分布式拒绝服务攻击(DDoS)原理及防范(2)
下面是我在实行室中模拟的一次Syn Flood打击的现实历程
这一个局域网情况,只要一台打击机(PIII667/128/mandrake),被打击的是一台Solaris 8.0 (spark)的主机,网络配置是Cisco的百兆互换机。这是在打击并未进行之前,在Solaris上进行snoop的纪录,snoop与tcpdump等网络监听东西一样,也是一个很好的网络抓包与阐发的东西。可以看到打击之前,目的主机上接到的基本上都是一些平凡的网络包。
…
…
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0]
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.200 -> (broadcast) ARP C Who is 192.168.0.102, 192.168.0.102 ?
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0]
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20]
? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes
…
…
接着,打击机开始发包,DDoS开始了…,忽然间sun主机上的snoop窗口开始飞速地翻屏,表现出接到数量弘大的Syn央求。这时的屏幕就好象是时速300公里的列车上的一扇车窗。这是在Syn Flood打击时的snoop输出效果:
…
…
127.0.0.178 -> lab183.lab.net AUTH C port=1352
127.0.0.178 -> lab183.lab.net TCP D=114 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=115 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net UUCP-PATH C port=1352
127.0.0.178 -> lab183.lab.net TCP D=118 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net NNTP C port=1352
127.0.0.178 -> lab183.lab.net TCP D=121 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=122 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=124 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=125 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=126 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=128 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=130 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=131 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=133 S=1352 Syn Seq=674711609 Len=0 Win=65535
127.0.0.178 -> lab183.lab.net TCP D=135 S=1352 Syn Seq=674711609 Len=0 Win=65535
…
…
这时间内容完全差别了,再也收不到刚才那些正常的网络包,只要DDoS包。大家注意一下,这里全部的Syn Flood打击包的源所在都是伪造的,给追查工作带来很大困难。这时在被打击主机上积累了几多Syn的半连接呢?我们用netstat来看一下:
# netstat -an | grep SYN
…
…
192.168.0.183.9 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.13 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.19 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.21 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.22 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.23 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.25 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.37 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
192.168.0.183.53 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
…
…
其中SYN_RCVD表示当前未完成的TCP SYN行列步队,统计一下:
# netstat -an | grep SYN | wc -l
5273
# netstat -an | grep SYN | wc -l
5154
# netstat -an | grep SYN | wc -l
5267
…..
共有五千多个Syn的半连接存储在内存中。这时间被打击机已经不克不及相应新的服务央求了,系统运转十分慢,也无法ping通。
这是在打击提倡后仅仅70秒钟左右时的情况。
DDoS的戒备
到现在为止,进行DDoS打击的防御照旧比力困难的。起首,这种打击的特点是它使用了TCP/IP协议的漏洞,除非你不消TCP/IP,才有大概完全抵挡住DDoS打击。一位资深的宁静专家给了个抽象的比喻:DDoS就好象有1,000小我私家同时给你家里打电话,这时间你的朋友还打得进来吗?
不外纵然它难于戒备,也不是说我们就应该唾面自干,现实上戒备DDoS并不是相对不可行的变乱。互联网的使用者是林林总总的,与DDoS做妥协,差别的角色有差别的任务。我们以下面几种角色为例:
企业网管理员
ISP、ICP管理员
主干网络运营商
企业网管理员
网管员做为一个企业外部网的管理者,每每也是宁静员、保卫神。在他维护的网络中有一些服务器需要向外提供WWW服务,因此不可制止地成为DDoS的打击目的,他该怎样做呢?可以从主机与网络配置两个角度去考虑。
主机上的设置
几乎全部的主机平台都有抵挡DoS的设置,总结一下,基本的有几种:
封闭不需要的服务
限定同时掀开的Syn半连接数目
紧缩Syn半连接的time out 时间
实时更新系统补丁
网络配置上的设置
企业网的网络配置可以从防火墙与路由器上考虑。这两个配置是到外界的接口配置,在进行防DDoS设置的同时,要注意一下这是以多大的服从捐躯为价钱的,对你来说是否值得。
1.防火墙
克制对主机的非开放服务的拜访
限定同时掀开的SYN最大连接数
限定特定IP所在的拜访
启用防火墙的防DDoS的属性
严格限定对外开放的服务器的向外拜访
第五项重要是戒备自己的服务器被当做东西去害人。
2.路由器
以Cisco路由器为例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
拜访控制列表(ACL)过滤
设置SYN数据包流量速率
晋级版本过低的ISO
为路由器创立log server
其中使用CEF和Unicast设置时要分外注意,使用不当会造成路由器工作服从紧张下降,晋级IOS也应谨慎。路由器是网络的焦点配置,与大家分享一下进行设置修正时的小经验,便是先不生存。Cisco路由器有两份配置startup config和running config,修正的时间变化的是running config,可以让这个配置先跑一段时间(三五天的就随意啦),以为可行后再生存配置到startup config;而如果不满意想恢回复复兴来的配置,用copy start run就行了。
ISP / ICP管理员
ISP / ICP为许多中小型企业提供了各种范围的主机托管业务,以是在防DDoS时,除了与企业网管理员一样的本事外,还要分外注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说,这些托管主机的宁静性广泛是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最喜好的"肉鸡",由于不管这台机器黑客怎样用都不会有被发现的危险,它的宁静管理太差了;还不必说托管的主机都是高功能、高带宽的-的确便是为DDoS定制的。而做为ISP的管理员,对托管主机是没有间接受理的权力的,只能通知让客户来处理处罚。在现实情况时,有许多客户与自己的托管主机服务商共同得不是很好,造成ISP管理员明知自己卖力的一台托管主机成为了傀儡机,却没有什么办法的场所排场。而托管业务又是买方市场,ISP还不敢得罪客户,怎样办?我们管理员和客户搞好干系吧,没办法,谁让人家是上帝呢?呵呵,客户多共同一些,ISP的主机更宁静一些,被别人起诉的大概性也小一些。
主干网络运营商
他们提供了互联网存在的物理底子。如果主干网络运营商可以很好地合作的话,DDoS打击可以很好地被戒备。在2000年yahoo等着名网站被打击后,美国的网络宁静研讨机构提出了主干运营商联手来办理DDoS打击的方案。其实方法很简略,便是每家运营商在自己的出口路由器上进行源IP所在的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包。这种方法可以制止黑客使用伪造的源IP来进行DDoS打击。不外异样,这样做会降低路由器的服从,这也是主干运营商十分关注的问题,以是这种做法真正采取起来还很困难。
对DDoS的原理与应付方法的研讨不停在进行中,找到一个既有效又确切可行的方案不是一朝一夕的变乱。但现在我们至少可以做到把自己的网络与主机维护好,起首让自己的主机不可为别人使用的工具去打击别人;其次,在遭到打击的时间,要尽管即便地生存证据,以便事后追查,一个精良的网络和日记系统是需要的。无论DDoS的防御向那边发展,这都将是一个社会工程,需要IT界的同行们来一同关注,共同努力。
参考材料
http://staff.washington.edu/dittrich/misc/ddos/
关于作者
徐一丁,北京玛赛网络系统有限公司方案计划部初级工程师,从事IT工作多年。现在重要进行海内外宁静产物评测与黑客打击的研讨。有富厚的网络宁静计划与实行经验,并给各大电信公司如中国电信、吉通公司、联通公司等进行过系列宁静培训。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
