如何抵御拒绝服务攻击
拒绝服务攻击是一种旨在使网络资源失效的攻击手段。攻击者通过占用网络资源或干扰服务器,导致其他主机无法正常访问,进而引发系统崩溃或网络瘫痪。拒绝服务攻击主要分为Smurf、SYN洪水和Fraggle三种类型。在Smurf攻击中,攻击者利用ICMP数据包干扰服务器及网络资源;SYN洪水攻击则通过大量TCP半连接占用网络资源;而Fraggle攻击与Smurf攻击原理相似,采用UDP echo请求而非ICMP echo请求发起攻击。
尽管网络安全专家致力于研发防御拒绝服务攻击的设备,但效果尚不理想,因为拒绝服务攻击利用了TCP协议的固有缺陷。合理配置路由器能有效抵御拒绝服务攻击。以Cisco路由器为例,其IOS软件具备多种防御拒绝服务攻击的特性,可保护路由器及内部网络安全。
运用扩展访问控制列表是抵御拒绝服务攻击的有效手段。它不仅能用于检测拒绝服务攻击的类型,还能阻止攻击。通过使用Show ip access-list命令,用户可查看每个扩展访问控制列表的匹配数据包,根据数据包类型,判断拒绝服务攻击的种类。若网络中出现大量建立TCP连接的请求,表明网络遭受了SYN洪水攻击,此时用户可调整访问控制列表的配置,抵御攻击。
运用服务质量优化(QoS)特性,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)及定制队列(CQ)等,都能有效抵御拒绝服务攻击。不同的QoS策略针对不同类型的拒绝服务攻击效果各异。例如,WFQ在抵御Ping洪水攻击方面比防止SYN洪水攻击更有效,因为Ping洪水通常在WFQ中表现为单一传输队列,而SYN洪水攻击中的每个数据包都表现为单独的数据流。CAR可限制ICMP数据包流量速度,抵御Smurf攻击,也可限制SYN数据包流量速度,抵御SYN洪水攻击。用户需了解QoS及拒绝服务攻击原理,才能根据攻击类型采取相应防御措施。
运用单一地址逆向转发(RPF)是另一种有效抵御拒绝服务攻击的方法。RPF是路由器的一个输入功能,用于检查路由器接口接收到的每个数据包。若路由器收到一个源IP地址为10.10.10.1的数据包,但CEF(Cisco Express Forwarding)路由表中没有为其提供路由信息,路由器就会丢弃该数据包,从而阻止Smurf攻击和其他基于IP地址伪装的攻击。
运用TCP拦截功能能有效抵御SYN洪水攻击对内部主机的威胁。在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来阻止攻击。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器与客户机建立连接,若连接成功,则代表客户机与服务器建立连接,并将两个连接透明合并。在整个连接过程中,路由器持续拦截和发送数据包。对于非法连接请求,路由器提供更严格的half-open超时限制,防止自身资源被SYN攻击耗尽。在监视模式下,路由器被动观察流经路由器的连接请求,若连接超过所配置的建立时间,路由器就会关闭此连接。
基于内容的访问控制(CBAC)是对Cisco传统访问控制列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,抵御拒绝服务攻击。CBAC通过设置超时时限值和会话门限值来决定会话维持时间以及何时删除半连接。CBAC通过监视半连接数量和产生频率来抵御洪水攻击。每当有不正常的半连接建立或在短时间内出现大量半连接时,用户可判断遭受了洪水攻击。CBAC每分钟检测一次已存在的半连接数量和尝试建立连接的频率,当已存在的半连接数量超过门限值,路由器就会删除一些半连接,以保证新建立连接的需求。路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当尝试建立连接的频率超过门限值,路由器也会采取相同措施,删除部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种持续监视和删除,CBAC能有效抵御SYN洪水和Fraggle攻击。
路由器是企业内部网络的第一道防线,也是黑客攻击的主要目标。若路由器易受攻击,企业内部网络安全将无法保障。因此,在路由器上采取适当措施,防御各种拒绝服务攻击至关重要。用户需注意,上述方法针对不同类型的拒绝服务攻击效果不同,对路由器CPU和内存资源的占用也有很大差异。在实际环境中,用户需根据自身情况和路由器性能选择合适的方法。
拒绝服务攻击的防御
拒绝服务攻击自互联网诞生以来,伴随着互联网的发展而不断演变。值得一提的是,获取拒绝服务攻击工具并不困难,黑客聚集的网络社区有共享黑客软件的传统,并会交流攻击经验,用户可轻松从互联网上获取这些工具,如上述提到的拒绝服务攻击软件都是公开软件。因此,任何上网者都可能成为网络安全的潜在威胁。拒绝服务攻击对互联网安全构成重大威胁。
