Ddos攻击的攻与防(归档)

风清扬斈 14年前 (2005-10-23) My Articles 6712 0

Ddos(Distributed Denial of Service)即分布式拒绝服务攻击,它是目前黑客经常采用而难以防范的攻击手段,国内有名的安全网站——天天安全网(ttian.net)最近受到了Ddos攻击,我们在对攻击者作出谴责的同时是否也应该思考一下,身为优秀的安全网站是否有责任在反安全方面作出良好的应对呢?


分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是一种崭露头角的攻击方法,最早出现于1999年夏天。当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始,这种攻击方法开始被广泛使用。在2月7日到11日的短短几天内,黑客连续攻击了包括Yahoo、Buy.com、eBay、Amazon、CNN等许多知名网站,致使有的站点停止服务达几个小时甚至几十个小时之久。
目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以,对这种攻击还无计可施。为了找出这种攻击的漏洞,从而有效地监测和捕获这种入侵,必须对其所用的工具进行具体分析。 




  分布式拒绝服务攻击采用了一种比较特别的体系结构,攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求(如ping攻击,SYN攻击,Smurf攻击和用户数据报文协议冲击,UDP冲击)来占用被攻击着的过多服务资源,从而使合法用户无法得到服务的响应。攻击者利用手中控制的大量(根据目标而定几十上百台)计算机同时向目标机发送大量数据包,直接耗尽目标机的带宽,致使目标机长时间被迫脱离Internet,造成正常服务中断。许多大型的网站都有很多的备用服务器,而一次有效的攻击会祸及所有。高速广泛连接的网络给大家带来了方便,但也为DDoS攻击创造了极为有利的条件。DDoS攻击主要瞄准比较大的站点,像商业公司,搜索引擎和政府部门的站点,对于较小的服务器则会因为没有价值而不会被攻击,但这并不意味没有被攻击的可能。

由于DDos攻击原理的简单性,所以一般的菜鸟级黑客也能发动一次DDos 攻击,首先利用一些跳板机控制(如Trinoo,TFN,Stacheldraht,Trinity v3,独裁者DDoS攻击器等木马软件)一定数量的计算机或服务器,然后通过远程命令同时向一个或几个目标发送数据,等待一段时间,受攻击的服务器就会不堪重负而停止服务。

被攻击者主要特征:
被攻击主机上有大量等待的TCP连接;
网络中充斥着大量的无用的数据包,源地址为假;
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯; 
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统死机。
 
如何防范Ddos攻击呢?

Mazu网络公司设计的TrafficMaster Inspector是一种对付DDoS的好工具。通过不停地进行以G为单位的以太网速度的数据检查,并且尽可能远的追溯数据来源。简单的说,M azu希望能够实时的探测到网络攻击,然后让正常的数据包通过同时将DDoS数据包阻挡起来。它对网络的这种保护使得它适合于ISP和数据中心服务器。
Security Analyzer已经能够防范25种分布式拒 绝服务式攻击工具,是目前安全性 能最好、防范黑客工具最多的网络安全软件,广泛适 用于视窗、Solaris和Linux操作环境。

    对于企业用户来说,可以通过安装一些软件例如防火墙和象Zone Labs 公司的Zone Ala rm Pro等,这些都可以起到免受或克制DDoS攻击的作用。另外,企业用户也可以寻求Asta 网络公司的帮助。Asta 网络公司开发了一种Vantage系统,这种系统可以起到一种类似于反病毒软件的作用,主要是起到预防的作用,当它发现了可能的攻击,Vantage系统会提示网络管理员,然后网络管理员就能使用路由过滤器甚至在数据流传送的途中关闭网络服务器来阻止攻击。而这个系统是通过分析和寻找可能的DDoS攻击的在一般攻击前的特点,它不停地将网络上数据包和已知的DDoS数据包的定式比较,这些定式包括流往域名服务器(DNS)的非标准的数据流,如果当它发现问题的时候,就会提示网络管理员了。 

对于一般管理者而言,应该做到:

1、建立强大的防火墙,
 重定向通常可以在路由器之间找到,而不是在主机之间。防火墙规则应该加以调整,使得这些类型的ICMP只被允许在需要信息的网际连接所涉及的路由器之间进行。

 需要防火墙来保护网站是毫无疑问的,但是很多网站管理员没有采取足够的保护措施。例如,很多防火墙都能根据端口和IP 地址过滤数据包,但是可能不会考虑到攻击者嵌入在 HTTP 协议和 HTML 里面的数据。理想的防火墙应该能够过滤和阻止Web 应用本身导致的缓冲溢出攻击。由于DDOS攻击方式很多,建立多种可靠的防火墙就显得尤为重要。

2、选用多家 ISP 
选用至少两家 ISP 给你的网站安家。要保证这两家 ISP 采用不同的路由器(或者说管道),以防止因为只采用一个管道而导致断开连接。有可能的话把网站分布到几台不同的服务器上,甚至不同的地点。采用循环 DNS 服务(Round Robin DNS)或者硬件路由器把进入的请求分流到多台服务器去。随时启动你的冗于DNS和WEB服务器,以消磨和打消攻击者的信心和耐心。
  

3、监控异常流量或安装 IDS 
在防御攻击方面,区网内部可以安装具有网络入侵侦测功能的软件Intrusion Detection System)并定期更新其资料文件,如此可侦测已知的 DDoS 攻击程序是否已入侵区网中的机器,或是是否有其它的攻击正在进行。 
另外,由于目前的 DDoS 是以 SYN/ICMP flooding 的方式攻击,如果能利用 Router 上的流量限制功能(例如 Cisco 的 Committed Access Rate)来限制 SYN/ICMP 封包所能占有的最高频宽,则可以减轻遭受类似  攻击的影响程度。不过在对任何协议做流量限制之前,最好能先评估一般的正常流量为何,以避免限制的太严格,反而影响正常运作。此外,地区网管也要时常监控网络流量,注意是否有异常流量的发生,若无法解决可询问相关厂商或是寻求 CERT 协助。
4、IP过滤
在一般的网络攻击事件中,骇客通常会假造封包的来源地址(source IP),以增加追查的难度,然而要防止假造的 source IP 却需要各地区网的配合,尤其是具有高速网络连结的单位(例如学校、政府机关或民间网络公司),或是区网内使用者复杂的单位(例如 ISP)。
  如果各地区网的管理人员能够从 Router 上滤掉不应该出现在该区网的source IP,则可以防止区网内的人员送出假造 source IP 的封包。当然这些捣蛋鬼还是可以送出伪造成区网内的其它 source IP 的封包,但毕竟范围小得多,他们也会心有顾忌。 
6、准备好快速反应
准备好 7X24 的快速反应计划,就能保持你的企业一直在线,并保持良好状态。
并保证能够有人随叫随到,而且有对付紧急步骤的措施。





从技术上来讲分布式拒绝服务攻击是一种比较先进的攻击方法。但是,任何攻击方法都有它本身的弱点。只要掌握这些弱点,就可以对其加以监控和控制,从而降低它对网络安全所造成的影响。 我们的世界正在演变为一个电子化的世界(E-World),所有的信息正在全面数字化,电子世界中四通八达的网络把人们联系在一起。然而,网络拥有较为复杂的设备和协议,保证复杂的系统没有缺陷和漏洞是不可能的。同时,网络的地域分布使得安全管理难于顾及网络连接的各个角落,没有人能证明网络是安全的,这便使网络安全变成一个严重的问题。合理地增加安全投资,增加正确的安全设备,改善安全管理无疑可以提高网络的可信度,提高其应用价值。

现在国内的各种安全网站林立,但其大多数的安全性让人担忧,既然是安全网站就有必要将安全搞好,树立好自己的形象,旦愿国内的安全网能够一路走好

相关推荐

  • 网友评论

    • (*)

    最新评论

    • chengyyan 2007-07-07 11:59:13 回复

      我的邮箱是cheng_yan_yan@sohu.com,对你的文章一知半解

      1