|
dos是“拒绝服务”(denial of service)的缩写 ,dos攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。
由于一些网络通讯协议本身固有的缺陷,拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机付出很大的资源开销,因此攻击方往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是ddos攻击(分布式拒绝服务攻击),通过控制多台傀儡主机策划进攻,更加强了攻击的破坏性,甚至可以造成一些包括防火墙、路由器在内的网络设备瘫痪。可以假想一个公用电话呼叫服务系统(如119报警台),如果遭遇恶意地不间断拨打骚扰电话,就可能造成电话系统繁忙,从而阻塞正常的电话请求,造成呼叫中心无法为正常的用户请求服务。dos攻击就是类似形式的恶意网络行为。
早期的dos攻击都需要相当大的带宽资源来实现,而以个人为单位的“入侵者”往往没有这样的条件。但是后来攻击者发明了分布式的攻击方式,即利用工具软件集合许多的网络带宽来同时对同一个目标发动大量的攻击请求,这就是ddos(distributed denial of service,分布式拒绝服务)攻击。简而言之,ddos攻击是由“入侵者”集中控制、发动的一组dos攻击的集合,非常难以抵挡。
单一的dos攻击一般是采用一对一方式的,当攻击目标cpu速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得dos攻击的困难程度加大了,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
你理解了dos攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?ddos就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便,也为ddos攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以g为级别的,大城市之间更可以达到2.5g的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
攻击运行原理
下面简单介绍ddos攻击运行原理,如图所示:
第一步,搜集了解目标的情况,包括被攻击目标主机数目、地址情况、目标主机的配置、性能和目标的带宽。
第二步,占领傀儡机,包括链路状态好的主机、性能好的主机以及安全管理水平差的主机。黑客现在占领了一台傀儡机了,然后他做什么呢?做为攻击者的角度来说,肯定不愿意被捉到,因此一般不直接攻击受害者,而是先找出傀儡机,占领傀儡机,然后以傀儡机为源点攻击最后的受害者,这样就很好保护了自己攻击了别人不被发现。
第三步,经过前2个阶段的精心准备之后,黑客就开始瞄准目标准备发射了。对于实际的攻击复杂很多,各种各样的隐蔽样式层出不止。
被ddos攻击时的现象
怎么判断机子正遭受到ddos攻击呢?一般来说,被攻击主机上有大量等待的tcp连接,网络中充斥着大量的无用的数据包,源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统死机等等,这些都是遭受到ddos攻击时的现象。
最经典的攻击是synflood攻击,它利用tcp/ip协议的漏洞完成攻击。通常一次tcp连接的建立包括3个步骤,客户端发送syn包给服务器端,服务器分配一定的资源给这里连接并返回syn/ack包,并等待连接建立的最后的ack包,最后客户端发送ack报文,这样两者之间的连接建立起来,并可以通过连接传送数据了。而攻击的过程就是疯狂发送syn报文,而不返回ack报文,服务器占用过多资源,而导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
这个攻击是经典的以小搏大的攻击,自己使用少量资源占用对方大量资源。一台p4的linux系统大约能发到30-40m的64字节的synflood报文,而一台普通的服务器20m的流量就基本没有任何响应了(包括鼠标、键盘)。而且synflood不仅可以远程进行,而且可以伪造源ip地址,给追查造成很大困难,要查找必须所有骨干网络运营商,一级一级路由器的向上查找。
对抗ddos攻击方法
对于个人来说,下载好的抗ddos攻击的软件防火墙就足够。对于中小型企业来说,事情就不是那么简单。对抗ddos攻击一个很重要的要素就是增强自身的防御能力。使用更大的带宽及提升相关设备的性能是面对ddos攻击最直接的处理方法。虽然这必定需要耗用一定的资源,但是对于那些将生存寄托于这些在线系统的企业来说,进行这种投入是具备足够理由的。只是在执行这类“硬性增幅”的时候,我们需要把握适度的原则。
其中的一种做法就是 路由器优化。 路由器优化,需要得到攻击路径中上级的网络设备服务商支持。但一些路由器自身的保护策略是以牺牲正常访问为代价的,并不能智能识别攻击和正常访问 。
