Anycastvs.DDoS-EvaluatingtheNovember2015RootDNSEvent.pptx

目录 相关知识介绍 文章工作 理论模型分析 数据集分析 相关知识介绍 --任播与DDoS 任播(Anycast) 多个服务器使用同一IP地址，网络将请求发送到任一服务器的传播方式。一般基于最近的原则。 拒绝服务攻击(DoS,Deny of Service) 攻击者采用大量假冒的或者看起来来合法的请求淹没被攻击服务器，使得被攻击服务器疲于应对攻击流量而不能响应合法用户的请求的攻击。 分布式拒绝服务攻击 (DDoS,Distributed Deny of Service) 攻击者使用大量地址同时发起Dos攻击的攻击方式。 相关知识介绍 --DDoS技术与防御 DDoS技术 源地址欺骗(Spoofing):攻击者使用一台机器模拟多个地址 放大(Amplification)：通过一些协议的漏洞增加消息的字节数 僵尸网络（Botnet）：通过木马等手段控制普通用户的机器发起攻击 采用僵尸网络的DDoS攻击甚至可以在不适用另两种技术的情况下造成超大规模的攻击。根据2016年必威体育精装版的数据，50~540GB/s的攻击已经是可能的了。 DDoS防御 协议层面的防御：比如源地址确认（对应源地址欺骗）、应答率限制（对应放大）等。但在实际网络上的部署状况很不好。 任播：当DDoS攻击到达时通过任播将攻击流量转给其他站点 商业的DDoS防御服务：效果很好，但DNS服务并没有使用 相关知识介绍 --DNS服务架构 最下面的字母表示根服务器(Root Letters)，总共有13个根服务器由12个不同的组织完成不同的实现以提升鲁棒性，这些根服务器是共享元数据源的。 每个根服务器下有许多站点(Sites)，每个站点提供相同的服务，当用户访问时，会通过BGP的任播找到离他最近的站点。 每个站点内部有一些服务器(Servers)作为内部的负载均衡、容灾等考虑，这些服务器的多少与站点的大小有关。 由于工业级的缓存以及DNS面向容灾设计的原因，即使根服务器下的站点因为攻击而崩溃，最终用户也可能直接从缓存读取而感知不到错误。 文章工作 在2015年11月30日和2015年12月1日发生了针对DNS根服务器的大规模DDoS攻击。文章分析了这次攻击的公共数据并且聚焦于对在压力下各站点间任播服务的评估。 这次攻击的规模到底有多大？ 独立的根服务器受了多大的影响？ 任播的站点受了多大的影响？ DNS提供的服务受了多大的影响？ 独立的内部服务器受了多大的影响？ 没有收到攻击的服务会收到影响么？ 理论模型分析 数据集分析 理论模型分析 --理想最佳策略 1)如果A0+A1S1 那么这次攻击不会造成伤害，H=4 2)如果A0+A1S1而且A0S1,A1S1 那么最佳策略是s1转发A0到s2，此时H=4 3)如果A0S1而且A0+A1S3 那么最佳策略是s1转发A0和A1到s3，此时H=4 4) 如果A0s1且A0+A1s3但是A1s3 那么最佳策略是s1转发A1到s3,此时H=3 如果A0S3 那么最佳策略是s1吸收所有的流量并且瘫痪，此时H=2 s1、s2和s3表示三个不同的站点，其中容量10*s1=10*s2=s3表示。c表示请求服务的合法用户，c0、c1由s1负责，c2由s2负责，c3由s3负责。A0、A1表示DDoS攻击的巨大流量。H表示可以者个系统中可以访问服务的客户端数量。 数据集的准备 提供的检测网络性能的VP，这些VP定期测量DNS根服务器的数据 RIPE BGPmon 路由变更的数据集合 RSSAC-002 由DNS服务官方提供的数据集，包括根服务器的查询速率、分布情况等，但由于受到了DDoS攻击，这些数据可能是不完整的 数据集的分析 --这次攻击的规模到底有多大？ 由RSSAC-002提供的数据分析得出的结果。右侧的基线是正常情况下 服务器的负载，中部的是攻击流量-基线流量的变化值。作者根据分析计算出了规模的下界和上界以及中位数，并得出实际流量应该是在中位数到上界之间，约35~40GB/s。虽然现在已经有上百GB/s的攻击，但那是用放大技术产生的，不适用放大技术的情况下，这已经是非常巨大的攻击规模了 数据集的分析 --独立的根服务器受了多大的影响？ 可达性 当两次攻击来临时，大部分根服务器的可用性都收到了影响，有的甚至几乎完全不可用（比如B）。另外站点的数量与可用性成强相关关系，即站点数量越多，可用性越高。 数据集的分析 --独立的根服务器受了多大的影响？ RTT 攻击明显造成了两次剧烈的波峰。 数据集的分析 --任播的站点受了多大的影响？ 其中横轴表示各站点，括号中的数字表示收到响应的VP数量的中位数，纵轴表示收到响应的VP数量与正常情况下的比值，蓝线表示这两次攻击的过程中的波动变换，红色的区域表示VP数量20的。 可以看到一些站点比值下降，