| 導購 | 订阅 | 在线投稿
分享
 
 
 

防範Ddos攻擊的分析及對策

來源:互聯網網民  2006-12-16 16:51:07  評論

【ChinaByte綜合消息】近期國內部分站點遭到了較大規模的拒絕服務(D.O.S)攻擊(包括類似前期yahoo等大型國際網站所遭受的的Ddos攻擊——分布式拒絕服務攻擊)。波及的網站包括知名的新聞網站、商業網站、證券網站,甚至是部分網絡安全站點等。造成的症狀爲:站點無法訪問,響應速度極慢,影響到周圍相關網段的其它主機等,至今還有很多站點未恢複正常,仍無法正常訪問。

作爲一個網絡安全站點,我們的主站www.isbase.com也同樣受到了極其猛烈的拒絕服務攻擊。公司技術人員立即做出響應:針對攻擊的方式及可能采用的攻擊手段,提出了切實可行的完整解決方案,把攻擊的危害降到了最低。現在網站一切正常,雖然攻擊仍舊在繼續,但對服務器的影響已經降到了最小,不會影響服務器的正常運作。同時,我們積極聯系了其它受攻擊的同行站點,表明攻擊來自同一類手法,可能來自某人(團體)蓄意所爲。另外,對我們近期爲其它站點所做的緊急響應情況來看,此次攻擊的規模之廣、強度之大令人發指。在采取了我公司應的解決方案後,接受緊急響應的網站都已恢複正常。

我們根據自己站點所受的攻擊對此次大規模拒絕服務攻擊做出了初步分析報告:

從被攻擊的症狀來看,這次的攻擊大致有以下幾種:分布式拒絕服務攻擊、Syn-Flood攻擊,icmp炸彈(ping of death)等幾種。這是通過審查我們站點被攻擊後留下的紀錄,分析這些記錄後得出的初步結論。

要防範拒絕服務攻擊,首先要從強化自身做起。

針對目前D.O.S攻擊的實施手段,我們預先采取了以下的一些措施:

1.爲防止Syn-Flood攻擊(Syn-Flood攻擊的具體原理參見本站的技術文章),我們對默認安裝的系統進行了強化,主要是通過重新編譯內核,設定相應的內核參數使得系統強制對超時的Syn請求連接數據包複位,同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。如果不強制對這些無效的數據包進行清除複位,將大大加重系統的負載,最終將導致系統失去響應。

2.爲防止icmp炸彈的攻擊,在系統內核中對icmp數據包的流量進行限定允許。並在系統參數中對此限定值調整。以防止系統由此而造成的失去響應。

3.在系統中加裝防火牆系統,利用防火牆系統對所有出入的數據包進行過濾。

4.仔細調整服務器的各項參數。根據我們站點訪問量大的特點,對Web服務器和Mail服務器進行適度的預加重處理,即通過預先使服務器達到一定的負載,以使得整個系統的負載在訪問量變化時不會出現很大的變化,如果出現了很大的變化,很有可能使得服務器崩潰。這和在建築中廣泛采用的預應力技術的原理是一致的。

在完成了對服務器的強化後,還必須使用一些有效的方法和規則來檢測和發現拒絕服務攻擊,並能在檢測到拒絕服務攻擊後采取相應的對策。

檢測的手段很多,可以通過察看路由器紀錄和系統紀錄以及站點目前狀態來實現。

通常,我們在設計防火牆的時候會預先對某些特殊類型的IP數據包進行過濾(不需要紀錄)。這些特殊的IP是不能在Internet網上出現的(無法路由)。而要進行拒絕服務攻擊往往最需要這類有來無回的數據包,來隱蔽攻擊者的真實地址和身份。而一旦這類地址出現,往往就標志著某種拒絕服務攻擊的開始。

這一大類的地址是127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16這四個網段的地址。就我們的防火牆的規則而言,對這三個地址段是完全拒絕任何數據包的: denyall。然後通過檢測對這些規則的計數,來判決是否存在某些攻擊行爲。如當我們發現在我們的計數器中發現如下的情況:

0 0 deny ip from any to 127.0.0.0/8 4552 553302 deny ip from 10.0.0.0/8 to any 0 0 deny ip from any to 10.0.0.0/8 0 0 deny ip from 172.16.0.0/12 to any 0 0 deny ip from any to 172.16.0.0/12 97601 11024404 deny ip from 192.168.0.0/16 to any 0 0 deny ip from any to 192.168.0.0/16我們就可以推斷是有人在拒絕服務攻擊,當我們利用netstat–an來檢測當時的網絡連接數目時,我們會發現有大量SYN_RCVD類型的連接:

tcp4 0 0 202.109.114.50.80 203.93.217.52.2317 SYN_RCVD tcp4 0 0 202.109.114.50.80 61.136.54.73.1854 SYN_RCVD這就說明了此時服務器正在遭受Syn-Flood攻擊。紀錄這類攻擊的IP地址是毫無意義的(因爲這些IP地址都是在程序中通過改變數據包頭而僞造的)。

