu ir grūti izsekot. Tomēr filtrēšana ir vieglāka, jo lielākā daļa IP nenodrošina UDP pakalpojumus, tāpēc varat vienkārši atmest UDP trafiku. Tāpēc tīri UDP trafika uzbrukumi tagad ir salīdzinoši reti, un tos aizstāj DNS vaicājumu plūdu uzbrukumi, ko veic UDP protokols. Vienkārši sakot, DDoS uzbrukumi, kas tika uzsākti, jo augstāks protokols, jo grūtāk ir aizstāvēties, jo augstāks protokols, jo vairāk tas ir saistīts ar uzņēmējdarbību un jo sarežģītāka ir aizsardzības sistēma.

DNS vaicājumu plūdi ir tad, kad uzbrucējs manipulē ar lielu skaitu zeķu leļļu mašīnu, lai mērķim palaistu lielu skaitu domēna nosaukuma vaicājumu pieprasījumu. Lai novērstu uz ACL balstītu filtrēšanu, ir jāuzlabo pakešu nejaušība. Izplatīta prakse ir nejauši viltot avota IP adresi, nejauši viltot avota portu un citus parametrus UDP slānī. DNS protokola slānī vaicājuma ID tiek nejauši viltots kopā ar atrisināmo domēna nosaukumu. Papildus filtrēšanas novēršanai, nejauši viltoti domēnu vārdi, kas jāatrisina, var arī samazināt iespējamību nokļūt DNS kešatmiņā un patērēt pēc iespējas vairāk DNS servera CPU resursu.

Attiecībā uz DNS vaicājumu plūdu kodu es 2011. gada jūlijā uzrakstīju kodu, lai pārbaudītu servera veiktspēju, un saite ir http://www.icylife.net/yunshu/show.php?id=832. Tāpat šis kods ir mākslīgi mazāk agresīvs un ir paredzēts tikai testēšanas nolūkos.

Šajā posmā var efektīvi aizsargāt iepriekš aprakstītos SYN plūdus un DNS vaicājumu plūdus, un patiesās galvassāpes lielākajiem ražotājiem un interneta uzņēmumiem ir HTTP plūdu uzbrukumi. HTTP plūdi ir uzbrukums tīmekļa pakalpojumam septītā slāņa protokolā. Tās lielais kaitējums galvenokārt izpaužas trīs aspektos: ērta uzsākšana, sarežģīta filtrēšana un tālejoša ietekme.

Gan SYN Flood, gan DNS Query Flood pieprasa, lai uzbrucēji kontrolētu lielu skaitu robotu ar saknes privilēģijām. Lai savāktu lielu skaitu saknes privilēģiju, ir nepieciešams laiks un pūles, un uzbrukuma laikā leļļu mašīna lēni papildinās, jo uzbrucējs ātri zaudē resursus administratora atklātās neparastās satiksmes dēļ, kā rezultātā ievērojami samazinās uzbrukuma intensitāte un to nevar ilgstoši uzturēt. HTTP plūdu uzbrukumi ir atšķirīgi, uzbrucējiem nav jākontrolē liels skaits robotu, bet tā vietā jāizmanto portu skeneri, lai internetā atrastu anonīmus HTTP starpniekserverus vai SOCKS starpniekserverus, caur kuriem uzbrucējs uzsāk HTTP pieprasījumus uzbrukuma mērķim. Anonīmi starpniekserveri ir salīdzinoši bagāts resurss, un dažu dienu laikā nav grūti iegūt starpniekserverus, tāpēc uzbrukumus ir viegli uzsākt un var ilgt ilgu laiku.

No otras puses, HTTP plūdu uzbrukumi tiek uzsākti HTTP slānī, kas enerģiski atdarina parasto lietotāju tīmekļa lapas pieprasījuma uzvedību, kas ir cieši saistīta ar vietnes biznesu, apgrūtinot drošības pakalpojumu sniedzējiem nodrošināt kopīgu risinājumu, kas neietekmē lietotāja pieredzi. Noteikumi, kas labi darbojas vienuviet, scenāriju maiņa var izraisīt lielu skaitu slepkavību.

