专栏首页黑白安全如何构建公有云DDoS溯源系统

如何构建公有云DDoS溯源系统

0x00、引子

今天在网上看到北京昌平区网侦中队破获黑客网络犯罪案件,刘先生开发的饭店、酒吧提供点餐、互动平台服务被DDoS,导致数百家合作商户无法进行结账互动,直接经济损失上千万。溯源过程:警方经过近半年的侦查,层层跳转,确定了其中一个攻击源,民警立即来到江苏省某市开展侦查。不得不说这样调查溯源的太浪费人力物力了。曾经听过阿里的同僚说,目前溯源收费标准50万/单。那么如何构建高效的溯源系统,为用户提供高附加值的DDOS溯源服务呢?

0x01、业务需求

需求点1:攻击源实时分析:做威胁情报系统的同事都清楚,黑客基础设施一般寿命都不长,伴随着时间的推移,证据的有效性就无法保证。

需求点2:不是每一起DDoS攻击事件都能溯源的,溯源成本很高,如果构建廉价的溯源系统,是我们需要关注的,如果成本足够低,那么溯源在警方的立案标准就会降低。(目前标准:攻击流量峰值达到100G攻击以上)。

需求点3:溯源要定位到人或者团伙,不只是搞定其黑客基础设施。未接触性网络犯罪是由人发起的。最终完结也需要抓捕到嫌疑人。

0x02、系统架构

我们先确定事件发生的场景,在公有云平台上搭建的业务系统。

1、黑客通过控制C&C服务器,间接控制肉鸡进行DDoS攻击,肉鸡的组成成分比较复杂,不过大分部斗殴是IDC内部linux服务器,因为大部分ISP或者公有云厂商的物理服务器有很大的带宽资源。

2、公有云根据部署架构的区分,有双POP点、多AZ节点,多活的数据中心。需要在每个AZ中部署分光和分流设备。同时支持数据镜像,一份给全流量系统(包含DDoS检测系统)、一份给网络入侵检测系统。

3、根据流量统计需求,4层检测需要部署多台dumpServer。和流量采样PcapServer模块。

4、根据流量统计需求,7层检测需要多台LVS转发系统中部署CC检测引擎。

5、最终把检测数据发送给公有云DDoS溯源系统。同时结合安全运营团队分析,最终确定黑客身份,完成DDoS溯源

0x03、详细设计

首先,看4层溯源解决方案。

在保证业务系统黑洞之前的1~5秒内获取我们想要的攻击源。那么需要解决以下几个问题:

1)、如何判断攻击

四层的DDoS攻击主要包括SYN Flood、NTP反射、DNS反射、UDP Flood、TCP Flood,当我们通过分布式抓包的方式获取到pcap数据包后,对包内容进行统计,简单判断:

· SYN包占比达到40%,即可认为SYN Flood

· NTP包占比达到60%,即可认为NTP Flood

· DNS包占比达到60%,即可认为DNS Flood

· UDP包占比达到40%,即可认为UDP Flood

· TCP包占比达到40%,即可认为TCP Flood,判断为TCP Flood的时候,需要联动7层数据。

如果攻击阈值达到2G,或者为动态阈值。给运营商上游路由器发送黑洞请求。

2)、如果溯源

我们把抓包通过集群方式部署,每台x86服务器处理20G,dump数据包的前80个字节。

通过包过滤分析出是出流量还是入流量,然后过滤与指定目标IP无关的流量。然后统计Top1000的流量IP,然后把这些统计数据发送给pcap Server,再把整个集群发过来的Top1000的数据统一排序。生成新Top1000的数据。 这样就可以统计出针对公有云floatingIP对应的top1000 攻击源。

[被攻击IP] 116.202.8.213

[总流量]:5.5GB

[攻击类型]:SYN Flood

3)、如何数据清洗

@1、先去除伪造IP:使用简单的syn cookies判断即可。

@2、通过扫描器回扫Top1000IP,寻找可反入侵的IP,反入侵后获取DDoS程序。

@3、获取威胁情报数据,攻击IP为IDC时候,大部分主机上被部署了下载器。直接可以获取DDoS程序。

4)、获取身份信息

通过DDoS程序,放入养鸡场、或者使用EDR程序监控、或者使用沙箱方式收集外连数据。寻找到C&C服务器。也只有控制服务器才能找到黑客。

最后放一张前段时间溯源的一张截图。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 阿里安全协助警方打掉最新型DDoS网络攻击平台

    【摘要】图说:阿里协助景宁警方打掉国内首个从事新型DDoS攻击的网络黑灰团伙利用少量带宽即可发起巨量DDoS攻击,让政府问政通道无法正常访问,让学校网页无法下发...

    周俊辉
  • 公司wifi安全

    很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。

    周俊辉
  • kail洪水攻击

    在计算机行业,拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是指不法分子企图让某机器或网络资源无法被预期的用户所使用。虽然执行DoS攻击的方式、动机和目标不...

    周俊辉
  • Python随笔(三)虚拟机运行原理 原

    说到Python的运行机制,就不得不从.pyc文件和字节码说起 PyCodeObject对象的创建时机是模块加载的时候,即import。

    Pulsar-V
  • 如何将威胁情报整合到安全意识项目中?

    优秀的网络威胁情报能够帮助企业预见、应对并解决威胁因素。虽然优秀的情报当中必然包含大量内容,但企业绝不能单纯依靠内容来驱动整个运营体系中的价值实现方式。企业管理...

    FB客服
  • Springboot dubbo @Service @Transactional 无法提供服务或者无法提供事务的解决办法

    版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.n...

    用户1149268
  • 谷歌官宣重大人事变动:陈俊廷升任大中华区总裁

    谷歌官方证实重大人事变动:6月17日起,大中华区总裁一职由陈俊廷(Stanley Chen)接任,进驻上海负责谷歌中国的广告销售业务与运营。而此前担任大中华区总...

    新智元
  • GitHub标星1.3k!一款功能强大的特征选择工具

    特征选择(feature selection)是查找和选择数据集中最有用特征的过程,是机器学习流程中的一大关键步骤。不必要的特征会降低训练速度、降低模型可解释性...

    用户2769421
  • 音频打标签工具

    代码在:https://github.com/vell001/audio-annotator

    vell001
  • GitHub开源项目!一款功能强大的特征选择工具

    特征选择(feature selection)是查找和选择数据集中最有用特征的过程,是机器学习流程中的一大关键步骤。不必要的特征会降低训练速度、降低模型可解释性...

    石晓文

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动