|
|
| ddos是英文distributed denial of service的縮寫,意即"分佈式拒絶服務",ddos的中文名叫分佈式拒絶服務攻擊,俗稱洪水攻擊 |
|
dos的攻擊方式有很多種,最基本的dos攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
ddos攻擊手段是在傳統的dos攻擊基礎之上産生的一類攻擊方式。單一的dos攻擊一般是采用一對一方式的,當攻擊目標cpu速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨着計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得dos攻擊的睏難程度加大了 - 目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟件每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會産生什麽效果。
這時候分佈式的拒絶服務攻擊手段(ddos)就應運而生了。你理解了dos攻擊的話,它的原理就很簡單。如果說計算機與網絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?ddos就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網絡給大傢帶來了方便,也為ddos攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以g為級別的,大城市之間更可以達到2.5g的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分佈在更大的範圍,選擇起來更靈活了。 |
|
被攻擊主機上有大量等待的tcp連接
網絡中充斥着大量的無用的數據包,源地址為假
製造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
嚴重時會造成係統死機 |
|
http://www-128.ibm.com/developerworks/cn/security/se-ddos/fig1.gif
點擊查看圖片1
如圖一,一個比較完善的ddos攻擊體係分成四大部分,先來看一下最重要的第2和第3部分:它們分別用做控製和實際發起攻擊。請註意控製機與攻擊機的區別,對第4部分的受害者來說,ddos的實際攻擊包是從第3部分攻擊傀儡機上發出的,第2部分的控製機衹發佈命令而不參與實際的攻擊。對第2和第3部分計算機,黑客有控製權或者是部分的控製權,並把相應的ddos程序上傳到這些平臺上,這些程序與正常的程序一樣運行並等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發現。在平時,這些傀儡機器並沒有什麽異常,衹是一旦黑客連接到它們進行控製,並發出指令的時候,攻擊傀儡機就成為害人者去發起攻擊了。
有的朋友也許會問道:"為什麽黑客不直接去控製攻擊傀儡機,而要從控製傀儡機上轉一下呢?"。這就是導致ddos攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不願意被捉到(我在小時候嚮別人傢的雞窩扔石頭的時候也曉得在第一時間逃掉,呵呵),而攻擊者使用的傀儡機越多,他實際上提供給受害者的分析依據就越多。在占領一臺機器後,高水平的攻擊者會首先做兩件事:1. 考慮如何留好後門(我以後還要回來的哦)!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業的黑客會不管三七二十一把日志全都刪掉,但這樣的話網管員發現日志都沒了就會知道有人幹了壞事了,頂多無法再從日志發現是誰幹的而已。相反,真正的好手會挑有關自己的日志項目刪掉,讓人看不到異常的情況。這樣可以長時間地利用傀儡機。
但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程,即使在有很好的日志清理工具的幫助下,黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很幹淨,通過它上面的綫索找到了控製它的上一級計算機,這上級的計算機如果是黑客自己的機器,那麽他就會被揪出來了。但如果這是控製用的傀儡機的話,黑客自身還是安全的。控製傀儡機的數目相對很少,一般一臺就可以控製幾十臺攻擊機,清理一臺計算機的日志對黑客來講就輕鬆多了,這樣從控製機再找到黑客的可能性也大大降低。 |
|
這裏用"組織"這個詞,是因為ddos並不象入侵一臺主機那樣簡單。一般來說,黑客進行ddos攻擊時會經過這樣的步驟:
1. 搜集瞭解目標的情況
下列情況是黑客非常關心的情報:
被攻擊目標主機數目、地址情況
目標主機的配置、性能
目標的帶寬