Visbeidzot, HTTP plūdu uzbrukumi var izraisīt nopietnas ķēdes reakcijas, ne tikai tieši izraisot lēnu reakciju no uzbrukuma tīmekļa priekšgala, bet arī netieši uzbrūkot aizmugures Java un citiem biznesa slāņa loģikas un aizmugures datu bāzes pakalpojumiem, palielinot to spiedienu un pat ietekmējot žurnālu krātuves serverus.

Interesanti, ka HTTP plūdiem ir arī vēsturisks segvārds, ko sauc par CC uzbrukumu. CC ir saīsinājums no Challenge Collapsar, kas ir DDoS aizsardzības ierīce no pazīstama drošības uzņēmuma Ķīnā. Spriežot pēc pašreizējās situācijas, ne tikai Collapsar, bet arī viss aparatūras aizsardzības aprīkojums joprojām tiek apstrīdēts, un risks nav atcelts.

Runājot par uzbrukumiem, pirmā reakcija ir milzīga satiksme un milzīgas paketes. Bet ir uzbrukums, kas dara pretējo, pazīstams kā lēns, tāpēc daži uzbrukuma mērķi tiek nogalināti, nezinot, kā viņi mirst, kas ir lēns savienojuma uzbrukums, visreprezentatīvākais ir Slowloris, ko izgudroja rsnake.

HTTP protokols nosaka, ka HTTP pieprasījumi beidzas ar \r\n\r\n, norādot, ka klients ir pabeidzis sūtīšanu un serveris ir sācis apstrādi. Tātad, kas notiek, ja jūs nekad nesūtāt \r\n\r\n? Slowloris to izmanto savā labā DDoS uzbrukumos. Uzbrucējs HTTP pieprasījuma galvenē iestata savienojumu uz Uzturēt dzīvu, lūdz tīmekļa serverim nepārtraukt TCP savienojuma atvienošanu un pēc tam ik pēc dažām minūtēm lēnām nosūta serverim atslēgas-vērtības formātu, piemēram, a:b\r\n, liekot serverim domāt, ka HTTP galvene nav saņemta, un gaida. Ja uzbrucējs izmanto vairāku pavedienu vai marioneti, lai darītu to pašu, uzbrucējs ātri pārņems servera tīmekļa konteineru un vairs nepieņems jaunus pieprasījumus.

Drīz sāka parādīties dažādi Slowloris varianti. Piemēram, POST metode iesniedz datus Web serverī, aizpilda lielu satura garumu, bet lēnu baitu pa baitam POST reālo datu saturu utt. Attiecībā uz Slowloris uzbrukumu, rsnake dod arī testa kodu, skatiet http://ha.ckers.org/slowloris/slowloris.pl.

Iepriekš minētais iepazīstina ar vairākām pamata uzbrukuma metodēm, no kurām jebkuru var izmantot, lai uzbruktu tīklam un pat uzvarētu milzu vietnes, piemēram, Alibaba, Baidu un Tencent. Bet tas vēl nav viss, dažādi uzbrucēju līmeņi var uzsākt pilnīgi atšķirīgus DDoS uzbrukumus, un to izmantošana ir viena un tā pati.