而對于分布式拒絕服務攻擊,由于采用了大流量攻擊手法,會造成該網段路由器的阻塞,從而使得該網段內幾乎所有的服務器可用的帶寬都變得極小,對外造成不能訪問的現象。而此時,該網段主幹路由器亦承受極大的負載。

而對于ICMP包炸彈這類攻擊,則可以通過在防火牆上設置紀錄來實現檢測。一旦發現在一定的時間內有量的ICMP包湧入,而內核由于ICMP包的流量過載而出現警告,則說明存在此類的攻擊行爲。

這時,可以從系統所紀錄的日志上看到,類似于如下的紀錄:

Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in在檢測到攻擊行爲後,就應該采取一些措施使得攻擊的影響減至最小。

對于分布式攻擊,目前還沒有非常有效方法來防禦,我們所能做的是讓ISP對主幹路由器進行限流措施來降低攻擊所造成的影響。

對于SYN-FLOOD攻擊,一方面要在服務器端打Syn-flood的補丁,另一方面需要在該網段的路由器上做些配置的調整。這些調整包括限制Syn半開數據包的流量和個數,在路由器的前端做必要的TCP攔截(目前限于Cisco系列IOS12.0),並在路由器上設定相當嚴格的定時常數,利用路由器的TCP攔截技術使得只有完成TCP三次握手過程的數據包進入該網段,這樣可以有效地保護本網段內的服務器不受此類攻擊。同時,在路由器的訪問列表裏拒絕10.0.0.0/8,172.16.0.0/12,192.168.0.0/16這三個虛擬網段的訪問。