另外一个方法就是采用 有抗dos能力的防火墙。现在有很多防火墙产品集成了反ddos功能,进一步提高了对常见ddos攻击包的识别能力。这样的产品可以在很大程度上增强ddos防御能力,并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有帮助的能力,因为如果判断ddos攻击所耗费的处理越少,就越不容易被耗尽处理能力,从而极大的增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能,我们应该尽可能充分的利用。 如下图,防ddos攻击防火墙处于internet与内部网之间。
采用 有抗dos能力的防火墙,能够防护一些低规模的拒绝服务攻击,配置和操作相当简单 。但也有一些局限性,防火墙作为通用网络安全产品,在防dos方面不可能达到专业产品的性能和效率,对大规模的dos攻击是无能为力的,甚至会成为攻击目标。
quidwayreg; secengine d200 入侵检测系统
quidway secengine d200 (以下简称d200)是华为3com公司面向企业用户开发的新一代专业入侵检测设备,可以作为中小企业的网络出口或者内部关键子网的入侵检测设备。d200是华为3com安全渗透网络解决方案中的重要设备之一。
d200提供三个固定的10/100m自适应以太网口,一个10/100/1000m自适应的以太网口;d200采用华为3com专门针对安全领域应用度身定做的安全操作系统secnos,secnos可以根据不同的应用进行扩展和裁减,并与上层的应用紧密结合,从而很好地保证了设备自身的安全性。
对于网络中可能存在的安全风险,例如黑客入侵、网络病毒和网络资源滥用等行为,d200可以进行有效检测并做出报警或与其他网络设备联动实现实时阻止。d200可以对流经被保护网络的流量进行基于三种技术的综合检测,包括:
基于状态的内容特征匹配:采用了高精度的智能模式识别算法,对协议交互特定阶段的报文进行检测,可以识别隐藏在正常业务流量中的网络攻击的特征。
协议分析:以网络层、传输层和应用层的常用协议为对象,记录和分析协议交互的过程,为基于状态的内容特征匹配提供了状态依据,并且可以有效的探测那些利用协议漏洞的网络攻击。
流量分析:通过对网络流量规律的数学建模和智能统计分析,可以有效地抵御dos/ddos攻击和扫描攻击。
对于大规模的部署和应用,d200也支持安全管理平台的集中式管理。通过安全的传输通道,管理员可以对全网的secengine系列设备进行统一的配置管理、策略部署和安全事件监控。对于收集到的网络安全事件,管理员可以通过安全管理平台提供的多种智能分析和管理手段对这些信息进行处理,并依据处理结果调整安全策略和防护手段,从而提高网络安全的整体水平
绿盟科技 collapsar-100黑洞百兆产品
绿盟科技从2001年5月开始进行针对dos攻击的产品研发,次年,该公司完成了抗拒绝服务攻击的克星—“黑洞collapasar”的全部研发工作,并申请了国家发明专利。
collapsar-100属于百兆产品,产品即插即用,无需配置即可实现全面防护,能够对syn flood、udp flood、icmp flood和(m)stream flood等各类dos攻击进行防护。可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。可以防护dns query flood,保护dns服务器正常运行。可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。
这款黑洞百兆黑洞主要用于保护子网和服务器。核心算法由汇编实现,针对intel ia32体系结构进行了指令集优化。对标准tcp状态进行了精简和优化,效率远高于目前流行的syn cookie和random drop等算法。使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
遐迩网络科技 dosnipe ds220
dosnipe 抗拒绝服务设备采用专业的硬件设计,无懈可击的系统内核,超大流量的访问控制,高效、安全、准确,完全能满足大流量、大规模攻击下的连通需求。经多次权威测试结果表明, dosnipe 抗拒绝服务系统能准确、迅速、全面的防御各种 dos/ddos 攻击,甚至能防御部分未知的 dos/ddos 攻击,同时也大大增加了黑客的攻击成本。
dosnipe ds220是百兆级设备,带有四个百兆网卡接口以及一个标准串口,吞吐量可达150m。自主知识产权一次性单向非法数据包防止连接耗尽,主动清除服务器上的残余连接。即插即用,网络隐身,无ip地址。提供console和web双重管理模式。防御种类synflood及其变种,dosnipe ds220是中型企业的首选的产品。
目前该产品已经通过了公安部计算机信息系统安全产品质量监督检验中心 、中国人民解放军信息安全评测认证中心 、中国国家信息安全测评认证中心、中国软件测评认证中心的测试认证。
金盾抗ddos防火墙 百兆级 jdfw-100
jdfw-100为百兆级防火墙,其芯片高级硬件防火墙,电口接入,支持多网段防护,跨路由模式,跨网段模式,跨vlan等模式的防护,适合百兆环境,小中型企业,idc服务商及系统集成工程,,可支持255台机器有效的防护工作。可以抵御多种拒绝服务攻击及其变种,可防各类dos/ddos攻击,如 syn flood、tcp flood,udp flood,icmp flood及其各种变种如land,teardrop,smurf,ping of death等。
| 
