如何构建公有云DDoS溯源系统

栏目: 编程工具 · 发布时间: 4年前

内容简介:0x00、引子今天在网上看到北京昌平区网侦中队破获黑客网络犯罪案件,刘先生开发的饭店、酒吧提供点餐、互动平台服务被DDoS,导致数百家合作商户无法进行结账互动,直接经济损失上千万。溯源过程:警方经过近半年的侦查,层层跳转,确定了其中一个攻击源,民警立即来到江苏省某市开展侦查。不得不说这样调查溯源的太浪费人力物力了。曾经听过阿里的同僚说,目前溯源收费标准50万/单。那么如何构建高效的溯源系统,为用户提供高附加值的DDOS溯源服务呢?0x01、业务需求

0x00、引子

今天在网上看到北京昌平区网侦中队破获黑客网络犯罪案件,刘先生开发的饭店、酒吧提供点餐、互动平台服务被DDoS,导致数百家合作商户无法进行结账互动,直接经济损失上千万。溯源过程:警方经过近半年的侦查,层层跳转,确定了其中一个攻击源,民警立即来到江苏省某市开展侦查。不得不说这样调查溯源的太浪费人力物力了。曾经听过阿里的同僚说,目前溯源收费标准50万/单。那么如何构建高效的溯源系统,为用户提供高附加值的DDOS溯源服务呢?

0x01、业务需求

需求点1:攻击源实时分析:做威胁情报系统的同事都清楚,黑客基础设施一般寿命都不长,伴随着时间的推移,证据的有效性就无法保证。

需求点2:不是每一起DDoS攻击事件都能溯源的,溯源成本很高,如果构建廉价的溯源系统,是我们需要关注的,如果成本足够低,那么溯源在警方的立案标准就会降低。(目前标准:攻击流量峰值达到100G攻击以上)。

需求点3:溯源要定位到人或者团伙,不只是搞定其黑客基础设施。未接触性网络犯罪是由人发起的。最终完结也需要抓捕到嫌疑人。

0x02、系统架构

我们先确定事件发生的场景,在公有云平台上搭建的业务系统。

如何构建公有云DDoS溯源系统

1、黑客通过控制C&C服务器,间接控制肉鸡进行DDoS攻击,肉鸡的组成成分比较复杂,不过大分部斗殴是IDC内部 linux 服务器,因为大部分ISP或者公有云厂商的物理服务器有很大的带宽资源。

2、公有云根据部署架构的区分,有双POP点、多AZ节点,多活的数据中心。需要在每个AZ中部署分光和分流设备。同时支持数据镜像,一份给全流量系统(包含DDoS检测系统)、一份给网络入侵检测系统。

3、根据流量统计需求,4层检测需要部署多台dumpServer。和流量采样PcapServer模块。

4、根据流量统计需求,7层检测需要多台LVS转发系统中部署CC检测引擎。

5、最终把检测数据发送给公有云DDoS溯源系统。同时结合安全运营团队分析,最终确定黑客身份,完成DDoS溯源

0x03、详细设计

首先,看4层溯源解决方案。

在保证业务系统黑洞之前的1~5秒内获取我们想要的攻击源。那么需要解决以下几个问题:

1)、如何判断攻击

四层的DDoS攻击主要包括SYN Flood、NTP反射、DNS反射、UDP Flood、TCP Flood,当我们通过分布式抓包的方式获取到pcap数据包后,对包内容进行统计,简单判断:

· SYN包占比达到40%,即可认为SYN Flood

· NTP包占比达到60%,即可认为NTP Flood

· DNS包占比达到60%,即可认为DNS Flood

· UDP包占比达到40%,即可认为UDP Flood

· TCP包占比达到40%,即可认为TCP Flood,判断为TCP Flood的时候,需要联动7层数据。

如果攻击阈值达到2G,或者为动态阈值。给运营商上游路由器发送黑洞请求。

2)、如果溯源

我们把抓包通过集群方式部署,每台x86服务器处理20G,dump数据包的前80个字节。

通过包过滤分析出是出流量还是入流量,然后过滤与指定目标IP无关的流量。然后统计Top1000的流量IP,然后把这些统计数据发送给pcap Server,再把整个集群发过来的Top1000的数据统一排序。生成新Top1000的数据。 这样就可以统计出针对公有云floatingIP对应的top1000 攻击源。

[被攻击IP] 116.202.8.213

[总流量]:5.5GB

[ 攻击类型 ]: SYN Flood

如何构建公有云DDoS溯源系统

3)、如何数据清洗

@1、先去除伪造IP:使用简单的syn cookies判断即可。

@2、通过扫描器回扫Top1000IP,寻找可反入侵的IP,反入侵后获取DDoS程序。

@3、获取威胁情报数据,攻击IP为IDC时候,大部分主机上被部署了下载器。直接可以获取DDoS程序。

4)、获取身份信息

通过DDoS程序,放入养鸡场、或者使用EDR程序监控、或者使用沙箱方式收集外连数据。寻找到C&C服务器。也只有控制服务器才能找到黑客。

最后放一张前段时间溯源的一张截图。

如何构建公有云DDoS溯源系统


以上所述就是小编给大家介绍的《如何构建公有云DDoS溯源系统》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

见微知著-WEB用户体验解构

见微知著-WEB用户体验解构

李清 / 机械工业出版社 / 2010-4 / 36.00元

本书用解构分析的方法,系统全面地介绍了Web页面设计的相关知识和要素。 本书从整体到局部地对网站的元素进行解构,包括网站整体布局、整体配色方案,到网站各个功能区域,如登录区、内容区、广告区等,最后到按钮、反馈、验证码、字体、文字语气等多个细节元素。本书通过解构这些元素来讲述如何对用户体验设计进行优化,如何进行搜索引擎优化。 本书适用于网站交互设计师、视觉设计师、产品经理、网站设计人员、......一起来看看 《见微知著-WEB用户体验解构》 这本书的介绍吧!

html转js在线工具
html转js在线工具

html转js在线工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具