| 出版日期:2005-06-20 总期号:1421 本年期号:44 |
|
 |
防控DDoS攻击三步曲
文 港湾网络有限公司 谭闯 DoS攻击是一种既简单但又有效的进攻方式,能够利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DDoS(Distributed Denial of Service)是一种基于DoS的特殊形式的拒绝服务攻击,攻击者通过事先控制大批傀儡机,并控制这些设备同时发起对目标的DoS攻击,具有较大的破坏性。 常见的DoS/DDoS攻击可以分为两大类:一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等,例如泪滴(TearDrop)攻击利用在 TCP/IP协议栈实现中,信任IP碎片中的包的标题头所包含的信息来实现攻击,IP 分段含有指示该分段所包含的是原包的哪一段信息,某些 TCP/IP协议栈(例如NT 在Service Pack 4 以前)在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意义,利用TCP协议建连的特点完成攻击。 
基于状态的资源控制,保护防火墙资源 港湾网络SmartHammer防火墙支持IP Inspect功能,防火墙会对进入防火墙的资料做严格的检查,各种针对系统漏洞的攻击包如Ping of Death、TearDrop等,会自动被系统过滤掉,从而保护了网络免受来自于外部的漏洞攻击。对防火墙产品来说,资源是十分宝贵的,当受到外来的DDoS攻击时,系统内部的资源全都被攻击流所占用,此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态,当有连接长时间未得到应答就会处于半连接的状态,浪费系统资源,当系统内的半连接超过正常的范围时,就有可能是判断遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。 针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的的资源,用户在资源控制的范围内时,使用并不会受到任何影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接将被丢弃,这种做法可以有效抑制病毒产生攻击的效果,避免其它正常使用的用户受到影响。 智能TCP代理有效防范SYN Flood SYN Flood是DDoS攻击中危害性最强,也是最难防范的一种。这种攻击利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)。SmartHammer系列防火墙能够利用智能TCP代理技术,判断连接合法性,保护网络资源,如图所示。 利用NETFLOW对DoS攻击和病毒监测 网络监控在抵御DDoS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能,它将网络交换中的资料包识别为流的方式加以记录,并封装为UDP资料包发送到分析器上,这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源。可以在不影响转发性能的同时记录、发送NetFlow信息,并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。 利用NetFlow监视网络流量。防火墙可以有效的抵御DDoS攻击,但当攻击流数量超过一定程度,已经完全占据了带宽时,虽然防火墙已经通过安全策略把攻击数据包丢弃,但由于攻击数据包已经占据了所有的网络带宽,正常的用户访问依然无法完成。此时网络的流量是很大的,SmartHammer防火墙可以利用内置的NetFlow统计分析功能,查找攻击流的数据源,并上报上级ISP,对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能,并设置NETFLOW输出服务器地址,这样就可以利用港湾安全管理平台对接收的资料进行分析处理。我们可以用此方法统计出每天流量的TOP TEN或者业务的TOP TEN等,以此做为标准,当发现网络流量异常的时候,就可以利用NetFlow有效的查找、定位DDoS攻击的来源。 值得指出的是,防火墙在网络拓扑中的位置对抵御攻击也有很大影响,通常盒式防火墙被设计放置在网络的出口,这种情况下,虽然防火墙能够抵御从外部产生的攻击,但一旦网络内部的PC通过浏览网页、收发Email、下载等方式感染蠕虫病毒或有人从内部发起的恶意攻击时,防火墙是没有防护能力的。 港湾网络的SmartHammer ESP-FW防火墙模块可以解决此类问题,ESP-FW是港湾网络BigHammer6800系列交换机的一个安全模块,它继承了SmartHammer盒式防火墙的相关安全特性内置于交换机中,有效抵御来自内部网络的攻击。 |
||||||||||||||||||||||
