IDC防范SYN洪水攻擊與ARP欺騙的解決方案_安全焦點_龍虎鷹師網安服務器維護基地--Powered by www.vqbhynr.com.cn

IDC防范SYN洪水攻擊與ARP欺騙的解決方案

作者:龍虎鷹師網安網站維護基地 來源:龍虎鷹師網安網站維護基地 瀏覽次數:0

龍虎鷹師網安網訊:根 據黑客攻擊心理學分析,通常黑客攻擊的目標是一個明確的Web  服務器,目的通常是讓其無法正常訪問。通常黑客在實施一次攻擊之前會先進行小規模試探性攻擊,例如制造幾分鐘的大量SYN數據包并觀察目標網站的訪問是

根 據黑客攻擊心理學分析通常黑客攻擊的目標是一個明確的Web 服務器目的通常是讓其無法正常訪問通常黑客在實施一次攻擊之前會先進行小規模試探性攻擊,例如制造幾分鐘的大量SYN數據包并觀察目標網站的訪問是否 受到了預期的影響只有黑客看到此類試探性攻擊有效后,才會制造后續的大規模攻擊。而按IDC之前的慣例來處理此類攻擊的方法通常是,將受害主機斷開網線 并將其地址列入防火墻或者黑洞路由。而此措施正好幫助黑客實現了他的攻擊目的,顯然黑客不會因此停手,而通常情況下黑客會為了鞏固攻擊結果而加大火力或者 持續火力來攻擊。這并不是我們所希望看到的。 事實證明我們迫切需要一種防護方式讓黑客看起來他的攻擊對于目標主機是無效的,使其放棄攻擊或改用其他網站滲透攻擊(對IDC不造成影響的)等,而不是幫 助黑客實現他的攻擊目的。—— 這就是我們將要引入的新安全防護概念

注意:

當我們的網絡遭遇拒絕服務攻擊時請不要進行如下操作:

將 受害主機斷開網線,或者限制其通過帶寬,因為根據網絡交換機原理當發往目標主機的數據包不可達時,交換機會將此數據包嘗試投遞到交換機的每一個端口上去尋 找目標地址,而真正的目標主機已經被我們拔掉了網線或者限制了通過帶寬,那么次操作顯然會加重交換機負載,并且將攻擊流量在交換機內部復制了N倍(N等于 同一VLAN下的交換機端口數)。

正確處理方式如下:

在上層路由器中將受害主機地址列入一個具有數據包過濾功能的路由器,如果不具備此類設備可以考慮將其列入一個黑洞路由。

黑客最常見的攻擊方式大體為 拒絕服務 ( DDoS ) 和 ARP欺騙。對IDC資源產生影響的常見拒絕服務可分為 大流量攻擊 和 大量并發連接攻擊 。 下面我們針對這三種攻擊進行如下分析:

大量并發連結數攻擊:

此 類攻擊對于具備硬件或軟件防火墻的網絡最有效。每個防火墻都有一個會話(Session)數值代表其可以處理的同時并發連接數的指標。其攻擊的原理就是制 造的偽造源地址的TCP SYN握手請求發往目標主機,而目標主機在受到此請求后還會向其偽造的源地址回應一個數據包,這樣對于防火墻來說就構成了一個會話。而由于每個數據包都是 來自并回應到偽造地址的,因此除了等待會話超時否則它永遠不會被主動關閉。那么不管這個防火墻具備多大的處理能力,也很快會被耗盡資源,其結果將導致受此 防火墻保護的整個網絡將癱瘓,而不僅是一臺目標主機。

大流量攻擊:

當 黑客制造了一定的并發連但對目標網絡和防火墻沒有構成威脅的時候,他們通常還會想到繼續加大火力,而因此就產生了大流量攻擊。而能黑客并不能精確計算出當 他們制造了10Mbps DDoS流量后最終到達受害主機會被放大多少倍。這可能是由于我們IDC的網絡結構幫助了黑客。 例如:

  • 受害主機會回應偽造的數據包, 使流量被放大了一倍
  • 我們的網絡采用了Truck聚合技術,由于每個數據包要被封包,而每個數據包本身都很小,因此流量被放大了大約10%-15%。
  • 由于目標主機負載問題產生的丟包,雖然丟了一個數據包,但其數據包會被廣播到交換機的各個端口,因此流量被放大了N倍。

雖然制造洪水攻擊并不是很復雜,但不可否認黑客制造1Gbps的流量也是需要一定成本的。因此如果沒有我們的不良配置,以及在攻擊剛剛發生時候的即時相應通常會讓黑客放棄繼續增加以至于上Gbps流量的想法。

ARP欺騙攻擊:

我 們抵御住了外部攻擊,黑客顯然不能直接癱瘓我們的網絡,單是黑客通常會選擇先從另外一個脆弱的主機入手。然后再向同一個C網段的其他主機或者路由器發送 ARP欺騙數據包。相比制造大量流量這樣可以最低成本的打道攻擊目的。由于數據包來自內往的交換機下,因此我們購買的防火墻顯然不能發揮作用。而防范此類 攻擊我們應該做的事情是偵聽。利用交換機的鏡像端口功能,將所有流量復制到一個偵聽端口上,然后通過OSI 7層拆包技術來偵聽所有過往的ARP包。然后再探測出一張MAC – IP的拓撲表,就可以迅速找到被利用的主機了。