Uzlaboti uzbrucēji nekad neizmanto vienu vektoru, lai uzbruktu, bet elastīgi tos apvieno, pamatojoties uz mērķa vidi. Parasto SYN Flood ir viegli filtrēt ar trafika tīrīšanas ierīcēm, izmantojot reverso atklāšanu, SYN sīkdatnes un citus tehniskus līdzekļus, bet, ja SYN+ACK paketes ir sajauktas SYN Flood, lai katrai viltotai SYN paketei būtu atbilstoša viltota klienta apstiprinājuma pakete, atbilstošais šeit attiecas uz avota IP adresi, avota portu, galamērķa IP, galamērķa portu, TCP loga izmēru, TTL utt. Ievērojami palielināsies spiediens uz plūsmas tīrīšanas iekārtu reversās noteikšanas un SYN sīkdatņu veiktspēju. Faktiski SYN datu paketēm un dažādiem citiem karodziņu bitiem ir īpaši uzbrukuma efekti, kas šeit netiek ieviesti. Ir arī unikālas DNS vaicājumu plūdu metodes.

Pirmkārt, DNS var iedalīt parastajā DNS un autorizētajā domēnā DNS, uzbrūkot parastajam DNS, IP adrese ir nejauši jāvilto, un serverim ir nepieciešama rekursīva izšķirtspēja; Tomēr, uzbrūkot autorizētajam domēna DNS, viltotai avota IP adresei nevajadzētu būt tīri nejaušai, bet tai jābūt iepriekš savāktām ISP DNS adresēm visā pasaulē, lai sasniegtu maksimālu uzbrukuma efektu, lai satiksmes tīrīšanas ierīce būtu neērtā situācijā, pievienojot IP melno sarakstu vai nepievienojot IP melno sarakstu. Tā pievienošana novedīs pie liela skaita slepkavību, un, ja jūs nepievienojat melno sarakstu, katra pakete ir jāpārbauda, kas palielina veiktspējas spiedienu.

No otras puses, kā minēts iepriekš, lai palielinātu ierīces tīrīšanas spiedienu, ir nepieciešams nejauši izvēlēties pieprasīto domēna vārdu, nenokļūstot kešatmiņā, taču jāatzīmē, ka atrisināmajam domēna vārdam ir jābūt noteiktai viltojuma regularitātei, piemēram, viltojot tikai noteiktu domēna vārda daļu un nostiprinot daļu, lai izlauztos cauri tīrīšanas ierīces iestatītajam baltajam sarakstam. Iemesls ir vienkāršs, Tencent serveri var atrisināt tikai Tencent domēna vārdus, un pilnīgi nejauši domēna vārdi var tikt tieši izmesti un jānostiprina. Bet, ja tas ir pilnībā nostiprināts, to ir viegli izmest tieši, tāpēc tas ir jāvilto.

Otrkārt, uzbrukumiem DNS nevajadzētu koncentrēties tikai uz UDP portiem, kas arī ir standarta pakalpojumi saskaņā ar DNS protokolu. Uzbrukuma gadījumā vienlaikus var veikt gan UDP, gan TCP uzbrukumus.

HTTP Flood mērķis ir izlauzties cauri kešatmiņai priekšgalā un tieši sasniegt pašu tīmekļa serveri, izmantojot HTTP galvenes lauka iestatījumus. Turklāt HTTP plūdi ir arī ļoti kritiski mērķu atlasē, un parastie uzbrucēji izvēlēsies lapas, kurām nepieciešami daudz datu vaicājumu, piemēram, meklēšana kā uzbrukuma mērķis, kas ir ļoti pareizs un var patērēt pēc iespējas vairāk servera resursu. Bet šo uzbrukumu ir viegli identificēt, tīrot aprīkojumu, izmantojot cilvēka un mašīnas identifikāciju, tātad, kā atrisināt šo problēmu? Tas ir ļoti vienkārši, mēģiniet izvēlēties lapas, kurām parastie lietotāji piekļūst arī, izmantojot APP, vispārīgi runājot, dažādas tīmekļa API. Parastie lietotāji un ļaunprātīga datplūsma nāk no APP, un atšķirība starp cilvēku un mašīnu ir ļoti maza, un ir grūti atšķirt pamata integrāciju.