對於ddos攻擊者來說,攻擊互聯網上的某個站點,如http://www.mytarget.com,有一個重點就是確定到底有多少臺主機在支持這個站點,一個大的網站可能有很多臺主機利用負載均衡技術提供同一個網站的www服務。以yahoo為例,一般會有下列地址都是提供http://www.yahoo.com 服務的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要進行ddos攻擊的話,應該攻擊哪一個地址呢?使66.218.71.87這臺機器癱掉,但其他的主機還是能嚮外提供www服務,所以想讓別人訪問不到http://www.yahoo.com 的話,要所有這些ip地址的機器都癱掉纔行。在實際的應用中,一個ip地址往往還代表着數臺機器:網站維護者使用了四層或七層交換機來做負載均衡,把對一個ip地址的訪問以特定的算法分配到下屬的每個主機上去。這時對於ddos攻擊者來說情況就更復雜了,他面對的任務可能是讓幾十臺主機的服務都不正常。
所以說事先搜集情報對ddos攻擊者來說是非常重要的,這關係到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點的2臺主機需要2臺傀儡機的話,攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少臺主機我都用盡量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。
但在實際過程中,有很多黑客並不進行情報的搜集而直接進行ddos的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網管員一樣,是不能偷懶的。一件事做得好與壞,態度最重要,水平還在其次。
2. 占領傀儡機
黑客最感興趣的是有下列情況的主機:
鏈路狀態好的主機
性能好的主機
安全管理水平差的主機
這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊。這是和ddos並列的攻擊方式。簡單地說,就是占領和控製被攻擊的主機。取得最高的管理權限,或者至少得到一個有權限完成ddos攻擊任務的帳號。對於一個ddos攻擊者來說,準備好一定數量的傀儡機是一個必要的條件,下面說一下他是如何攻擊並占領它們的。
首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器,象程序的溢出漏洞、cgi、unicode、ftp、數據庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結果。隨後就是嘗試入侵了,具體的手段就不在這裏多說了,感興趣的話網上有很多關於這些內容的文章。
總之黑客現在占領了一臺傀儡機了!然後他做什麽呢?除了上面說過留後門擦腳印這些基本工作之外,他會把ddos攻擊用的程序上載過去,一般是利用ftp。在攻擊機上,會有一個ddos的發包程序,黑客就是利用它來嚮受害目標發送惡意攻擊包的。
3. 實際攻擊
經過前2個階段的精心準備之後,黑客就開始瞄準目標準備發射了。前面的準備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示裏的那樣,黑客登錄到做為控製臺的傀儡機,嚮所有的攻擊機發出命令:"預備~ ,瞄準~,開火!"。這時候埋伏在攻擊機中的ddos攻擊程序就會響應控製臺的命令,一起嚮受害主機以高速度發送大量的數據包,導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。
老到的攻擊者一邊攻擊,還會用各種手段來監視攻擊的效果,在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機,在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。 |
|
| ddos 最早可追述到1996年最初,在中國2002年開始頻繁出現,2003年已經初具規模。近幾年由於寬帶的普及,很多網站開始盈利,其中很多非法網站利潤巨大,造成同行之間互相攻擊,還有一部分人利用網絡攻擊來敲詐錢財。同時windows 平臺的漏洞大量的被公佈, 流氓軟件,病毒,木馬大量充斥着網絡,有些技術的人可以很容易非法入侵控製大量的個人計算機來發起ddos攻擊從中謀利。攻擊已經成為互聯網上的一種最直接的競爭方式,而且收入非常高,利益的驅使下,攻擊已經演變成非常完善的産業鏈。通過在大流量網站的網頁裏註入病毒木馬,木馬可以通過windows平臺的漏洞感染瀏覽網站的人,一旦中了木馬,這臺計算機就會被後臺操作的人控製,這臺計算機也就成了所謂的肉雞,每天都有人專門收集肉雞然後以幾毛到幾塊的一隻的價格出售,因為利益需要攻擊的人就會購買,然後遙控這些肉雞攻擊服務器。 |
|
這裏用"組織"這個詞,是因為ddos並不象入侵一臺主機那樣簡單。一般來說,黑客進行ddos攻擊時會經過這樣的步驟:
1. 搜集瞭解目標的情況
下列情況是黑客非常關心的情報:
被攻擊目標主機數目、地址情況
目標主機的配置、性能
目標的帶寬
對於ddos攻擊者來說,攻擊互聯網上的某個站點,如http://www.mytarget.com,有一個重點就是確定到底有多少臺主機在支持這個站點,一個大的網站可能有很多臺主機利用負載均衡技術提供同一個網站的www服務。以yahoo為例,一般會有下列地址都是提供http://www.yahoo.com 服務的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要進行ddos攻擊的話,應該攻擊哪一個地址呢?使66.218.71.87這臺機器癱掉,但其他的主機還是能嚮外提供www服務,所以想讓別人訪問不到http://www.yahoo.com 的話,要所有這些IP地址的機器都癱掉纔行。在實際的應用中,一個IP地址往往還代表着數臺機器:網站維護者使用了四層或七層交換機來做負載均衡,把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對於ddos攻擊者來說情況就更復雜了,他面對的任務可能是讓幾十臺主機的服務都不正常。
