2022云原生拒绝服务（DDoS）攻击防御机制.docx

云原生拒绝服务（DDoS）攻击防御机制目录1简介62目标73阅读对象74DDOS攻击向量741基于OSl和TCP/IP模型层的DDoS攻击向量842应对DDOS攻击（通过非SDP防御）105 SDP作为一种DDoS的防御机制126 HTTP泛洪攻击与SDP防御146.1战场141.2 攻击解释141.3 防御解释157 TCPSYN泛洪攻击与SDP防御167. 1战场168. 2攻击解释169. 3防御解释168 UDP反射攻击和SDP防御179总结1810术语1911其他阅读材料20附录1：OSl与TCP/IP的层次结构及逻辑协议23附录2：OSI和TCP/IP各层次的DDoS攻击24附录3：DDoS及其他攻击方式的监控地图25附录4：最大规模的DDoS攻击261简介1.1DDoS和DoS攻击定义分布式拒绝服务（DDoS）攻击是一种大规模攻击。在这种攻击中，攻击者使用多个不同的源IP地址（通常有数千个）对单一目标进行同时攻击。目的是使（被攻击者的）服务（或网络）过载，使其不能提供正常服务。由于接收到的流量来源于许多不同的被劫持者，使用入口过滤或来源黑名单等简单技术来阻止攻击是不可能的。当（攻击）分散在如此众多的来源点时，区分合法用户流量和攻击流量变得非常困难。一些DDoS攻击包括伪造发送方IP地址（IP地址欺骗），进一步提高了识别和防御攻击的难度,o拒绝服务（DoS）攻击是一种来自单一来源的攻击，而上述的DDoS攻击是有许多来源的攻击。下图展示了这两种类型的攻击。DDoS攻&3O图1：DOS与DDoS攻击的区别在本白皮书的其余部分，我们将只提及DDoS攻击，但其中的大量内容同样适用于DoS攻击。DDoS的最终目的是压倒一个目标并阻止它向合法用户提供服务。DDoS攻击通常实施于互联网上面向公众的服务，如Web服务器和DNS服务器。正如最近的调查所指出的那样，DDoS当前是并将继续是一个安全问题： 依据【https:/SeCUreliS1季度和第2季度，”数据显示，所有DDoS攻击指标都上升了。攻击总数上升了84%,持续的DDoS会话（超过60分钟）的数量刚好翻了一番”； 来自网站【https:WwW.darkreading,com/PerinIeter1https:/en.wikipedia.org/wiki/Denial-of-service_attackDDoS-for-hire-services-doub1ed-in-q1-/dd-id/1335042的文章指出，DDoS出租服务在2018年第4季度到2019年第2季度翻了一番。为了便于分析，我们将计算机服务分为两大类：公共服务，如DNS服务、web服务和内容分发网络（CDN）这些服务必须在互联网上保持可自由访问，不需要身份识别、验证或授权。保护这些类型的服务免受DDoS攻击不是本白皮书的目标。私有服务，如私有商用应用、员工或客户的工作门户、电子邮件服务器等这些服务旨在提供给明确定义的受众。这些受众具有已知的身份，并可以在使用这些服务之前进行身份验证。这些私有服务是本白皮书的讨论重点，非常适合于使用软件定义边界（SDP）技术来保护其免受DDoS攻击。对于上述两种类型的服务，（提供服务的）组织应当关注其网络服务提供商可提供的检测和缓解服务，因为许多DDoS攻击将影响网络提供商的网络接入服务，通常防御可以在网络的“上游”进行。2目标本文的主要目标是通过展示SDP抵御几种常见攻击（包括HTTP泛洪、TCPSYN和UDP反射）的效率和有效性，提高人们对SDP作为抵御DDoS攻击的工具的认识和理解。3阅读对象本文档的主要目标读者是企业中担任安全、企业架构和法规遵从等角色的人员。这些利害关系人将在很大程度上负责其企业内DDoS防御解决方案的评估、设计、部署或运营。其次，解决方案提供商、服务提供商和技术供应商也将从阅读本文档中受益。4DDoS攻击向量DDoS攻击向量大致分为资源消耗和带宽攻击两类，且可以根据其针对的OSl七层模型中对应层次进行再次分类，如下图所示。此外，还可以根据TCP/IP模型查看，两种模型的比较见附录1和2。注意，TCP/IP四层模型代表了现实世界中的网络当前是如何设置和操作的。OSl代表了一种理想视图，且由于其更详细的分层，通常用于教学和解释目的，本文将使用OSI模型。图中以蓝色高亮的层通常不是DDoS攻击的目标，不包括在我们关注的领域中。从剩下的层中,我们选择了3个以绿色高亮的攻击作为重点。4L基于OSl和TCP/IP模型层的DDoS攻击向量No.OSITCP/IP协议数据单元说明主要攻击焦卢7应用层应用层数据网络进程到应用程序HTTP泛洪攻击和DNS查询泛洪攻击6表示层数据数据表示与加密TLS/SSL攻击5会话层数据主机间通信N/A4传输层传输层数据段端对端连接及可靠性SYN“TCP“泛洪攻击3网络层互联网层数据包路径寻址UDP反射攻击2数据链路层网络接入层帧物理寻址N/A1物理层比特媒体、信号和二进制传输N/A来源：https:应用层攻击应用层DDoS攻击不如传输层和网络层攻击常见 Distribution of DDoS attacks by duration (hours), Q4 2018 & Ql 2019 1 HTTP Get 请求和 HTTP Post 请求,由于不依赖暴力攻击，通常都更复杂。