ccidnet????

出版日期:2004-03-08 总期号:1294 本年期号:15

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
信息安全
存储世界
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 联动阻击DoS
——使用瑞星防火墙与入侵检测系统
刘思宇

  在互联网上入侵者的攻击日渐猖獗的今日,入侵手段层出不穷,愈演愈烈。其中,在针对Web网站的攻击方式中,针对URL进行的恶意探测、欺骗、拒绝服务攻击(DoS)较为常见。


  DoS攻击简单
  DoS是一种简单但又有效的进攻方式,它的目的就是拒绝用户的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。

  例如,某网站上的一个页面需要正确的身份验证方可访问,攻击者在不知道身份验证信息的情况下,编写程序对验证URL进行恶意探测,即我们通常所说的暴力破解。这样所造成的后果有二:一是正确的验证信息有可能被攻击者非法获取;二是攻击者为了尽快获取正确的验证信息通常会开动大量的线程对此URL进行探测,使得服务器不堪重负,造成拒绝服务攻击,合法用户反而不能够进行正常的访问了。我们可以使用Microsoft免费提供的一个Web压力测试工具Microsoft Web Application Stress来模拟这种请求服务的DoS攻击。同样是上面这个站点,由于其使用验证访问者合法身份的页面是一个ASP程序,相对纯HTML文件而言,它需要到后台数据库查询一遍才能生成一个结果页面,返回给访问者,这需要消耗更大的资源。在这里我们使用Microsoft Web Application Stress来向这个页面发出请求来模拟攻击者的恶意探测行为。使用GET的方式来对这个ASP程序进行请求,并且设定一个较大的线程和较长的TEST RUN TIME。这时候Web服务器上的CPU资源会造成极大的消耗,经过测试,如果请求一直持续下去的话,就有可能导致资源耗尽,出现拒绝服务,这就导致合法的用户反而不能正常访问这一页面了。


  解决思路
  一,使用ASP 程序本身来做限权访问。限制访问者的IP和请求次数,并记录到数据库中。通过这种方法,ASP程序本身可以做到制止恶意攻击的IP地址企图通过穷举的方法通过验证。但是,通过这种方式来限制的话,首先在面对这种攻击时不能达到减轻服务器负担的效果,负责限权访问的ASP程序仍然需要消耗系统资源来限制访问。并且Windows本身并不能通过这样的方式来生成阻断策略,阻断攻击源IP。就是说,保证了验证信息的安全,无法保证防止请求服务DoS攻击的威胁。如果接收到大规模的请求时,系统资源的消耗是在所难免的。

  二,使用防火墙和入侵检测系统在外围保护该服务器,使用防火墙和入侵检测系统联动的方式,当入侵检测系统捕捉到事先定义的攻击特征时,通过联动机制来通知防火墙对攻击源IP实施阻断以抵抗这种请求服务攻击。使用这种方法的话,一切防御攻击的行为就交给了防火墙和入侵检测系统进行,部署此智能化安全策略管理体系后,无需管理人员手工干预,自动地进行。使得管理更加方便,并达到更高的安全性。因此,其用户经过选型决定部署瑞星企业防火墙RFW-100和瑞星入侵检测系统RIDS-100来完成此智能化安全策略管理体系,实施联动策略来保护该Web服务器的安全。


  实施过程
  一.硬件部署

  部署瑞星企业防火墙RFW-100和瑞星入侵检测系统RIDS-100以后的网络拓扑如图2所示。

  二、软件配置

  部署好防火墙跟入侵检测系统以后,使用交叉线连接防火墙和入侵检测系统的“联动”口。然后在防火墙管理控制台上配置联动策略。打开防火墙的管理控制台,打开系统配置——防火墙系统配置,勾选“配置与IDS联动”,然后在“IDS地址”栏内填入入侵检测系统的IP地址,在“监听端口”栏内填入监听的端口(建议采用默认值)。在“阻断方式”中选择“双向阻断”,阻断时间设置为600秒。如图2所示。

  然后打开“防火墙系统维护”——“启动/停止服务进程”。勾选“与IDS联动”。如图3所示。

  现在,来到入侵检测系统的管理控制台界面上,针对该服务器较为重要,需要提供重点保护的ASP页面,在入侵检测系统的管理控制台上打开“配置管理”——“策略配置”窗口。点击“增加”自定义策略,如图4所示。

  定义的安全策略为保护pcverdownrequest.asp,pcverrequest.asp和ruver.inf三个ASP程序,当监测到某个IP针对这三个受保护的URL在5秒以内进行大于或等于5次的非法请求之后,则向防火墙发出报警,防火墙接收到报警以后对攻击源IP实施阻断600秒。使得该攻击源无法发动连续的请求服务。既避免了合法用户的验证信息被非法获取,系统的资源也不会被非法消耗,以达到防范这种恶意的请求服务DoS攻击的目的。

   在投入到正式使用后发现,此种方法抵抗这种恶意探测和请求服务DoS攻击极为有效,攻击者再想通过暴力猜解的方法来获取合法验证信息时,均被入侵检测系统将攻击特征捕获,并及时通知防火墙阻断攻击。使得用户验证信息不会被攻击者恶意探测到,而且使得系统资源不再被非法消耗。


  图1


  图2


  图3


  图4