DoS-Abwehr

Tags:
Categories:

DDoS-Abwehr

DDoS-Definition

Zwei Arten von DoS-Angriffen:

  • Dienst zum Absturz bringen
  • Netzwerk überlasten

Angriffsarten

Angriffsart Angriffsmethode Gegenmaßnahmen
Distributed DoS Mehrere Maschinen mit unabhängigen IPs starten gleichzeitig einen Angriff 1. Dienstdegradierung 2. Blacklist 3. Netzwerkgeräte abschalten
Yo-yo attack 悠悠球攻击 Angriff in den Pausen, in denen die Ressourcen von Diensten mit automatischer Skalierung abnehmen Blacklist
Application layer attacks 应用层攻击 Angriffe auf bestimmte Funktionen oder Eigenschaften; LAND gehört zu dieser Art Blacklist
LANS Diese Angriffsmethode verwendet speziell konstruierte TCP-SYN-Pakete (normalerweise zum Öffnen einer neuen Verbindung), die dazu führen, dass die Zielmaschine eine leere Verbindung öffnet, bei der Quell- und Zieladresse ihre eigene IP sind. Führt zu ständigen Selbstantworten und verbraucht Systemressourcen bis zum Absturz. Unterscheidet sich von der SYN-Flood-Attacke. Blacklist
Advanced persistent DoS 高级持续性 DoS Aufklärung vermeiden / klare Ziele / Gegenmaßnahmen umgehen / langfristige Angriffe / hohe Rechenleistung / Multi-Thread-Angriffe Dienstdegradierung
HTTP slow POST DoS attack 慢 post 攻击 Erstellt legitime Verbindungen und sendet dann große Datenmengen mit extrem langsamer Geschwindigkeit, was zu Erschöpfung der Serverressourcen führt Dienstdegradierung
Challenge Collapsar (CC) attack 挑战 Collapsar (CC) 攻击 Sendet häufig Standard-Legitimierungsanfragen, die viele Ressourcen belegen, z. B. verbrauchen Suchmaschinen viel Speicher Dienstdegradierung, Inhaltserkennung
ICMP flood Internet 控制消息协议 (ICMP) 洪水 Große Menge an Ping-/Fehlerping-Paketen / Ping of Death (fehlergeformtes Ping-Paket) Dienstdegradierung
永久拒绝服务攻击 Permanent denial-of-service attacks Angriffe auf die Hardware Inhaltserkennung
反射攻击 Reflected attack Sendet Anfragen an Dritte und leitet durch Fälschung der Adresse die Antworten an das eigentliche Opfer weiter DDoS-Bereich
Amplification 放大 Nutzt einige Dienste als Reflektoren, um den Datenverkehr zu verstärken DDoS-Bereich
Mirai botnet 僵尸网络 Nutzt kompromittierte IoT-Geräte DDoS-Bereich
SACK Panic 麻袋恐慌 Manipuliert die Maximum Segment Size und Selective Acknowledgments, was zu erneuten Übertragungen führt Inhaltserkennung
Shrew attack 泼妇攻击 Nutzt die Schwäche des TCP-Retransmission-Timeout-Mechanismus; kurze synchrone Verkehrsspitzen unterbrechen TCP-Verbindungen auf derselben Leitung Timeout-Verwurf
慢读攻击 Slow Read attack Ähnlich wie Slow Post; sendet legitime Anfragen, liest aber sehr langsam, um den Verbindungspool zu erschöpfen. Wird durch Ankündigung einer sehr kleinen Zahl für das TCP Receive Window erreicht Timeout-Trennung, Dienstdegradierung, Blacklist
SYN flood SYN 洪水 Sendet eine große Anzahl von TCP/SYN-Paketen, was dazu führt, dass der Server halb offene Verbindungen erstellt Timeout-Mechanismus
泪珠攻击 Teardrop attacks Sendet beschädigte IP-Fragmente mit überlappenden oder übermäßigen Nutzlasten an die Zielmaschine Inhaltserkennung
TTL 过期攻击 Wenn Pakete aufgrund von TTL-Ablauf verworfen werden, muss die CPU des Routers eine ICMP-Timeout-Antwort generieren und senden. Das Generieren vieler solcher Antworten überlastet die CPU des Routers Traffic verwerfen
UPnP 攻击 Basiert auf DNS-Verstärkungstechnologie, aber der Angriffsmechanismus ist ein UPnP-Router, der Anfragen von einer externen Quelle an eine andere weiterleitet und UPnP-Verhaltensregeln ignoriert Dienstdegradierung
SSDP 反射攻击 Viele Geräte, einschließlich einiger Residential-Router, haben eine Sicherheitslücke in der UPnP-Software, die Angreifer ausnutzen können, um Antworten an eine Zieladresse ihrer Wahl über Port 1900 zu erhalten Dienstdegradierung, Port sperren
ARP 欺骗 Verknüpft eine MAC-Adresse mit der IP-Adresse eines anderen Computers oder Gateways (z. B. Router), was dazu führt, dass der für die ursprüngliche echte IP bestimmte Traffic zum Angreifer umgeleitet wird, was zu einem Denial of Service führt DDoS-Bereich

Abwehrmaßnahmen

  1. Identifizierung von Angriffsverkehr
    • Dienststörung
      • Identifizierung des Verkehrsinhalts
    • Dienstüberlastung
      • Aufzeichnung der Zugriffszeiten
  2. Umgang mit Angriffsverkehr
    • Verwerfen von Angriffsverkehr
    • Blockieren von Angriffs-IPs
      • Anzahl der IPv4-IPs ist begrenzt, einfach eine Blacklist zu erstellen
      • Anzahl der IPv6-Adressen ist groß, nicht einfach eine Blacklist zu erstellen. IPv6-Adressbereiche können verwendet werden, aber es besteht ein Risiko falscher Sperren
    • Zugriffsfrequenz steuern (Rate Limiting)

Open-Source-Tools

Angriffstools

Abwehrtools

Netzwerküberwachung