對于ICMP攻擊可以采取的方法一:在服務器端拒絕所有的ICMP包;方法二:在該網段路由器對ICMP包進行帶寬限制,控制其在一定的範圍內。

要徹底杜絕拒絕服務攻擊,只有追根溯源去找到正在進行攻擊的機器和攻擊者。要追蹤攻擊者不是一件很容易的事,一旦其停止了攻擊行爲,很難將其發現。唯一可行的方法就是在其進行攻擊的時候,根據路由器的信息和攻擊數據包的特征,采用一級一級回溯的方法來查找其攻擊源頭。這時需要各級部門的協同配合才能很好得完成。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
【ChinaByte綜合消息】近期國內部分站點遭到了較大規模的拒絕服務(D.O.S)攻擊(包括類似前期yahoo等大型國際網站所遭受的的Ddos攻擊——分布式拒絕服務攻擊)。波及的網站包括知名的新聞網站、商業網站、證券網站,甚至是部分網絡安全站點等。造成的症狀爲:站點無法訪問,響應速度極慢,影響到周圍相關網段的其它主機等,至今還有很多站點未恢複正常,仍無法正常訪問。   作爲一個網絡安全站點,我們的主站www.isbase.com也同樣受到了極其猛烈的拒絕服務攻擊。公司技術人員立即做出響應:針對攻擊的方式及可能采用的攻擊手段,提出了切實可行的完整解決方案,把攻擊的危害降到了最低。現在網站一切正常,雖然攻擊仍舊在繼續,但對服務器的影響已經降到了最小,不會影響服務器的正常運作。同時,我們積極聯系了其它受攻擊的同行站點,表明攻擊來自同一類手法,可能來自某人(團體)蓄意所爲。另外,對我們近期爲其它站點所做的緊急響應情況來看,此次攻擊的規模之廣、強度之大令人發指。在采取了我公司應的解決方案後,接受緊急響應的網站都已恢複正常。   我們根據自己站點所受的攻擊對此次大規模拒絕服務攻擊做出了初步分析報告:   從被攻擊的症狀來看,這次的攻擊大致有以下幾種:分布式拒絕服務攻擊、Syn-Flood攻擊,icmp炸彈(ping of death)等幾種。這是通過審查我們站點被攻擊後留下的紀錄,分析這些記錄後得出的初步結論。   要防範拒絕服務攻擊,首先要從強化自身做起。   針對目前D.O.S攻擊的實施手段,我們預先采取了以下的一些措施:   1.爲防止Syn-Flood攻擊(Syn-Flood攻擊的具體原理參見本站的技術文章),我們對默認安裝的系統進行了強化,主要是通過重新編譯內核,設定相應的內核參數使得系統強制對超時的Syn請求連接數據包複位,同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。如果不強制對這些無效的數據包進行清除複位,將大大加重系統的負載,最終將導致系統失去響應。   2.爲防止icmp炸彈的攻擊,在系統內核中對icmp數據包的流量進行限定允許。並在系統參數中對此限定值調整。以防止系統由此而造成的失去響應。   3.在系統中加裝防火牆系統,利用防火牆系統對所有出入的數據包進行過濾。   4.仔細調整服務器的各項參數。根據我們站點訪問量大的特點,對Web服務器和Mail服務器進行適度的預加重處理,即通過預先使服務器達到一定的負載,以使得整個系統的負載在訪問量變化時不會出現很大的變化,如果出現了很大的變化,很有可能使得服務器崩潰。這和在建築中廣泛采用的預應力技術的原理是一致的。   在完成了對服務器的強化後,還必須使用一些有效的方法和規則來檢測和發現拒絕服務攻擊,並能在檢測到拒絕服務攻擊後采取相應的對策。   檢測的手段很多,可以通過察看路由器紀錄和系統紀錄以及站點目前狀態來實現。   通常,我們在設計防火牆的時候會預先對某些特殊類型的IP數據包進行過濾(不需要紀錄)。這些特殊的IP是不能在Internet網上出現的(無法路由)。而要進行拒絕服務攻擊往往最需要這類有來無回的數據包,來隱蔽攻擊者的真實地址和身份。而一旦這類地址出現,往往就標志著某種拒絕服務攻擊的開始。   這一大類的地址是127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16這四個網段的地址。就我們的防火牆的規則而言,對這三個地址段是完全拒絕任何數據包的: denyall。然後通過檢測對這些規則的計數,來判決是否存在某些攻擊行爲。如當我們發現在我們的計數器中發現如下的情況:   0 0 deny ip from any to 127.0.0.0/8 4552 553302 deny ip from 10.0.0.0/8 to any 0 0 deny ip from any to 10.0.0.0/8 0 0 deny ip from 172.16.0.0/12 to any 0 0 deny ip from any to 172.16.0.0/12 97601 11024404 deny ip from 192.168.0.0/16 to any 0 0 deny ip from any to 192.168.0.0/16我們就可以推斷是有人在拒絕服務攻擊,當我們利用netstat–an來檢測當時的網絡連接數目時,我們會發現有大量SYN_RCVD類型的連接:   tcp4 0 0 202.109.114.50.80 203.93.217.52.2317 SYN_RCVD tcp4 0 0 202.109.114.50.80 61.136.54.73.1854 SYN_RCVD這就說明了此時服務器正在遭受Syn-Flood攻擊。紀錄這類攻擊的IP地址是毫無意義的(因爲這些IP地址都是在程序中通過改變數據包頭而僞造的)。   而對于分布式拒絕服務攻擊,由于采用了大流量攻擊手法,會造成該網段路由器的阻塞,從而使得該網段內幾乎所有的服務器可用的帶寬都變得極小,對外造成不能訪問的現象。而此時,該網段主幹路由器亦承受極大的負載。   而對于ICMP包炸彈這類攻擊,則可以通過在防火牆上設置紀錄來實現檢測。一旦發現在一定的時間內有量的ICMP包湧入,而內核由于ICMP包的流量過載而出現警告,則說明存在此類的攻擊行爲。   這時,可以從系統所紀錄的日志上看到,類似于如下的紀錄:   Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in Deny ICMP 202.96.113.53 202.109.114.50 in在檢測到攻擊行爲後,就應該采取一些措施使得攻擊的影響減至最小。   對于分布式攻擊,目前還沒有非常有效方法來防禦,我們所能做的是讓ISP對主幹路由器進行限流措施來降低攻擊所造成的影響。   對于SYN-FLOOD攻擊,一方面要在服務器端打Syn-flood的補丁,另一方面需要在該網段的路由器上做些配置的調整。這些調整包括限制Syn半開數據包的流量和個數,在路由器的前端做必要的TCP攔截(目前限于Cisco系列IOS12.0),並在路由器上設定相當嚴格的定時常數,利用路由器的TCP攔截技術使得只有完成TCP三次握手過程的數據包進入該網段,這樣可以有效地保護本網段內的服務器不受此類攻擊。同時,在路由器的訪問列表裏拒絕10.0.0.0/8,172.16.0.0/12,192.168.0.0/16這三個虛擬網段的訪問。   對于ICMP攻擊可以采取的方法一:在服務器端拒絕所有的ICMP包;方法二:在該網段路由器對ICMP包進行帶寬限制,控制其在一定的範圍內。   要徹底杜絕拒絕服務攻擊,只有追根溯源去找到正在進行攻擊的機器和攻擊者。要追蹤攻擊者不是一件很容易的事,一旦其停止了攻擊行爲,很難將其發現。唯一可行的方法就是在其進行攻擊的時候,根據路由器的信息和攻擊數據包的特征,采用一級一級回溯的方法來查找其攻擊源頭。這時需要各級部門的協同配合才能很好得完成。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有