为避免系统遭受拒绝服务攻击,网络管理员需积极谨慎地维护系统,确保无安全隐患和漏洞;针对恶意攻击方式,需安装防火墙等安全设备过滤攻击,并建议网络管理员定期查看安全设备日志,及时发现系统安全威胁行为。
互联网支持工具是主要解决方案之一,包括SuperStack3Firewall、WebCache和ServerLoadBalancer。3ComSuperStack3防火墙作为安全网关设备,在默认预配置下可检测和防御“拒绝服务”(DoS)和“分布式拒绝服务”(DDoS)等黑客攻击,有效保护网络,避免未经授权访问和其他来自互联网的外部威胁和攻击;3ComSuperStack3ServerLoadBalancer在为多服务器提供硬件线速的4-7层负载均衡的同时,还能保护所有服务器免受“拒绝服务”(DoS)攻击;同样,3ComSuperStack3WebCache在为企业提供高效本地缓存的同时,也能保证自身免受“拒绝服务”(DoS)攻击。
网络辅助工具便是关键应对策略之一,涵盖了SuperStack3防火墙、网页缓存以及服务器负载均衡器。3Com SuperStack3防火墙,作为安全网关设备,默认配置下能够侦测并阻挡“拒绝服务”(DoS)以及“分布式拒绝服务”(DDoS)等黑客攻击,为您的网络提供坚固的防护,抵御未经授权的访问和来自互联网的外部威胁;同时,3Com SuperStack3服务器负载均衡器在为多服务器提供硬件线速的4-7层负载均衡服务时,还能保护所有服务器不受“拒绝服务”(DoS)攻击;同样,3Com SuperStack3网页缓存在企业提供高效本地缓存的同时,也能确保自身免受“拒绝服务”(DoS)攻击。
常见攻击与防御原理:攻击者通常巧妙地利用反弹服务器群将大量数据包反射回目标主机。所谓反弹服务,是指某些服务器在接收到请求数据报后会发送回应数据报。所有Web服务器、DNS服务器及路由器都具备反弹服务器的特性,它们会对SYN报文或其他TCP报文回应SYNACKs或RST报文,以及对某些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。任何用于普通目的的TCP连接许可的网络服务器都可以用作数据包反射服务器。
防御常见DDoS攻击需配置路由器、防火墙和入侵检测系统。
Smurf攻击:
·确认是否成为攻击平台:监控非内部网络来源的数据包;监控大量回音请求和回音应答信息包。
·避免成为攻击平台:在所有路由器上禁用IP广播功能;过滤掉非内部网络的信息包。
·减轻攻击危害:在边界路由器过滤并丢弃回音应答信息包;对于Cisco路由器,使用CAR限制回音应答信息包可使用的最大带宽。
trinoo攻击:
·确认是否成为攻击平台:过滤UDP协议(类别17)和TCP端口27655连接的流;过滤包含字符串“l44”并与UDP端口27444连接的数据流。
·避免成为攻击平台:过滤非内部网络的信息包。
·减轻攻击危害:过滤具有相同源IP地址、目的IP地址、源端口和不同目的端口的UDP信息包序列。
TFN攻击:
·确认是否成为攻击平台:监控非内部网络来源的信息包;不允许ICMP回音和回音应答信息包进入网络;过滤非内部网络的信息包。
·避免成为攻击平台:过滤ID域包含666或“skillz”、数据域包含667或“ficken”的ICMP回音应答信息包;过滤源地址为“3.3.3.3”的ICMP信息包和包含“spoofworks”的ICMP信息包数据流。
Stacheldraht攻击:
·确认是否成为攻击平台:过滤包含特定ID域值和字符串的ICMP回音应答信息包;过滤特定源地址的ICMP信息包数据流。
·手工防护:
通常,手工防御DDoS攻击主要通过以下两种方式:
系统优化——优化被攻击系统的核心参数,提高系统对DDoS攻击的响应能力。但这种方法仅适用于小规模DDoS攻击。
网络追踪——遭受DDoS攻击的系统管理人员通常会询问上一级网络运营商,如ISP、IDC等,以确定攻击源头。防火墙是最常用的安全产品,但防火墙设计原理中并未考虑针对DDoS攻击的防护,有时甚至成为DDoS攻击的目标,导致整个网络拒绝服务。
首先,防火墙缺乏DDoS攻击检测能力。通常,防火墙作为三层包转发设备部署在网络中,一方面保护内部网络,另一方面为内部需要提供外部互联网服务的设备提供通路。如果DDoS攻击采用这些服务器允许的合法协议对内部系统进行攻击,防火墙将无能为力,无法从背景流量中精确区分攻击流量。尽管有些防火墙内置了检测模块,但这些检测机制通常基于特征规则,攻击者只需对攻击数据包稍作修改,防火墙就无法应对。DDoS攻击的检测必须依赖于行为模式的算法。
其次,传统防火墙计算能力有限。传统防火墙以高强度检查为代价,检查强度越高,计算代价越大。DDoS攻击中的海量流量会导致防火墙性能急剧下降,无法有效完成包转发任务。防火墙的部署位置也会影响其防御DDoS攻击的能力。传统防火墙通常部署在网络入口位置,虽然在一定程度上保护了网络内部资源,但往往也成为DDoS攻击的目标,导致网络性能整体下降,用户正常请求被拒绝。
