来源:蜘蛛抓取(WebSpider)
时间:2012-07-14 07:42
标签:
起凡网速加速器
您所在位置: &
 &  & 
TCP参数设置在cdma2000 1x EV-DO数据业务优化中的应用.pdf 5页
本文档一共被下载:
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值,立即自动返金币,充值渠道很便利
需要金币:100 &&
TCP参数设置在cdma2000 1x EV-DO数据业务优化中的应用
你可能关注的文档:
··········
··········
优化中的明
中国电信广东研究院广州510220
息、包数据排序、建立和断掉虚连接。TCP
cdma2000lxEV—Do网络数据业务流经是基于有线网络的面向连接的端到端传输控
制协议,使用一种基于滑动窗口技术的流量
AT、BSC/PCF、PDsN和APPserve薛关键网
元。EV-DO网络核心侧网元之间通过路由器、控制机制.其差错控制方案采用肯定应答方
交换机、防火墙以及传输介质等连接构建,数
式,即当某一数据包的传输确认消息在给定
据业务流建立在TCP之上。由于网元设备类型 的超时计时周期内没有到达时,发送端就重
众多,即使在良好的无线环境下,各级网元
传该数据包。与上述机制有关的两个关键参
数是滑动窗口和重传定时器,它们对TCP的
TCP参数的不匹配也会对EV-DO数据业务速率
产生影响,因此,基于不同的网络环境,应根
吞吐量影响极大。
据TCP特性,配置适合EV—Do无线数据业务的 RLP处在TCP和CDMA无线链路之间,
协议参数,不能简单孤立地沿用有线网络理论
主要作用是解决高FElL造成的重传问题,性能
对单一网元进行优化。
主要体现在业务吞吐速率上,若物理层分配的
16xSCH不连续,则会导致RLP层吞吐量下降。
目TCP在无线网络的应用
PPP主要体现在链路的连接建立方面,主要考
核依据是PPP建立成功率。
TCP对CDMA网络数据吞吐量影响极大,
这是由于TCP在RFC标准上拥有多种表现形
式,针对不同业务有特定的配置方案。TCP主 2.1无线网络特征
要涉及传输层,性能主要体现在业务吞吐速率
无线网络相对有线网络存在很多差异,无
上,在无线网络中传送TCP数据,需要在无线 线网络的特征会极大影响TCP层的性能。下面
链路层采取相应的重传措施,才能保证TCP数 介绍无线网络相对有线网络的4个特征。
据的传输性能。
(1)高误码率。典型的空中链路误码率明显
TCP功能包括流控制、出错控制、发消 高于有线网络,这导致大量的数据包丢失,而
www.ttm.com.cn25
曩蟹蜀臣哐暑翻垦旦幽垒圆终垡丝
有线网络数据包的丢失大部分是由于
2.2关键概念
络,数据业务需要流经包括BTS、
网络拥塞造成,因此误码率明显高于
在阐述TCP对无线业务影响前,
有线网络。
需要弄清以下5个关键概念。因为TCP络侧设备。网元间的TCP配合显得
(2)数据带宽震荡起伏。CDMA网调优与以下参数密切相关。
尤为重要,其中又以TCP中的最大
络的带宽在FCH到16xSCH之间会突(Dc飞硼
正在加载中,请稍后...当前位置: >>
DDOS防御的整体方案设计及应用
学校代码:10246学 号:033053290饪旦大学硕士 学 位 论 文(专业学位)DDOS防御的整体方案设计及应用院系(所):软件学院 软件工程 徐奕专业:姓名:指导教师;徐迎晓倪重匡2005年10月10日完成日期:�QQQ§堕御的墼佳左塞遮让厘廑旦擅噩摘要从上个世纪90年代初到现在,Internet的迅速发展,以及人们对互联网的依赖: Internet业务发展迅速,业务种类不断增加,信息源日益丰富,而接入用户的宽带化趋势已 成为ISP市场发展的丰流。在这样的环境下,原来以IP为主要架构的网络的安全上的缺陷日 益显露出来,整个网络无时无刻不处于黑客的窥视和攻击中,而随着接入用户的带宽的增 加,DDOS(分布式拒绝服务攻击)这种攻击形式带来的威胁越来越大,大量用户,特别是提 供公共服务的ISP更是将成为这种攻击的首选目标,如何防止这种攻击给ISP带来损失,确保 公网可靠、稳定地运行;最终确保公司的各种业务正常运行是网络运行维护人员迫切的需求。本文研究DDOS攻击和防御,并撰写了防御的方案及茛在上海热线的实施案例。 论文首先对DDOS的发展现状进行描述,然后从DDOS攻击的发展出发,总结出现代DDOS 攻击的方式和茛攻击造成的巨大损失和影响。