所以說事先搜集情報對ddos攻擊者來說是非常重要的,這關係到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點的2臺主機需要2臺傀儡機的話,攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少臺主機我都用盡量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。
但在實際過程中,有很多黑客並不進行情報的搜集而直接進行ddos的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網管員一樣,是不能偷懶的。一件事做得好與壞,態度最重要,水平還在其次。
2. 占領傀儡機
黑客最感興趣的是有下列情況的主機:
鏈路狀態好的主機
性能好的主機
安全管理水平差的主機
這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊。這是和ddos並列的攻擊方式。簡單地說,就是占領和控製被攻擊的主機。取得最高的管理權限,或者至少得到一個有權限完成ddos攻擊任務的帳號。對於一個ddos攻擊者來說,準備好一定數量的傀儡機是一個必要的條件,下面說一下他是如何攻擊並占領它們的。
首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器,像程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結果。隨後就是嘗試入侵了,具體的手段就不在這裏多說了,感興趣的話網上有很多關於這些內容的文章。
總之黑客現在占領了一臺傀儡機了!然後他做什麽呢?除了上面說過留後門擦腳印這些基本工作之外,他會把ddos攻擊用的程序上載過去,一般是利用ftp。在攻擊機上,會有一個ddos的發包程序,黑客就是利用它來嚮受害目標發送惡意攻擊包的。
3. 實際攻擊
經過前2個階段的精心準備之後,黑客就開始瞄準目標準備發射了。前面的準備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示裏的那樣,黑客登錄到做為控製臺的傀儡機,嚮所有的攻擊機發出命令:"預備~ ,瞄準~,開火!"。這時候埋伏在攻擊機中的ddos攻擊程序就會響應控製臺的命令,一起嚮受害主機以高速度發送大量的數據包,導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。
老道的攻擊者一邊攻擊,還會用各種手段來監視攻擊的效果,在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機,在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。
防範ddos攻擊的工具軟件:CC v2.0
防範ddos比較出色的防火墻:硬件有Cisco的Guard、Radware的DefensePro,緑盟的黑洞,傲盾軟件的傲盾防火墻。軟件有冰盾ddos防火墻、8Signs Firewall等。 |
|
1.SYN變種攻擊
發送偽造源IP的SYN數據包但是數據包不是64字節而是上千字節這種攻擊會造成一些防火墻處理錯誤鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
2.TCP混亂數據包攻擊
發送偽造源IP的 TCP數據包,TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等,會造成一些防火墻處理錯誤鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
3.針對用UDP協議的攻擊
很多聊天室,視頻音頻軟件,都是通過UDP數據包傳輸的,攻擊者針對分析要攻擊的網絡軟件協議,發送和正常數據一樣的數據包,這種攻擊非常難防護,一般防護墻通過攔截攻擊數據包的特徵碼防護,但是這樣會造成正常的數據包也會被攔截,
4.針對WEB Server的多連接攻擊
通過控製大量肉雞同時連接訪問網站,造成網站無法處理癱瘓,這種攻擊和正常訪問網站是一樣的,衹是瞬間訪問量增加幾十倍甚至上百倍,有些防火墻可以通過限製每個連接過來的IP連接數來防護,但是這樣會造成正常用戶稍微多打開幾次網站也會被封,
5.針對WEB Server的變種攻擊
通過控製大量肉雞同時連接訪問網站,一點連接建立就不斷開,一直發送發送一些特殊的GET訪問請求造成網站數據庫或者某些頁面耗費大量的CPU,這樣通過限製每個連接過來的IP連接數就失效了,因為每個肉雞可能衹建立一個或者衹建立少量的連接。這種攻擊非常難防護,後面給大傢介紹防火墻的解决方案
6. 針對WEB Server的變種攻擊
