云环境中的威胁 – 第2部分:分布式拒绝服务攻击

本文深入探讨了云环境中的分布式拒绝服务(DDoS)攻击,包括攻击类型如SYN洪水、DNS放大攻击,以及防御策略如DNS服务器配置和源IP验证,帮助组织提升服务可用性和安全性。

云环境中的威胁 – 第2部分:分布式拒绝服务攻击

本文章是Microsoft Security博客“Threats in the Cloud – Part 2: Distributed Denial of Service Attacks”(2014年2月7日发布)的翻译版本。

连接到互联网使用的网站、门户、云服务等服务的运营或使用的组织,需要了解可能干扰服务的威胁。本系列的第一部分讨论了域名系统(DNS)攻击及其伴随的服务干扰和大量用户恶意软件感染,这里我们将结合最新版Microsoft Security Intelligence Report(第15版)的见解,探讨分布式拒绝服务(DDoS)攻击。

分布式拒绝服务(DDoS)攻击

另一个常见的攻击向量(手段或路径)是DDoS攻击,旨在对互联网云服务和Microsoft在线服务产生负面影响。Microsoft通过日常采取缓解DoS和DDoS攻击影响的措施,作为防御DDoS的手段,确保为服务和客户提供正常运行时间和可用性。常见的攻击类型包括SYN洪水、DNS放大攻击、格式错误的TCP或UDP数据包,以及HTTP或DNS特定的应用层漏洞利用。许多免费可用的DDoS工具包中使用的一种常见攻击手法涉及包含固定负载的分段IP数据包。

例如,2013年3月广泛报道的DDoS攻击案例中,攻击者使用DNS放大攻击以高达300吉比特/秒(Gbps)的流量攻击Spamhaus的垃圾邮件防护服务。有关此攻击的更多详情,请参阅Michael McNally在ISC Knowledge Base上撰写的文章“What is a DNS Amplification Attack?”(英文信息)。

DDoS攻击通常通过监控遥测发现,如图1所示,流量每秒数据包数和每秒比特数均大幅上升。图1中显示的30 Mbps攻击是名义上的,但如果未被检测到,可能会影响服务的可用性。即使服务本身仍可供用户使用,用户连接服务所用的带宽可能耗尽,导致服务速度下降、服务间歇性连接、可靠性降低或无法连接到服务。

图1: DDoS攻击中的监控遥测流

涉及IP分段的常见攻击可能包含填充的负载,其中单个ASCII字符如“A”(十六进制为0x41,如图2所示)被重复多次,并使用多个通信协议传输,如用户数据报协议(UDP)、传输控制协议(TCP)、互联网控制消息协议(ICMP)、KRYPTOLAN、多用途消息事务协议(VMTP)、互联网协议版本6(IPv6)和扩展名称服务(XNS)。数据包通常包含1,518字节的完整负载,并将UDP分段发送到目标系统的多个目标端口。

图2: DDoS攻击导致的UDP分段

在一次60秒的DDoS攻击中,Microsoft检测到超过8,985个唯一IP地址发送分段流量。在此期间,服务不得不拒绝接收数据包,因此实际攻击次数可能远高于已确认的数据。后续调查发现,主机参与了最近的DDoS攻击(通过Microsoft Digital Crimes Unit合法获取),并确定常见攻击工具(Backdoor:Perl/IRCbot.E)被用于UDP洪水攻击。使用IRCbot等工具,任何人都可以轻松启动可能对云服务、网站、门户等造成损害的攻擊。Microsoft和其他云服务提供商采取了缓解此类攻击的防御措施和技术,但这可能需要密集的资源使用。

风险管理指南

由于DDoS攻击的缓解可能具有挑战性,云服务提供商和网站运营商需要为此类攻击做好准备。以下是具体指南的总结。

为了防止DNS放大攻击,所有DNS管理员相互自愿合作至关重要。美国计算机应急响应小组(US-CERT)提出了一些管理员应采取的措施,以防止攻击者利用DNS服务器发起攻击。这里我们讨论其中一部分,更多详情请参阅https://www.us-cert.gov/ncas/alerts/TA13-088A(英文信息)。

大多数DNS放大攻击利用互联网上计算机发送的DNS查询解析的开放DNS名称服务器。因此,系统管理员应配置DNS服务器忽略从域外主机接收的查询。管理员可用的许多工具可用于检测网络中配置错误的DNS服务器,包括:

  • Open Resolver Project管理开放DNS解析器列表,并提供搜索开放解析器IP地址范围的接口。
  • Measurement Factory也管理开放DNS解析器列表,并提供免费工具以确定特定服务器是否允许递归查询(open recursion)。

DNS解析器管理员可以利用几种方法防止资源被用于攻击,包括限制授权客户的递归。

  • 源IP验证:即使配置良好的DNS解析器也可能被攻击者利用源IP地址伪装DNS查询。互联网工程任务组(IETF)发布了两份最佳当前实践(BCP)文档(http://tools.ietf.org/html/bcp38和http://tools.ietf.org/html/bcp84),描述了系统管理员执行网络入口过滤以拒绝使用无法通过数据包实际获取路径检测的地址发送的数据包的步骤。
  • 权威名称服务器上禁用递归:权威名称服务器是解析指定域(如microsoft.com)及可选一个或多个子域(如www.microsoft.com)的公共名称的服务器。由于需要公共访问,权威名称服务器应拒绝来自客户的递归查询。有关在Windows Server上禁用递归的方法,请参阅“在DNS服务器上禁用递归”。
  • 限制授权客户的递归:组织或互联网服务提供商(ISP)中部署的DNS服务器应配置为仅允许代表授权客户执行递归查询,最好仅限于组织网络内的客户。

DDoS攻击可能针对任何云服务或网站。运营良好的云服务往往比大多数企业IT基础设施更具备应对DDoS攻击的措施。对于在保护网站和网络基础设施其他关键部分免受DDoS攻击方面遇到困难的組織,应考虑将部分资源迁移到云,以利用云服务提供的安全和运营优势。

Trustworthy Computing部门
总监
Tim Rains(蒂姆·雷恩斯)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次