接着详细的介绍了现在DDOS攻击的主要特点和 发展趋势,以及对其进行防御的技术手段的各自特点和实现机制;论文详细介绍了DDOS攻击 的八种模式,及对于这八种模式在防火墙、路由器直至UNIX主机上的防御手段。论文通过对 于各种模式的分析,提出了自己的整体解决方案,该方案通过部署多种检测设备并设置检测 DDOS的流程,可以在第一时间发现攻击,然后再通过实施一系列抵御攻击的手段,将攻击造 成的损失降到最少,而且可以通过独特的追踪手段追查攻击的源头,震慑了攻击者,更强地 保护了用户。通过在上晦热线的成功实施此方案,证明了方案的可行性。论文最后描述了最 新DDOS攻击的方法和简单的防御手段。关键词:网络、DDOS、攻击、防御、追踪第3页共55贞�QQ堕堕御的墼生夏苤篮过丛廛旦△垫!!堕丛ABSTRACTFrom the early 1990s to present,the development of world has witnessed the rapidonInternet,people’s dally 1lfe dependsInternetinagreatextend.Wlth the Internet businesscategoriesfast development and continuous informationsource,more1ncreaseofand daily abundance ofisandmorepeople Ininstal latlon the broad band this basedenvironment,onthe mainstream of ISP market development.network security dlsflgurement dlsclose IPincreasingly mainly1sthe orlglnalstructure.The whole network a11 the tlmeincreaseattackedand peeked 1lkeby hacker.with themoreof broad band users,the attack mode of users,especially ISP providedDDOS brings1candmorethreaten.Mostthe publservice1sthe preferred aim to be attacked.How to prevent thisensureattack whlch brings circulate the smoothlyinthe loslng to ISP,tothe network credlbllity,tovariousnetwork stablllzation andinsuretheoperations internetrunningthe company isthe urgent demandfor the staff ofmaIntenance.Thls article studies the attack and defense of lmplementationcaseDDOS,and the successfulof Shanghai Online. the current Sltuation of the DDOS andFirstly the artlcle descries development,then affectsummariesthe modes of the modern DDOS attack,great lossgivesbased the spread of DDOS attack.It general directionsonthe detal lsonmaincharacterlstICS and of technical detallsrouteronofthe DDOS attack,eachcharacterlsticinstrumentdefense and implement mechanism.It also gives theon8 models of DDOS attack and the recovery Instrument It bringsaflrewall, analysIS defense by detect and ofand