通過控製大量肉雞同時連接網站端口,但是不發送GET請求而是亂七八糟的字符,大部分防火墻分析攻擊數據包前三個字節是GET字符然後來進行http協議的分析,這種攻擊,不發送GET請求就可以繞過防火墻到達服務器,一般服務器都是共享帶寬的,帶寬不會超過10M 所以大量的肉雞攻擊數據包就會把這臺服務器的共享帶寬堵塞造成服務器癱瘓,這種攻擊也非常難防護,因為如果衹簡單的攔截客戶端發送過來沒有GET字符的數據包,會錯誤的封鎖很多正常的數據包造成正常用戶無法訪問,後面給大傢介紹防火墻的解决方案
7.針對遊戲服務器的攻擊
因為遊戲服務器非常多,這裏介紹最早也是影響最大的傳奇遊戲,傳奇遊戲分為登陸註册端口7000,人物選擇端口7100,以及遊戲運行端口7200,7300,7400等,因為遊戲自己的協議設計的非常復雜,所以攻擊的種類也花樣倍出,大概有幾十種之多,而且還在不斷的發現新的攻擊種類,這裏介紹目前最普遍的假人攻擊,假人攻擊是通過肉雞模擬遊戲客戶端進行自動註册、登陸、建立人物、進入遊戲活動從數據協議層面模擬正常的遊戲玩傢,很難從遊戲數據包來分析出哪些是攻擊哪些是正常玩傢。
以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基於包過濾的防火墻衹能分析每個數據包,或者有限的分析數據連接建立的狀態,防護SYN,或者變種的SYN,ACK攻擊效果不錯,但是不能從根本上來分析tcp,udp協議,和針對應用層的協議,比如http,遊戲協議,軟件視頻音頻協議,現在的新的攻擊越來越多的都是針對應用層協議漏洞,或者分析協議然後發送和正常數據包一樣的數據,或者幹脆模擬正常的數據流,單從數據包層面,分析每個數據包裏面有什麽數據,根本沒辦法很好的防護新型的攻擊。
SYN攻擊解析
SYN攻擊屬於DOS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。TCP協議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控製整個數據傳輸過程數據完整有效。所以TCP協議采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發送syn包到服務器,並進入SYN_SEND狀態,等待服務器確認;
第二次握手:服務器收到syn包,必須確認客戶的SYN 同時自己也發送一個SYN包 即SYN+ACK包,此時服務器進入SYN_RECV狀態;
第三次握手:客戶端收到服務器的SYN+ACK包,嚮服務器發送確認包ACK此包發送完畢,客戶端和服務器進入ESTABLISHED狀態,完成三次握手。
SYN攻擊利用TCP協議三次握手的原理,大量發送偽造源IP的SYN包也就是偽造第一次握手數據包,服務器每接收到一個SYN包就會為這個連接信息分配核心內存並放入半連接隊列,如果短時間內接收到的SYN太多,半連接隊列就會溢出,操作係統會把這個連接信息丟棄造成不能連接,當攻擊的SYN包超過半連接隊列的最大值時,正常的客戶發送SYN數據包請求連接就會被服務器丟棄, 每種操作係統半連接隊列大小不一樣所以抵禦SYN攻擊的能力也不一樣。那麽能不能把半連接隊列增加到足夠大來保證不會溢出呢,答案是不能,每種操作係統都有方法來調整TCP模塊的半連接隊列最大數,例如Win2000操作係統在註册表 HKLMSYSTEMCurrentControlSetServicesTcpipParameters TcpMaxHalfOpen,TcpMaxHalfOpenRetried ,Linux操作係統用變量tcp_max_syn_backlog來定義半連接隊列的最大數。但是每建立一個半連接資源就會耗費係統的核心內存,操作係統的核心內存是專門提供給係統內核使用的內存不能進行虛擬內存轉換是非常緊缺的資源windows2000 係統當物理內存是4g的時候 核心內存衹有不到300M,係統所有核心模塊都要使用核心內存所以能給半連接隊列用的核心內存非常少。Windows 2003 默認安裝情況下,WEB SERVER的80端口每秒鐘接收5000個SYN數據包一分鐘後網站就打不開了。標準SYN數據包64字節 5000個等於 5000*64 *8(換算成bit)/1024=2500K也就是 2.5M帶寬 ,如此小的帶寬就可以讓服務器的端口癱瘓,由於攻擊包的源IP是偽造的很難追查到攻擊源,,所以這種攻擊非常多。
如何防止和減少ddos攻擊的危害
一、拒絶服務攻擊的發展
從拒絶服務攻擊誕生到現在已經有了很多的發展,從最初的簡單Dos到現在的ddos。那麽什麽是Dos和ddos呢?DoS是一種利用單臺計算機的攻擊方式。而ddos(Distributed Denial of Service,分佈式拒絶服務)是一種基於DoS的特殊形式的拒絶服務攻擊,是一種分佈、協作的大規模攻擊方式,主要瞄準比較大的站點,比如一些商業公司、搜索引擎和政府部門的站點。ddos攻擊是利用一批受控製的機器嚮一臺機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果說以前網絡管理員對抗Dos可以采取過濾IP地址方法的話,那麽面對當前ddos衆多偽造出來的地址則顯得沒有辦法。所以說防範ddos攻擊變得更加睏難,如何采取措施有效的應對呢?下面我們從兩個方面進行介紹。