与4层和3层攻击相比，这类攻击的流量要小些，但会集中攻击相对昂贵的应用资源部分(请求大量资源二资源枯竭)，从而使真正的用户无法得到资源。这样做的例子包括：在第7层对登录页面或者昂贵的搜索API的HTTP洪水式请求最为人所知的两个的资源损耗攻击是HTTPGet请求和HTTPPost请求攻击（参见HTTPWSDP防御）oGet请求可被用来获取数据，例如图像，Post请求触发需要被（服务器）处理的动作。Get请求和POSt请求都可以由HTTP客户端（通常为Web浏览器）向HTTP服务器（通常为Web服务器）请求。就损耗服务器资源而言，Post请求通常比Get请求更高效，因为其处理过程（比如需要数据库访问）更复杂。近期成功针对亚马逊云（AnIaZonClOUd）、声田（SPotify）、推特（Twitter）等的DDOS攻击是一个很有启发性的事件，需要云安全设计者们认真对待。在介绍对DDoS攻击进行检测、分析和缓解的可扩展云防御方案的文章中（见引用），作者们介绍了目前最先进的云DDoS防御手段。对DDoS攻击者IP地址的检测，（能）产生有力的威慑，（从而）为保护云资源提供重要突破，而且已有部分厂商可以提供该项技术。互联网工程任务小组（IETF）在RFC282/中建议了一种使用入方向流量过滤的方法，以禁止使用伪造IP地址的DOS攻击。这些IP地址通常从互联网服务提供商（ISP）聚集点传播出来。另一种方法通过监控ISP域内的突发流量变化继以识别承载攻击流量的数据流来检测DDoS攻击。作者们仍然认为各种检测机制的固有缺陷是其能力局限于检测已知的攻击特征。他们不能应对那些经常改变攻击特征的狡猾攻击者。II传输层和网络层攻击传输层（第4层）和网络层（第3层）是DDoS攻击最常见的攻击目标，比如通常所说的TCP的同步（SYN）泛洪攻击和用户数据包（UDP）泛洪攻击等反射性攻击。TCP和IJDP都是用于传输数据包的协议。但是，UDP不具备TCP中固有的流控和错误校验机制。第4层和第3层攻击通常在量级上都是巨大的，旨在使网络带宽或者应用服务器过载从而导致资源耗尽%1） TCP泛洪攻击这种攻击方式（参见TCPSYN泛洪攻击与SDP防御）涉及攻击者发送TCPSYN包以尝试完成三次握手过程（一个完整的连接）。目标服务器随后回复SYNACKs（数据包），原本发送方会发送ACKs报文来结束本次连接，但实际攻击服务器不执行该动作。由于目标服务器被配置为保持TCP连接开放直到攻击者发送ACK报文来关闭该连接，一大批类似的不完整的连接将耗尽目标服务器上的资源，包括最大所允许的开放TCP连接数等。4 DDoS攻击使亚马逊云客户受到强烈冲击.https:WWW5 https:/www.ietf.org/rfc/rfc2827.txt6 2） UDP泛洪攻击简单UDP攻击的原理与TCPSYN同步泛洪攻击类似，数据包被发送到目标服务器，最终形成需要（服务器）分配资源进行处理的未完成的服务请求。更具体一点，UDP数据包被攻击者直接发送到受害者的特定服务器和端口请求服务。FI标系统查询（攻击者）请求但实际并不存在的服务，并回复给攻击者一个KW“目标不可达”报文，指示该项服务是不可达。与SYN“TCP”泛洪类似，这些无效UDP数据包形成的泛洪能够压倒（目标）系统0UDP反射攻击：另一种稍微有所不同的UDP攻击（参见UDP反射攻击&SDP防御）需要攻击者假冒目标服务器的IP地址并假装以该地址为源头发起对互联网上公开服务的查询，（这些公开服务）将发出响应并传送给目标（服务器）。使用这种攻击方式通常是被挑选的，响应结果的数据量往往远超过请求本身（例如超过100倍）。响应会被发送给这个伪造TP的真实用户。这种攻击向量允许攻击者生成巨量数据包从而形成巨大的攻击流量，同时使目标（服务器）很难确认攻击流量的原始来源。注意，TCP反射攻击也是可能的。过去十年中互联网上出现的一些重大的DDoS攻击都与反射放大有关。参见附录4：最大的DDoS攻击事件42则DDoS攻击非SDP防御）DDoS攻击能够通过组合使用检测、转移、过滤、分析等方法进行应对（除进行阻止的SDP应对措施外）。检测的目的是在达到危害级别前就识别出攻击。检测之后，流量被转移进行过滤，继而被丢弃或者驻留供分析。没有被丢弃的流量将被过滤以便正常流程通过。非法流量将被丢弃或者驻留供分析。驻留流量需要被分析以获取各种信息，帮助安全系统在将来更具韧性97层：应用层-数据一种应对方法是采用Web应用防火墙(WebApplicationFirewall,WAF)0WAF带有被设计用于识别过大流量的规则，一旦检测到(过大流量)就使系统限制流量(速率限制)。6层：表示层-数据避免此层攻击的一种方法是将安全的套接字层(SeCUreSocketLayer,SSL)请求卸载到应用程序交付平台(APPIiCationDeliveryPlatforn1,DP)o该平台完成会话报文的解密、检查工作之后再通过SSL或者TLS协议重新加密请求。这可以消除该部分对Web服务器的过载(避免资源耗尽)，释放Web应用资源，从而使得这些资源不被