UNIX mainframe to these 8 modelsasolution byal 1these models and bul lds up OnlInegreatmodel of current DDOS attacksomeShanghaiprotectsuccessful case.It setskinds of equipmenttoDDOS attack and find the hacker.Finally ltdescribes the latest waysDDOS attack and 1ts easy recovery instruments.Key words:Internet,DDOS,Attack,Defense第4页芡55页�QQ堕堕徇的鳖生友苤遮让丛厘旦至』宣引言自本世纪中nI起,由于信息技术,特别是计算机技术的飞速发展,引发了一场世界范围内 的信息革命与信息经济浪潮。特别在本世界90年代开始的网络的发展,更大的带动了整个社会的变革。从网路技术的发展跫程来看,根据技术创新生命周期理论,网络技术创新现在己经进入了成熟阶段,其应用范围日益扩展,对社会经济生活的影响越来越明显,甚至成为生产和生 活中不可缺少的组成要素。网络技术的发展为各国的经济增长与发展带来了巨大的机遇,网络的发展改变了整个社会传统的生活和发展模式。网络信息技术在经济发展中的作用表现在两个方面:一是Internet的急剧扩张直接导致新产业群的诞生。近年来,IT产业和IT服务业在西 方国家增长迅猛,成为西方国家经济增长的引擎,在我国和世界其他国家,IT产业和IT服务 业的发展也普遍看好,这一现象己引起了中外众多学者的关注和研究。二是网络技术渗透应用 到传统产业部门,促进了经济的全球化。改革开放以来,特别是90年代末和二十二世纪初,我 们的国民生产总值的增长每年保持稳定的数字,而其中IT业做出了巨大的贡献.要想致富,交通 先行,这样的比喻用在IT业最为合适要想IT发展,网络建设先行。随着现在网络发展的日夜 庞大,网络的不安定因素也逐渐浮出水面,黑客象一个梦魇,漂浮在所有网络用户的头顶,而这 个梦魇,在ISP中最为突出。 因此本文将研究重点放在了危害最大,影响最恶劣的DDoS攻击上。本文的第一章主要介绍了网络的发展现状及DDOS的初步情况,第二章主要介绍了DDOS的技术特点以及防御手段,第三章主要是介绍对于DDOS防御的整体策略以及相对其他单一防御措施的优点,第四章主要介绍笔者如何应用自己设计的策略应对针对上冉热线的DDOS攻击,第五章主要是对最新的DDOS攻击和防护进行的简单介绍。第5页共55页�QQQ§堕御的墼生直塞遮进丛厘坦箍二童Q!Q§的蕴星丛迅第一章DDOS的发展状况1.1网络的发展现状自50年代开始,人们及各种组织机构使用计算机来管理他们的信息的速度迅速增长。早期,限于技术条件使得当时的计算机都非常庞大和非常昂贵,任何机构都不可能为雇员个人提供使用整个计算机,主机一定是共享的,它破用来存储和组织数据、集中控制和管王单整个系 统。所有用户都有连接系统的终端设备,将数据库录入到主机中处珲,或者是将主机中的处理 结果,通过集中控制的输出设备取出来。通过专用的通信服务器,系统也可以构成一个集中式 的网络环境,使用单个主机可以为多个配有I/O设备的终端用户(包括远程用户)服务。这就 是早期的集中式计算机网络,一般也称为集中式计算机模式。它最典型的特征是:通过丰机系 统形成大部分的通信流程,构成系统的所有通信协议都是系统专有的,大型丰机在系统中占据 着绝对的支配作用,所有控制和管理功能都是由主机来完成。 1946年世界上第一台电了数字计算机ENIAC在美国诞生。50年代初,由于美国军方的需 要,美国半自动地面防空系统SAGE进行了计算机技术与通信技术相结合的尝试。它将远程雷达 与其它坝4量设施删到的信息通过总长度达至U241万公里的通信线路与一台IBM计算机连接,进 行集中的防空信息处理与控制。要实现这样的目的,首先要完成数据通信技术的摹础研究。在 这项研究的基础上,人们完全可以将地理位置分散的多个终端通信线路连到一台中心计算机 上。用户可以在自己的办公室内的终端键入程序,通过通信线路传送到中心计算机,分时访问 和使用其资源进行信息处理,处王lI!结果再通过通信线路回送到用户终端显示或打印。人们把这 种以单个为中心的联机系统称做面向终端的远程联机系统。它是计算机通信网络的一种。