二、預防為主保證安全
ddos攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規方法。
(1)定期掃描
要定期掃描現有的網絡主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
(2)在骨幹節點配置防火墻
防火墻本身能抵禦ddos攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導嚮一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導嚮的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防範攻擊優秀的係統。
(3)用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處於空閑狀態,和目前中小企業網絡實際運行情況不相符。
(4)充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器、防火墻等負載均衡設備,它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重啓後會恢復正常,而且啓動起來還很快,沒有什麽損失。若其他服務器死掉,其中的數據會丟失,而且重啓服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了ddos的攻擊。
(5)過濾不必要的服務和端口
過濾不必要的服務和端口,即在路由器上過濾假IP……衹開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那麽衹開放80而將其他所有端口關閉或在防火墻上做阻止策略。
(6)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反嚮路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現,有助於提高網絡安全性。
(7)過濾所有RFC1918 IP地址
RFC1918 IP地址是內部網的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把它們過濾掉。此方法並不是過濾內部員工的訪問,而是將攻擊時偽造的大量虛假內部IP過濾,這樣也可以減輕ddos的攻擊。
(8)限製SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限製SYN/ICMP封包所能占有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網絡訪問,而是有黑客入侵。早期通過限製SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對於ddos效果不太明顯了,不過仍然能夠起到一定的作用。
三、尋找機會應對攻擊
如果用戶正在遭受攻擊,他所能做的抵禦工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊衝嚮用戶,很可能在用戶還沒回過神之際,網絡已經癱瘓。但是,用戶還是可以抓住機會尋求一綫希望的。
(1)檢查攻擊來源,通常黑客會通過很多假IP地址發起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然後瞭解這些IP來自哪些網段,再找網網管理員將這些機器關閉,從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話,可以采取臨時過濾的方法,將這些IP地址在服務器或路由器上過濾掉。
(2)找出攻擊者所經過的路由,把攻擊屏蔽掉。若黑客從某些端口發動攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對於公司網絡出口衹有一個,而又遭受到來自外部的ddos攻擊時不太奏效,畢竟將出口端口封閉後所有計算機都無法訪問internet了。
(3)最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP後可以有效的防止攻擊規模的升級,也可以在一定程度上降低攻擊的級別。
不知道身為網絡管理員的你是否遇到過服務器因為拒絶服務攻擊(ddos攻擊)都癱瘓的情況呢?就網絡安全而言目前最讓人擔心和害怕的入侵攻擊就要算是ddos攻擊了。他和傳統的攻擊不同,采取的是仿真多個客戶端來連接服務器,造成服務器無法完成如此多的客戶端連接,從而無法提供服務。
一、拒絶服務攻擊的發展
從拒絶服務攻擊誕生到現在已經有了很多的發展,從最初的簡單Dos到現在的ddos。那麽什麽是Dos和ddos呢?DoS是一種利用單臺計算機的攻擊方式。而ddos(Distributed Denial of Service,分佈式拒絶服務)是一種基於DoS的特殊形式的拒絶服務攻擊,是一種分佈、協作的大規模攻擊方式,主要瞄準比較大的站點,比如一些商業公司、搜索引擎和政府部門的站點。ddos攻擊是利用一批受控製的機器嚮一臺機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果說以前網絡管理員對抗Dos可以采取過濾IP地址方法的話,那麽面對當前ddos衆多偽造出來的地址則顯得沒有辦法。所以說防範ddos攻擊變得更加睏難,如何采取措施有效的應對呢?下面我們從兩個方面進行介紹。
