黑客安全:DDOS反击浅谈
“不要想网络流量,也不要想什么DDOS的”,张大民逼迫自己,“应该想一下一个正常的网站拜访历程和一个异常的网站拜访历程的不同之处”。毕竟,DDOS的网络流量不是要实现一个正常的网页拜访历程,而只是要占用办事器的资源。“那我先分析一下一个正常网站拜访的历程”,张大民想。 正常网站拜访历程
.客户:TCP SYN
.办事器:TCP SYNACK
.客户:TCP ACK
.客户:HTTP GET/POST网站网页
.办事器:HTTP网页
那么异常网站的拜访历程呢?在通常环境的TCP SYN洪水攻击时,历程如下:
.客户:TCP SYN
.办事器:TCP SYNACK
.办事器:TCP SYNACK
.办事器:TCP SYNACK
.办事器:TCP SYNACK
.办事器:TCP RST
而且张大民注意到,在大多数的DDOS攻击,攻击办事器主机都是被OWN的肉鸡。攻击的工具在这些肉鸡上并不创建一个有效的TCP状态,它们只是拼命向办事器发送TCP SYN的单一报文。以是当办事器发过来TCP SYN ACK时,这些肉鸡上根本没有相应的TCP连接来吸收这个办事器发返来的报文,并根据这个报文找到相应的TCP连接状态而发任何有效的报文回去。
“有点意思”,张大民想,张大民敏锐的认识到对TCP状态的理解对付确定是否是有效的TCP链接的紧张性。他开始悔恨现在在学校念书是没有把TCP的状态图好好理解透彻。
张大民连忙下载了TCP的状态表。而且在下载历程中,他又发现了一个十分有效的技术,来生存TCP的状态信息在TCP的系列号(SEQUENC NUMBER)中,叫TCP COOKIE。TCP COOKIE是一个特别的TCP序列号。办事器经过这个序列号,可以恢复这个TCP链接的整个状态信息。这这个发现让张大民有点大喜过望了。这正是他所要的。一个可以判断TCP是否是有效的链接,但又不用生存TCP的状态信息。如许,一个体系可以验证一个TCP链接是否是有效的链接,但同时又不生存任何TCP的状态信息,等体系验证这个TCP链接是有效的,它可以把这个COOKIE转发给WEB办事器,让WEB办事器从这个COOKIE内里构建原始的TCP状态信息,完成有效的TCP链接。“而且也可以用某种要领让客户端重新创建一个新的TCP链接,要是客户端肯创建的话,那就阐明客户端是一个有效的TCP链接,遵循TCP或者HTTP的协议。而不是一个被OWN的主机,拼命向一台WEB办事器发送TCP SYN报文而不生存任何状态”,张大民思索到这里,感觉到他曾经离一个解决方案不远了。经过对TCP和HTTP的近一步分析,在天色蒙蒙亮的时间,张大民终于拿出了第一个验证远程客户端有效性的方案。
首先,一个保护层必要放在客户端和WEB办事器之间,来拦截所有的从客户端发来的TCP SYN报文。在接到TCP SYN报文后,这个保护层要发一个TCP SYNACK回去,TCP的序列好是盘算好的TCPSYN COOKIE,根据这个COOKIE,一个完整的TCP状态可以恢复出来。注意这时这个保护层并不生存任何TCP的状态,它在等着客户端是否能送一个TCPACK返来。要是返来,就证明远程客户是一个有效的客户,由于远程客户也和WEB办事器一样,在生存这个TCP的状态。而且经过对HTTP的分析,张大民在此基础上又加了一道防备。保护层会送回一个HTTP重定向的TCP报文。根据HTTP的RFC的规定,当一个HTTP收到HTTP重定向报文后,它应该停止HTTP和TCP的链接。根据HTTP重定向报文中的内容重新创建新的TCP链接。如许,保护层也验证了HTTP是否是一个有效的HTTP,要是是,就应该服从HTTP的规定,停止TCP链接,偏重新向WEB办事器公布新的TCPSYN链接。
当一台肉鸡向WEB办事器公布TCP SYN洪水工具时,它是不会送任何TCP ACK返来的。要是保护层没有收到这个TCP ACK,就发现了这个源地址来的报文不是正常的报文,以后也不会让这个源地址来的报文经过了。从而达到了过滤DDOS网络流量的目标。
尝到了胜利的高兴后,张大民也顾不上睡觉,又好好分析了TCP的状态装换图。这次,他主要是找有什么报文能使客户端主动停止一个TCP链接,然后在主动重试的。他发现,大部门应用层的协议,当一个TCP链接呈现异常后,通常环境下都要进行重试,在创建新的TCP链接,直到三到四次。如许,当办事生拍门奉上早饭的时间,黑客张大民又有了另一个TCP客户有效性验证方案。
这次,当保护层拦截到客户端公布来的TCP SYN报文后,保护层送一个TCPACK,而不是TCP SYNACK回去。根据TCP的状态转换图,当客户端吸收到这个TCP ACK报文时,客户端以为TCP的链接出了题目,会向办事器端发一个TCP RST的报文来停止目前的TCP链接。而利用TCP的应用层协议,如HTTP通常环境下会重试。要是是一个有效的HTTP客户,而不是一个发送DDOS网络流量的肉鸡,这个客户会重试。保护层会让这个重试的报文经过,而到达正常的WEB办事器。
