一种 " 变种 "DDoS 防火墙绕过攻击

2022-03-07 13:29:04 浏览数 (2)

什么是DDoS?

分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。

DDoS分类

一、基于自动化程度分类

1、手工的DDoS攻击。

早期的DDoS攻击全是采用手动配置的,即发动DDoS攻击时,扫描远端有漏洞的计算机,侵入它们并且安装代码全是手动完成的。

2、半自动化的DDoS攻击。

在半自动化的攻击中,DDoS攻击属于主控端一代理端的攻击模型,攻击者用自动化的Scripts来扫描,主控端的机器对主控端和代理端之间进行协商攻击的类型、受害者的地址、何时发起攻击等信息由进行详细记录。

3、自动化的DDoS攻击。

在这类攻击中。攻击者和代理端机器之间的通信是绝对不允许的。这类攻击的攻击阶段绝大部分被限制用一个单一的命令来实现,攻击的所有特征,例如攻击的类型,持续的时间和受害者的地址在攻击代码中都预先用程序实现。

二、基于系统及协议的弱点分类

1、洪水攻击。

在洪水攻击中。傀儡机向受害者系统发送大量的数据流为了充塞受害者系统的带宽,影响小的则降低受害者提供的服务,影响大的则使整个网络带宽持续饱和,以至于网络服务瘫痪。典型的洪水攻击有UDP洪水攻击和ICMP洪水攻击。

2、扩大攻击。

扩大攻击分为两种,一种是利用广播lP地址的特性,一种是利用反射体来发动攻击。前一种攻击者是利用了广播IP地址的特性来扩大和映射攻击,导致路由器将数据包发送到整个网络的广播地址列表中的所有的广播IP地址。这些恶意的流量将减少受害者系统可提供的带宽。典型的扩大攻击有Smurf和Fraggle攻击。

3、利用协议的攻击。

该类攻击则是利用某些协议的特性或者利用了安装在受害者机器上的协议中存在的漏洞来耗尽它的大量资源。典型的利用协议攻击的例子是TCP SYN攻击。

4、畸形数据包攻击。

攻击者通过向受害者发送不正确的IP地址的数据包,导致受害系统崩溃。畸形数据包攻击可分为两种类型:IP地址攻击和IP数据包属性攻击。

三、基于攻击速率分类

DDoS攻击从基于速率上进行分类,可以分为持续速率和可变速率的攻击。持续速率的攻击是指只要开始发起攻击,就用全力不停顿也不消减力量。像这种攻击的影响是非常快的。可变速率的攻击,从名字就可以看出,用不同的攻击速率,基于这种速率改变的机制,可以把这种攻击分为增加速率和波动的速率。

四、基于影响力进行分类

DDoS攻击从基于影响力方面可以分为网络服务彻底崩溃和降低网络服务的攻击。服务彻底崩溃的攻击将导致受害者的服务器完全拒绝对客户端提供服务。降低网络服务的攻击,消耗受害者系统的一部分资源,这将延迟攻击被发现的时间,同时对受害者造成一定的破坏。

五、基于入侵目标分类

DDoS攻击从基于入侵目标,可以将DDoS攻击分为带宽攻击和连通性攻击,带宽攻击通过使用大量的数据包来淹没整个网络,使得有效的网络资源被浪费,合法用户的请求得不到响应,大大降低了效率。而连通性攻击是通过发送大量的请求来使得计算机瘫痪,所有有效的操作系统资源被耗尽,导致计算机不能够再处理合法的用户请求。

六、基于攻击路线分类

1、直接攻击:攻击者和主控端通信,主控端接到攻击者的命令后,再控制代理端向受害者发动攻击数据流。代理端向受害者系统发送大量的伪IP地址的网络数据流,这样攻击者很难被追查到。

2、反复式攻击通过利用反射体,发动更强大的攻击流。反射体是任何一台主机只要发送一个数据包就能收到一个数据包,反复式攻击就是攻击者利用中间的网络节点发动攻击。

七、基于攻击特征分类

从攻击特征的角度,可以将DDoS攻击分为攻击行为特征可提取和攻击行为特征不可提取两类。攻击行为特征可提取的DDoS攻击又可以细分为可过滤型和不可过滤型。可过滤型的DDoS攻击主要指那些使用畸形的非法数据包。不可过滤型DDoS攻击通过使用精心设计的数据包,模仿合法用户的正常请求所用的数据包,一旦这类数据包被过滤将会影响合法用户的正常使用。

目前,得益于运营商以及云安全厂商双方的共同努力,已经极大地限制了 UDP 反射类攻击以及传统的SYN Flood、ACK Flood 等攻击的攻击效果。

因此,部分黑客将攻击思路转向如何利用 TCP 反射攻击使攻击流量变成真实 IP 攻击,从而穿透传统 DDoS 防火墙直接攻击后端服务器。

案例观察:一起披着 TCP 反射攻击外皮的 SYN Flood 攻击的典型攻击事件

第一步:绕过防火墙策略

攻击者发动 TCP 反射攻击,伪造攻击目标源 IP 向公网服务器发起连接请求。由于参与 TCP 反射攻击的公网服务器 IP 均为真实的 IP,具有协议栈行为,可以通过 DDoS 防火墙的源认证,同时被加入防火墙 IP 白名单(白名单内的 IP 发送的数据包将直接被放行)。

第二步:实施真正的攻击

攻击者实施 SYN Flood 攻击,伪装公网服务器 IP(第一步中参与 TCP 反射攻击的公网服务器 IP)发送大量 SYN 数据包,由于攻击使用 IP 已经处于防火墙 IP 白名单内,因此 SYN 数据包穿透 DDoS 防火墙,直接传至后端服务器处,达到 DDoS 攻击效果。

应对此类攻击,需要及时介入调整防火墙策略,最大程度控制攻击影响面,并优化防火墙检测逻辑,保证后续对此类攻击的防护效果。

在此类攻击中,TCP 反射攻击被用作绕过 DDoS 防火墙的手法,最终达到最大化 SYN Flood 攻击效果的目的。黑客的攻击手法已经逐渐转变为更有技术性、更有针对性。

0 人点赞