二、預防為主保證安全
ddos攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規方法。
(1)定期掃描
要定期掃描現有的網絡主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
(2)在骨幹節點配置防火墻
防火墻本身能抵禦ddos攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導嚮一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導嚮的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防範攻擊優秀的係統。
(3)用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處於空閑狀態,和目前中小企業網絡實際運行情況不相符。
(4)充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器、防火墻等負載均衡設備,它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重啓後會恢復正常,而且啓動起來還很快,沒有什麽損失。若其他服務器死掉,其中的數據會丟失,而且重啓服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了ddos的攻擊。
(5)過濾不必要的服務和端口
過濾不必要的服務和端口,即在路由器上過濾假IP……衹開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那麽衹開放80而將其他所有端口關閉或在防火墻上做阻止策略。
(6)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反嚮路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現,有助於提高網絡安全性。
(7)過濾所有RFC1918 IP地址
RFC1918 IP地址是內部網的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把它們過濾掉。此方法並不是過濾內部員工的訪問,而是將攻擊時偽造的大量虛假內部IP過濾,這樣也可以減輕ddos的攻擊。
(8)限製SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限製SYN/ICMP封包所能占有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網絡訪問,而是有黑客入侵。早期通過限製SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對於ddos效果不太明顯了,不過仍然能夠起到一定的作用。
三、尋找機會應對攻擊
如果用戶正在遭受攻擊,他所能做的抵禦工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊衝嚮用戶,很可能在用戶還沒回過神之際,網絡已經癱瘓。但是,用戶還是可以抓住機會尋求一綫希望的。
(1)檢查攻擊來源,通常黑客會通過很多假IP地址發起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然後瞭解這些IP來自哪些網段,再找網網管理員將這些機器關閉,從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話,可以采取臨時過濾的方法,將這些IP地址在服務器或路由器上過濾掉。
(2)找出攻擊者所經過的路由,把攻擊屏蔽掉。若黑客從某些端口發動攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對於公司網絡出口衹有一個,而又遭受到來自外部的ddos攻擊時不太奏效,畢竟將出口端口封閉後所有計算機都無法訪問internet了。
(3)最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP後可以有效的防止攻擊規模的升級,也可以在一定程度上降低攻擊的級別。
總結:
目前網絡安全界對於ddos的防範還是沒有什麽好辦法的,主要靠平時維護和掃描來對抗。簡單的通過軟件防範的效果非常不明顯,即便是使用了硬件安防設施也僅僅能起到降低攻擊級別的效果,ddos攻擊衹能被減弱,無法被徹底消除。不過如果我們按照本文的方法和思路去防範ddos的話,收到的效果還是非常顯著的,可以將攻擊帶來的損失降低到最小。 |
|
| 網絡安全 | 硬防 | 中國最大的硬防 | ddos攻擊 | 黑客 | 電腦 | 網絡 | 洪水攻擊 | | cc | 拒絶服務 | 計算機 | dos | 黑客攻擊 | 服務器 | 網絡加速 | 流量攻擊 | | 攻擊軟件 | ddos攻擊器 | |
|