Warning: include_once(D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php) [function.include-once]: failed to open stream: No such file or directory in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once() [function.include]: Failed opening 'D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php' for inclusion (include_path='.;D:/wwwroot/bjdns/wwwroot/') in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once(D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php) [function.include-once]: failed to open stream: No such file or directory in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once() [function.include]: Failed opening 'D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php' for inclusion (include_path='.;D:/wwwroot/bjdns/wwwroot/') in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once(D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php) [function.include-once]: failed to open stream: No such file or directory in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once() [function.include]: Failed opening 'D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php' for inclusion (include_path='.;D:/wwwroot/bjdns/wwwroot/') in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once(D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php) [function.include-once]: failed to open stream: No such file or directory in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920

Warning: include_once() [function.include]: Failed opening 'D:/wwwroot/bjdns/wwwroot/admin/includes/lib_template.php' for inclusion (include_path='.;D:/wwwroot/bjdns/wwwroot/') in D:\wwwroot\bjdns\wwwroot\includes\lib_main.php on line 1920
DDoS拒绝服务攻击和安全防范技术_技术优化_北京互联--北京虚拟主机,国外空间,国外虚拟主机,北京网通虚拟主机,北京双线合租,北京双线托管 - Powered by ECShop
购物车中有0件商品
    您的购物车暂无商品 赶快选择心爱的商品吧

首页 > 技术优化 > DDoS拒绝服务攻击和安全防范技术

DDoS拒绝服务攻击和安全防范技术

北京互联 / 2012-08-30

一、DDOS拒绝服务攻击简介“拒绝服务(Denial-Of-Service)攻击就是消耗目标主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务。”国际权威机构“Security FAQ”给出的定义。

DDOS则是利用多台计算机机,采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”,而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击,难于追踪。

目前DDOS攻击方式已经发展成为一个非常严峻的公共安全问题,被称为“黑客终极武器”。但是不幸的是,目前对付拒绝服务攻击的技术却没有以相同的速度发展,TCP/IP互联网协议的缺陷和无国界性,导致目前的国家机制和法律都很难追查和惩罚DDOS攻击者。DDOS攻击也逐渐与蠕虫、 Botnet相结合,发展成为自动化播、集中受控、分布式攻击的网络讹诈工具。据方正信息安全技术有限公司的有关专家介绍,DOS从防御到追踪,已经有了非常多的办法和理论。比如SynCookie,HIP(History-based IP filtering)、ACC控制等,另外在追踪方面也提出许多理论方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前这些技术仅能起到缓解攻击、保护主机的作用,要彻底杜绝DDOS攻击将是一个浩大的工程技术问题。

二、攻击原理

目前DDOS攻击主要分为两类:带宽耗尽型和资源耗尽型。

带宽耗尽型主要是堵塞目标网络的出口,导致带宽消耗不能提供正常的上网服务。例如常见的Smurf攻击、UDP Flood攻击、MStream Flood攻击等。针对此类攻击一般采取的措施就是QoS,在路由器或防火墙上针对此类数据流限制流量,从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别,并被丢弃。

资源耗尽型是攻击者利用服务器处理缺陷,消耗目标服务器的关键资源,例如CPU、内存等,导致无法提供正常服务。例如常见的Syn Flood攻击、NAPTHA攻击等。资源耗尽型攻击利用系统对正常网络协议处理的缺陷,使系统难于分辨正常流和攻击流,导致防范难度较大,是目前业界最关注的焦点问题,例如方正SynGate产品就是专门防范此类的产品。

针对DDOS的攻击原理,对DDOS攻击的防范主要分为三层:Source-end攻击源端防范、Router-based路由器防范、 Target-end目标端防范。其中攻击端防护技术有DDOS工具分析和清除、基于攻击源的防范技术;骨干网防护技术有会推技术、IP追踪技术;目标端防护措施有DDOS攻击探测、路由器防范、网关防范、主机设置等方法。