张大民曾经有点崇敬自己了。这个想法就更天才了,这个措施只是拦截TCPSYN,然后送一个TCP ACK回去,要是收不到客户端发返来的TCP RST,那么客户端就肯定是发送DDOS网络流量的肉鸡。要是不是,客户端自己会重新创建另一个TCP链接。而保护层在收到这个客户发来的TCP RST后,会让这个客户的新的TCP链接经过。保持肉鸡的网络流量被掐断,也保证了有效的客户可以正常拜访网站。
要是我是做市场的,我就把这个中心层叫作“智能Anti—DDOS防火墙”志得意满的想。
DDOS防护方案的体系实现思路
这个体系设计最核心的头脑便是保护层不保留任何TCP的状态信息。正是由于如许,保护层才气比一般的WEB办事器吸收流量大的多的TCP网络流量。而且保护层也做到了对正常的网络流量和DDOS的网络流量的区分,保证让正常的网络流量经过,而拒绝DDOS的网络流量到达WEB办事器,从而保证了WEB办事器的资源只办事于正常拜访网站的客户。
张大民一边想, 一边理顺着自己的思路
那么在一个实际运行的网站中,这个体系应该放在那里呢?最间接的想法便是把这个保护层放在网站办事器的前面,就像一般的企业网把防火墙放在企业网的前面一样。如许,当没有DDOS攻击网站办事器时,保护层就让正常拜访网站的网络流量经过。当有DDOS攻击网站办事器时,保护层就启动还击装置,把DDOS的网络流量过滤掉。
如许的设计应该是可行的。张大民想。但题目是,在打多数环境下网站都不会遭到DDOS的攻击,把这个保护层不停放在网站办事器前面,吸收网络流量,是否有点太糜费了?最好的要领是,经过路由来引导网络流量,当没有DDOS网络流量攻击网站办事器时,让所有的网络流量都不经过保护层,间接到达网站办事器。一旦遭到攻击,就经过路由把所有的网络流量都现转到保护层,让保护层看一下,把DDOS的网络流量过滤掉。
如许的设计应该是比力优化的。张大民在想张大民晓得,经过路由主动转移网络流量的偏向不是什么困难的技术题目。当网络流量的建模和预警装置发现DDOS网络流量时,象网络中主动插入静态路由或者BGP路由来引导网络流量的偏向,这些在现代网络中曾经是很常用的技术了。
在这个方案中,保护层首先要对网站的流量进行统计建模。然后保护层不停监督着网络的流量状况,当流量呈现异常时,保护层进入还击状态,首先改变拜访网站办事器的网络流量的偏向,让这些网络流量都首先都经过保护层。保护层就用源地址验证的要领对这些拜访流量进行过滤,过滤掉DDOS的网络流量,让正常的网络流量传过保护层,正常拜访网站办事器。
看着自己的设计方案,张大民忽然想起了雷锋同志日志里的话。“对待同志要像春天般的暖和,对待事情要像夏天一样火热,对待个人主义要像金风抽丰扫落叶一样,对待敌人要像隆冬一样严酷无情。”
这也正是DDOS还击体系设计的原则之一啊,张大民不禁笑作声来:
“对待正常的网络拜访流量要像春天般的暖和,对待拜访网站的客户要像夏天一样火热,对待被利用的肉鸡要像金风抽丰扫落叶一样,对待真正的DDOS网络流量要像隆冬一样严酷无情。”
而且雷锋同志的这些可都是要手工去实现的。DDOS还击的要领必须是全主动化。
竣事语
张大民站起家来,心中充满了事情的高兴。这也正是他为什么热爱网络宁静事情的缘故原由之一。网络宁静范畴充满了挑衅性。魔高一尺,道高一丈。亦或道高一尺,魔高一丈。攻防之间此消彼长,永久是在静态之中在探求平衡。
不论是哪一方,当经过冥思苦想,找到解决方案,在攻防战中占据主动时,那种高兴的心境,只有履历过的人才晓得。在这次履历中,黑客张大民也深深感觉到根本功对付网络宁静事情的紧张。险些所有学过盘算机网络的人都晓得TCP的状态图,但又有多少人仔细的研讨过呢?能否不光知其然,还知其以是然,每每是区别一个有创意的黑客还是一个循规蹈矩的网络宁静工程师的主要缘故原由。
张大民正高兴着,忽然间一个想法又击中了自己。自己惠顾思量TCP了,那么哪些基于UDP的应用,要是遭到了DDOS的攻击该怎么办呢?张大民又开始挠脑袋了。由于他晓得,同TCP不同,UDP是没有状态的,就和IP一样。UDP和IP独一的区别便是UDP提供了应用层的端口。而他这两天冥思苦想出来的解决方案完全不适合UDP,由于自己的解决方案是以TCP的状态图为根据的。
这个就更难了。难道自己又要闭关一次不可?但张大民气里曾经有了些预备。由于经过这两天的思索,他晓得,验证一个客户主机是正常的主机,还是被OWN的肉鸡被用来发动攻击,关键便是看远程的客户主机是否遵循RFC的协议来运作。要是是,那就根本上是正常的主机。否则,就很有可能是被OWN的肉鸡。应该还是有措施的,张大民暗想。着实不可,要是自己着实没措施了,就去找江南小镇的秘密老人……
参考材料:
RIVERHEAD产品
ARBOR NETWORK产品
NANOG.ORG
附图1:不同范例DOS网络流量增长趋势分析
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