技術實施原理

采 用此方案來處理黑客攻擊,我們需要提升兩樣處理能力。細致拆包和精確的設置防火墻規則, 目前常見的防火墻只能處理OSI 3層或4層的攻擊。也就是說只能設置精確到TCP端口的防火規則,這顯然是不夠的。例如我們把一臺web服務器的80端口從防火墻上攔截并限制其訪問,那 么其效果豈不等同于拔掉它的網線么,還是幫助黑客實現了攻擊目的了。而我們所要做的應該是分析所有發往該主機80端口的數據包,尋找出帶有攻擊性數據包的 特征和共性,然后針對這種情況設置一條精確匹配的防火規則。 同樣是發往該主機80端口的數據包,只有滿足我們設定的攻擊特征才會被攔截,而且他的數據包全部方行,這才是真中有效的處理方式。

通 常的防火墻產品是無法滿足這樣的應用需求的,據我所知著名的黑洞防火墻具備此神奇的功能,但購買一臺黑洞防火墻的代價甚至大于我一個月的總利潤(我寧可舍 棄黑客干掉我網站三天的損失,也不愿意花那一大筆錢)。其他級別的7層防火墻也都價格不菲。在本方案中我們建議使用基于UNIX操作系統的防火墻和偵聽方 案。

UNIX 系統的自身安全穩定性想必大家眾所周知,FreeBSD UNIX對于防火墻模塊的支持不同于其他系統實基于軟件實現的,而BSD的防火墻模塊可以被直接編譯進內核。然后系統工作起來可以把硬件抽象為就是一個硬 件防火墻. 下面我們來簡單介紹一下所涉及的3個UNIX核心工具。

  • nload 實時過往流量分析工具

    這個工具就像是一個可以每秒進行一次統計的MRTG。在處理攻擊的時候我們需要隨時知道網絡流量的變化,而不是設定一個命令然后等5分鐘再去看一下結果。所以他很簡單卻很實用。

  • tcpdump過往流量拆包分析工具

    tcpdump 非常著名,以至于幾乎所有的UNIX發行版本中都捆綁了它的各個不同版本。它有豐富的可選參數,幾乎可以制定出我們想要得各種偵聽模式,而且是OSI-7 層偵聽。它與著名的Sniffer抓包工具一樣,都是對當前的網絡報進行探測并顯示,不同之處在于Sniffer更適合于抓包記錄并日后分析或取證,而 tcpdump的功夫在于實時抓包偵聽。它可以輕松的將每秒100Mbps的過往流量打開展示在我們的面前而不會消耗很高系統資源,更不會因此死機。在攻 擊發生的時候出了來了多少流量,我們更需要他來幫助我們知道來的這些流量都是什么,帶有什么特征。

  • ipfw UNIX內核集成的7層防火墻

    ipfw 并不是一個防火墻軟件,具備獨立的進程來消耗CPU資源和內存,真正的防火墻系統是UNIX的內核本身,而他就像Unix Shell一樣是用于與UNIX的防火墻內核模塊交互命令的一個工具。它可以工作與動態防火規則和靜態防火規則兩種模式,如果是動態規則,那么就像其他防 火墻一樣當遇到大量并非連接時候他會被耗盡資源,但是靜態防火規則是由于原理不同,因此它沒有最大會話數量這個概念。當然也不會因此使網絡癱瘓。 最主要的是它是7層防火墻,也就是說我可以清楚地向UNIX內核去描繪:

    #ipfw add 100 deny tcp from 60.0.0.0/8 to 210.72.2.1 dst-port 80 ipttl 116 iplen 40 setup in
    請攔截由60.0.0.0/8這些地址發送到210.72.2.15的tcp 80端口并且ttl =116 并 ip包大小等于40并且類型為SYN并且是流入方向。

    這樣我們就可以實現精確匹配工具數據包了。

    龍虎鷹師網安服務器維護方案本篇連接:http://www.vqbhynr.com.cn/show-19308-1.html
網站維護教程更新時間:2012-12-15 14:45:04  【打印此頁】  【關閉
全站連接N點 | 龍虎鷹師網安 |  
專業服務器維護及網站維護手工安全搭建環境,網站安全加固服務。龍虎鷹師網安服務器維護基地招商進行中!請QQ:29769479

footer  footer  互聯網安全  footer    

山东体十一选五走势 3d试机号历史查询 日本av三级片qvod系列 波多野结衣在线AⅤ观看 足球比分007 爵士vs小牛视频 老友内蒙麻将微信群 广东十一选五软件下 开拓者vs勇士录像 证券投资上证指数 日本黄色片大全 炒股第一步 越狱搜索黄色片 腾讯分分彩 老鹰vs快船 私募基金配资合法吗 gvod伦理三级片