据方正安全工程师的多次实践分析,目标端防护技术得到最广泛应用。由于目标端使被攻击者,愿意为防护付出相应代价,并且实施难度也较低。而骨干网防范、攻击端防范都难于实施,合作意愿和难度上都有一定程度的问题

三、综合防范方法综述

目前基于目标计算机系统的防范方法主要三类:网关防范、路由器防范、主机防范。

1.网关防范

网关防范就是利用专门技术和设备在网关上防范DDOS攻击,例如用透明桥接入网络的方正防火墙或方正黑鲨等硬件产品。网关防范主要采用的技术有SynCookie方法、基于IP访问记录的HIP方法、客户计算瓶颈方法等。

SynCookie方法是在建立TCP连接时,要求客户端响应一个数字回执,来证明自己的真实性。SynCookie方法解决了目标计算机系统的半开连接队列的有限资源问题,从而成为目前被最广泛采用的DDOS防范方法,新的SCTP协议和DCCP协议也采用了类似的技术。SynCookie 方法的局限性在于,对于建立连接的每一个握手包,都要回应一个响应包,即该方法会产生1:1的响应流,会将攻击流倍增,极大的浪费带宽资源;此外,当分布式拒绝服务攻击的发起者采用随机源地址时,SynCookie方法产生的回应流的目标地址非常发散,从而会导致目标计算机系统及其周边的路由设备的路由缓冲资源被耗尽,从而形成新的被攻击点,在实际的网络对抗中也产生了真实的路由雪崩事件。

HIP方法采用行为统计方法区分攻击包和正常包,对所有访问IP建立信任级别。当发生DDOS攻击时,信任级别高的IP有优先访问权,从而解决了识别问题。

客户计算瓶颈方法则将访问时的资源瓶颈从服务器端转移到客户端,从而大大提升分布式拒绝服务攻击的代价,例如资源访问定价方法。客户计算瓶颈方法协议复杂,需要对现有操作系统和网络结构进行很大的变动,这也在很大程度上影响了该方法的可操作性。

综上所述,网关防范DDOS技术能够有效缓解攻击压力,适合被攻击者的自身防护。

2.路由器防范

基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有电信运营商管理,较难按照用户要求进行调整;另外,由于骨干路由的负载过大,其上的认证和授权问题难以解决,很难成为有效的独立解决方案。因此,基于骨干路由的方法一般都作为辅助性的追踪方案,配合其他方法进行防范。

基于路由器的ACL和限流是比较有效的防范措施,例如对特征攻击包进行访问限制,发现攻击者IP的包就丢弃;或者对异常流量进行限制等。也可以打开Intercept模式,由路由器代替服务器响应Syn包,并代表客户机建立与服务器的连接。类似一种SynProxy技术,当两个连接都成功实现后,路由器再将两个连接透明合并。

四、防范技术发展和趋势

DDOS攻击的发展非常快,为增加攻击威力,目前已经采用了许多新攻击技术:伪造数据,消除攻击包特征;综合利用协议缺陷和系统处理缺陷;使用多种攻击包混合攻击;采用攻击包预产生法,提高攻击速率。目前已经出现的攻击工具在单点情况下能发起6-7万个/秒攻击包,足以堵塞一个百兆带宽的大中型网站。

DDOS防范技术主要向攻击追踪、网关防范发展。利用ICMP数据包追踪、或是Burch 和 Cheswick提出的通过标志数据包来追踪的方法,都是目前研究的热点。在骨干网上攻击追踪研究的目标就是,在攻击者刚开始发起攻击时就能定位攻击源,从而阻挡攻击扩散和减轻目标损失。而网关DDOS防范技术将是未来产品发展的重点,将成为各类网站的DDOS防护盾牌,目前研究热点的也是利用行为统计等方法区分攻击包,例如方正黑鲨采用的CIP技术等。随着技术的发展,网关DDOS防范产品将得到广泛的应用。

近期国内部分站点遭到了较大规模的拒绝服务(D.O.S)攻击(包括类似前期yahoo等大型国际网站所遭受的的DDoS攻击——分布式拒绝服务攻击)。波及的网站包括知名的新闻网站、商业网站、证券网站,甚至是部分网络安全站点等。造成的症状为:站点无法访问,响应速度极慢,影响到周围相关网段的其它主机等,至今还有很多站点未恢复正常,仍无法正常访问。

