|
|
DDOS FLOOD与科来网络分析系统
DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)是当今流行的网络攻击方式之一。它们都利用合理的服务请求来占用过多的服务,从而使服务器不能对合法用户提供服务。DoS和DdoS的区别在于DoS攻击一般是采用一对一方式;而DdoS攻击一般是采用多对一方式。可以说DdoS是DoS的升级。
本文只对当前流行的SYN FLOOD攻击方式作讨论。我们都知道客户端和服务器传送TCP数据,都要建立一个完整的TCP连接。一个完整的TCP连接分三步,也就是我们常说的三次握手:
1.客户端 SYN 服务端
2.服务端 ACK+SYN 客户端
3.客户端 ACK 服务端
关于TCP三次握手,可以在论坛里找一下,讲这方面的有很多。
SYN FLOOD攻击就是利用三次握手的漏洞来实现的:假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
针对Ddos攻击,目前还没有一种相对安全的防御措施(当然除非你不用TCP/IP^@^)。但是我们可以通过设置操作系统和网络设备、借助管理工具等来减少网络被Ddos的机率。下面我们列出一些常见的方法:
定期法描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因些对这些主机本身加强主机安全是非常重要的。
在骨干节点配置防火墙
防火墙本身能抵御DDos攻击和其它一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样保护真正的主机不被瘫痪。
用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户,夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。
充分利用网络设备保护网络资源
所谓网络设备是指路由器,防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。
过滤不必要的服务和端口。
可以使用Inexpress、Express Forwarding等过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP 和Routing Table做比较,并加以过滤。
检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由表查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处,因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。
限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
附件中包含了windows系统的防DDOS设置。
当然,对于已经发生的Ddos攻击,我们则需要通过一些协议分析工具来查找解决问题,下面我们通过一则实例来讲解用科来网络分析系统查找Ddos攻击的方法步骤:
点开概要统计视图查看TCP的连接信息,如图1:
(图1 概要统计视图)
从上图中我们看到,网络中存在大量的TCP同步数据包,而成功建立TCP连接双太少,网络肯定存在问题。我们再通过矩阵视图来查看具体的网络通信情况,如图2:
(图2 Ddos矩阵视图)
图2中,大量的主机同时向125.91.13.124发送数据包,我们怎样来确定这些数据包的类型呢?打开“数据包-解码视图“就可看到了,如图3:
从上图中我们看到,这些数据包全都是向125.91.13.124请求同步的数据包,至此我们可以判断出网络正在对125.91.13.124这台主机进行Ddos攻击。
一些常见的Dos攻击还有IP欺骗Dos攻击和带宽Dos攻击等,这里就不再详述
[ 本帖最后由 xwy3260 于 2007-11-2 14:42 编辑 ] |
评分
-
1
查看全部评分
-
|
发表于 2007-11-2 13:33:56
发表于 2007-11-3 20:34:33
发表于 2007-11-4 20:13:21