Katrs TCP savienojums pastāv servera pusē un pats par sevi, un tam ir arī jāpatērē resursi, lai uzturētu TCP stāvokli, tāpēc savienojumu nevar uzturēt pārāk daudz. Ja to var atrisināt, agresivitāte tiks ievērojami uzlabota, tas ir, Slowloris var uzsākt uzbrukumus bezstāvokļa veidā, uztvert TCP sērijas numuru un apstiprināt TCP savienojumu uzturēšanu klientā, šņaucot, un sistēmas kodolam nav jāpievērš uzmanība dažādām TCP stāvokļa izmaiņām, un piezīmjdators var radīt līdz 65 535 TCP savienojumiem.

Iepriekšējie apraksti ir visi tehniskie uzbrukuma uzlabojumi. No cilvēka puses ir arī citi līdzekļi. Ja SYN Flood nosūta lielu skaitu pakešu un to pavada Slowloris lēni savienojumi, cik cilvēku atklās noslēpumu? Pat ja serveris nedarbojas, var atrast tikai SYN uzbrukumus, cenšoties stiprināt TCP slāņa tīrīšanu un ignorējot lietojumprogrammas slāņa darbību. Visu veidu uzbrukumi var strādāt kopā, lai sasniegtu maksimālu efektu. Uzbrukuma laika izvēle ir arī galvenais punkts, piemēram, apkopes personāla izvēle, kad viņi pusdieno, kad apkopes personāls ir iestrēdzis uz ceļa pēc izkāpšanas no darba vai kad metro bezvadu tīkla kartē nav signāla, un kad mērķa uzņēmums rīko liela mēroga pasākumu un satiksmes pārspriegumu.

Tas ir tīrs uzbrukums, tāpēc netiek sniegts kods vai padziļināts skaidrojums.

Iepriekšējām uzbrukuma metodēm vairāk vai mazāk ir nepieciešami daži roboti, pat HTTP Flood prasa meklēt lielu skaitu anonīmu starpniekserveru. Ja ir uzbrukums, jums ir jāizdod tikai daži norādījumi, un mašīna automātiski parādīsies, lai to izpildītu, kas ir ideāls risinājums. Šis uzbrukums jau ir parādījies, un tas ir no P2P tīkliem.

Kā mēs visi zinām, P2P lietotāji un satiksme internetā ir ārkārtīgi liels skaits. Ja viņi visi dodas uz norādīto vietu, lai lejupielādētu datus un savienotu tūkstošiem reālu IP adrešu, neviena ierīce to nevar atbalstīt. Kā piemēru ņemiet BT lejupielādi, dažu populāru videoklipu straumju viltošana un ievietošana meklētājprogrammās ir pietiekama, lai maldinātu daudzus lietotājus un satiksmi, bet tas ir tikai pamata uzbrukums.

Uzlabotie P2P uzbrukumi ir tieša resursu pārvaldības serveru viltošana. Piemēram, Thunder klients augšupielādēs atrastos resursus resursu pārvaldības serverī un pēc tam nosūtīs tos citiem lietotājiem, kuriem nepieciešams lejupielādēt tos pašus resursus, lai saite tiktu publicēta. Izmantojot protokola maiņu, uzbrucēji vilto lielu daudzumu populāras resursu informācijas un izplata to caur resursu pārvaldības centru, ko var uzreiz izplatīt visā P2P tīklā. Vēl briesmīgāk ir tas, ka šo uzbrukumu nevar apturēt pat pats uzbrucējs, un uzbrukums turpinās, līdz P2P amatpersona atrod problēmu un atjaunina serveri, un lejupielādes lietotājs restartē lejupielādēto programmatūru.

Tas ir viss, kas ir DDoS uzbrukumu ievadā, un es negribu iet tālāk - pietiek ar to, lai saprastu, ka pietiek ar tik daudz aizsardzības.

Kopumā DDoS uzbrukumi var būt veikli un graciozi. Pielietojuma skaistums slēpjas prāta vienotībā.