作为一个网络安全站点,我们的主站isbase.com也同样受到了极其猛烈的拒绝服务攻击。公司技术人员立即做出响应:针对攻击的方式及可能采用的攻击手段,提出了切实可行的完整解决方案,把攻击的危害降到了最低。现在网站一切正常,虽然攻击仍旧在继续,但对服务器的影响已经降到了最小,不会影响服务器的正常运作。同时,我们积极联系了其它受攻击的同行站点,表明攻击来自同一类手法,可能来自某人(团体)蓄意所为。另外,对我们近期为其它站点所做的紧急响应情况来看,此次攻击的规模之广、强度之大令人发指。在采取了我公司应的解决方案后,接受紧急响应的网站都已恢复正常。

我们根据自己站点所受的攻击对此次大规模拒绝服务攻击做出了初步分析报告:

从被攻击的症状来看,这次的攻击大致有以下几种:分布式拒绝服务攻击、Syn-Flood攻击,icmp炸弹(ping of death)等几种。这是通过审查我们站点被攻击后留下的纪录,分析这些记录后得出的初步结论。

要防范拒绝服务攻击,首先要从强化自身做起。

针对目前D.O.S攻击的实施手段,我们预先采取了以下的一些措施:

1.为防止Syn-Flood攻击(Syn-Flood攻击的具体原理参见本站的技术文章),我们对默认安装的系统进行了强化,主要是通过重新编译内核,设定相应的内核参数使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。如果不强制对这些无效的数据包进行清除复位,将大大加重系统的负载,最终将导致系统失去响应。

2.为防止icmp炸弹的攻击,在系统内核中对icmp数据包的流量进行限定允许。并在系统参数中对此限定值调整。以防止系统由此而造成的失去响应。

3.在系统中加装防火墙系统,利用防火墙系统对所有出入的数据包进行过滤。

4.仔细调整服务器的各项参数。根据我们站点访问量大的特点,对Web服务器和Mail服务器进行适度的预加重处理,即通过预先使服务器达到一定的负载,以使得整个系统的负载在访问量变化时不会出现很大的变化,如果出现了很大的变化,很有可能使得服务器崩溃。这和在建筑中广泛采用的预应力技术的原理是一致的。

在完成了对服务器的强化后,还必须使用一些有效的方法和规则来检测和发现拒绝服务攻击,并能在检测到拒绝服务攻击后采取相应的对策。

检测的手段很多,可以通过察看路由器纪录和系统纪录以及站点目前状态来实现。

通常,我们在设计防火墙的时候会预先对某些特殊类型的IP数据包进行过滤(不需要纪录)。这些特殊的IP是不能在Internet网上出现的(无法路由)。而要进行拒绝服务攻击往往最需要这类有来无回的数据包,来隐蔽攻击者的真实地址和身份。而一旦这类地址出现,往往就标志着某种拒绝服务攻击的开始。

这一大类的地址是127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16这四个网段的地址。就我们的防火墙的规则而言,对这三个地址段是完全拒绝任何数据包的: denyall。然后通过检测对这些规则的计数,来判决是否存在某些攻击行为。如当我们发现在我们的计数器中发现如下的情况:

0 0 deny ip from any to 127.0.0.0/8 4552 553302 deny ip from 10.0.0.0/8 to any 0 0 deny ip from any to 10.0.0.0/8 0 0 deny ip from 172.16.0.0/12 to any 0 0 deny ip from any to 172.16.0.0/12 97601 11024404 deny ip from 192.168.0.0/16 to any 0 0 deny ip from any to 192.168.0.0/16我们就可以推断是有人在拒绝服务攻击,当我们利用netstat–an来检测当时的网络连接数目时,我们会发现有大量SYN_RCVD类型的连接:

 

下一篇:探秘苹果太阳能云数据中心
上一篇:VPS独享主机技术原理