转自http://dev.aliyun.com/read.php?spm=0.0.0.0.FFtfbi&tid=25

应对篇 ——DDoS防御方案



1. 防御基础



1.1 攻击流量到底多大


DDoS防御,首先就是要知道到底遭受了多大的攻击。这个问题看似简单,实际上却有很多不为人知的细节在里面。
SYN Flood为例,为了提高发送效率在服务端产生更多的SYN等待队列,攻击程序在填充包头的时候,IP首部和TCP首部都不填充可选的字段,因此IP首部长度恰好是20字节,TCP首部也是20字节,共40字节。
对于以太网来说,最小的包长度数据段必须达到46字节,而攻击报文只有40字节,因此,网卡在发送的时候,会作一些处理,在TCP首部的末尾,填充60来满足最小包的长度要求。这个时候,整个数据包的长度为14字节的以太网头,20字节的IP头,20字节的TCP头,再加上因为最小包长度要求而填充的6个字节的0,一共是60字节。
但是这还没有结束。以太网在传输数据的时候,还有CRC检验的要求。网卡会在发送数据之前对数据包进行CRC检验,将4字节的CRC值附加到包头的最后面。这个时候,数据包长度已经不再是40字节,而是变成了64字节了,这就是常说的SYN小包攻击。  
64字节的时候,SYN数据包已经填充完成,准备开始传输了。攻击数据包很小,远远不够最大传输单元(MTU)的1500字节,因此不会被分片。那么这些数据包就像生产流水线上的罐头一样,一个包连着一个包紧密的挤在一起传输的吗?事实上不是这样的。
以太网在传输的时候,还有前导码(preamble)和帧间距(inter-frame gap)。其中前导码占8字节(byte),64比特位。前导码前面的7字节都是1010101010间隔而成。但是第八个字节就变成了10101011,当主机监测到连续的两个1的时候,就知道后面开始是数据了。在网络传输的时候,数据的结构如下:
| 8字节前导码 | 6字节目的MAC地址 | 6字节源MAC地址 | 2字节上层协议类型 | 20字节IP | 20字节TCP | 6字节以太网填充 | 4字节CRC检验 | 12字节帧间距
也就是说,一个本来只有40字节的SYN包,在网络上传输的时候占得带宽,其实是84字节。
有了上面的基础,现在可以开始计算攻击流量和网络设备的线速问题了。当只填充IP头和TCP头的最小SYN包跑在以太网络上的时候,100Mbit的网络,能支持的最大PPSPacket Per Second)是100*10^6 / (8 * (64   8   12)) = 1488091000Mbit的网络,能支持的最大PPS1488090

1.2 SYN Flood防御


前文的攻击介绍过描述过,SYN
Flood
攻击大量消耗服务器的CPU、内存资源,并占满SYN等待队列。相应的,我们修改内核参数即可有效缓解。主要参数如下:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_synack_retries = 2
分别为启用SYN
Cookie
、设置SYN最大队列长度以及设置SYN ACK最大重试次数。
SYN Cookie的作用是缓解服务器资源压力。启用之前,服务器在接到SYN数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN ACK确认报文之后,清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包,通过cookie检验算法鉴定是否与发出去的SYN ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃。当然,前文的高级攻击中有SYN混合ACK的攻击方法,则是对此中防御方法的反击,其中优劣由双方的硬件配置决定。
tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接以至于正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN ACK报文重试次数,尽快释放等待资源。这三种措施与攻击的三种危害一一对应,完完全全的对症下药。但是这些措施也是双刃剑,可能消耗服务器更多的内存资源,甚至影响正常用户建立TCP连接,需要评估服务器硬件资源和攻击大小谨慎设置。
除了定制TCP/IP协议栈之外,还有一种常见做法是TCP首包丢弃方案,利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间试图接受该IPSYN重传报文,等待超时则判定为攻击报文加入黑名单。
首包丢弃方案对用户体验会略有影响,因为丢弃首报重传会增大业务的响应时间,有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受,按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单,由设备伪装真实客户端IP地址再与真实服务器完成三次握手,随后转发数据。而指定时间内没有和设备完成三次握手的IP地址,被判定为恶意IP地址屏蔽一定时间。除了SYN Cookie结合TCP Proxy外,清洗设备还具备多种畸形TCP标志位数据包探测的能力,通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。
清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈,可以处理非常巨大的流量和SYN队列。

1.3 HTTP Flood防御


HTTP Flood攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业,会有庞大的CDN节点缓存内容。
当高级攻击者穿透缓存时,清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IPHTTP请求频率做统计,高于一定频率的IP地址加入黑名单。这种方法过于简单容易带误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是javascript跳转人机识别方案。
HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时,返回一段特殊Javascript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。

1.4 DNS Flood防御


DNS攻击防御也有类似HTTP的防御手段,第一方案是缓存。其次是重发,可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。
特殊的,对于授权域DNS的保护,设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用,在攻击时,非此列表的请求一律丢弃,大幅降低性能压力。对于域名,实行同样的域名白名单机制,非白名单中的域名解析请求,做丢弃处理。

1.5 慢速连接攻击防御


Slowloris攻击防御比较简单,主要方案有两个:
第一个是统计每个TCP连接的时长并计算单位时间内通过的报文的数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击,过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。
第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。

2. 企业级防御


互联网企业防御DDoS攻击,主要使用上文的基础防御手段,重点在于监控、组织以及流程。
监控需要具备多层监控、纵深防御的概念,从骨干网络、IDC入口网络的BPSPPS、协议分布,负载均衡层的VIP新建连接数、并发连接数、BPSPPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效,其他监控点也能够及时的给出报警信息。多个点信息结合,准确的判断被攻击目标和攻击手法。
一旦发现异常立即启动在虚拟的防御组织中开始应急流程,防御组织需要囊括到足够全面的人员,至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等,所有的人员都需要要2-3个备份。流程启动后,除了人工处理,还应该包含一定的自动处理、半自动处理能力。如自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最先发现攻击的部门可以做一些缓解措施。
除了DDoS到来之时的流程等工作之外,更多的工作是在攻击到来之前。主要包含CDN节点部署,DNS设置,流程演习等。对于企业来说,具备多个CDN节点是DDoS防御容量的关键指标。当一个机房承担不住海量数据的时候,可以通过DNS轮询的方式,把流量引导到多个分布节点,使用防御设备分头处理。因此DNSTTL值需要设置得足够小,能够快速切换,每个CDN节点的各种VIP设置也需要准备充分。
在虚拟化时代,各种用户的不同业务共处在相同的物理机平台,遭受DDoS攻击的可能性越来越高,而且一个用户被攻击可能牵扯到大量的其它用户,危害被显著放大,因此防御显得尤为重要。阿里云的虚拟化业务,平均每天遭受约20DDoS攻击,最大流量达到接近20Gbit/s,所有的这些攻击都在15分钟内自动处理完成,让我们的客户远离DDoS的威胁,专心发展业务。
总的来说,DDoS防御,主要的工作是幕后积累。台上10分钟,台下十年功,没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将是所有人的噩梦。

posted on 2014-08-01 10:56  在学习路上  阅读(209)  评论(0编辑  收藏  举报