60年 代初美国航空公司建成的由一台计算机与分布在全美国的2000多个终端组成的航空订票系统 SABRE一1就是这种计算机通信网络。随着计算机应用的发展,出现了多台计算机互连的需求。 这种需求丰要来自军事、科学研究、地区与国家经济信息分析决策、大型企业经营件理。他们 希望将分布在不同地点的计算机通过通信线路百连成为计算机一计算机网络。网络用户可以通过 计算机使用本地计算机的软件、硬件与数据资源,也可以使用连网的其它地方计算机软件、硬 件与数据资源,以达到计算机资源共享的目的。这一阶段研究的典型代表是美国国防部高级研 究计划局(ARPA,AdvancedResearch ProJectsAgency)的ARPAnet(通南称为ARPA网)。1969年美国国防部高级研究计划局提出将多个大学、公司和研究所的7多台计算机瓦连的课题。1969 年ARPA网只有4个结点,1973午发展到40个结点,1983年已经达到100多个结点。ARPA网 通过有线、无线与卫星通信线路,使网络覆盖了从美国本土到欧洲与夏威夷的广阔地域。ARPR 网络研究成果对推动计算机网络发展的意义是深远的。在它的基础之上,七、八十年代计算机 网络发展十分迅速,出现了大量的计算机网络,仅美国国防部就资助建立了多个计算机网络。第6贞共55页�QQQ§随御的墼生直塞遘盐丛匡厦筮二童QQQ§的蕉屋丛逸同时还出现了一些研究试验性网络、公共服务网络、校园网,例如美国加利福尼亚大学劳伦斯 原了能研究的OCTOPUS网、法国信息与自动化研究所的CYCLADES网、国际气象监测网wwlvN、欧 洲隋报网EIN等。在这一阶段中,公用数据网PDN(Publlc(Local DataNetwork)与局部网络LNNetwork)技术发展迅速。70年代初,一些大学和研究所为实现实验室或校园内多台计算机共同完成科学计算和资源 共享的目的,开始了局部计算机网络的研究。1972年美国加州大学研制了Newhall环网:1976 年美国XEROX公司研究了总线拓朴的实验性Ethernet网;1974年英国剑桥大学研制了Cambridgering环网。这些都为80年代多种局部网产品的出现提供了理论研究与实现技术的基础,对局部网络技术的发展起到了十分重要的作用。与此同时,一些大的计算机公司纷纷开 展了计算机网络研究与产品开发工作,提出了各种网络体系结构与网络协议,如IBM公司的SNA(SystemNetworkArchitecture)、DEC公司的DNA(DlgltalComputer Architecture)。NetworkArchltecture)与UNIVAC公司的DCA(Dlstributed计算机网络发展加速体系结构与协议国际标准化的研究与应用。国际标准化组织ISO的计算 机与信息处理标准化技术委员会TC 97成立了一个分委员会SCl6,研究网络体系结构与网络协 议国际标准化问题。经过多年卓有成效的工作,ISO正式制订、颁布了“开放系统互连参考模 型”OSI跚(OpenSystemISO/OSIInterconnection ReferanceModel),即ISO/IEC 7498国际标准。RM己被国际社会所公认,成为研究和制订新一代计算机网络标准的基础。80年代,ISO与CCITT(国际电话电报咨询委员会)等组织为参考模型的各个层次制订了一系列的协议标 准,组成了一个庞大的OSI摹本协议集。我国也于1989年在《国家经济系统设计与应用标准化 规范》中明确规定选定OSI标准作为我国网络建设标准。ISO/OSI RM及标准协议的制定和完善 正在推动计算机网络朝着健康的方向发展。很多大的计算机厂商相继宣布支持OSI标准,并积 极研究和开发符合OSI标准的产品。各种符合OSI RM与协议标准的远程计算机网络、局部计算 机网络与城市地区计算机网络已开始广泛应用。随着研究的深入,OSI标准将日趋完善。八、 九十年代,局域网技术发生了突破性进展。在局域网领域中,采用Ethernet、TokenToken Bus、Ring原王I}!的局域网产品形成了三足鼎立之势,采用光纤传输介质的FDDI产品在高速与丰干环网应用方面起了重要陛的作用。90年代局域网技术在传输介质、局域网操作系统与客户 /N务器(cllent/Server)应用方面取得了重要的进展。由于数据通信技术的发展,在Ethernet 网中用非屏蔽双绞线实现了lOMbps的数据传输。在此摹础上形成了网络结构化布线技术,使 Ethernet网在办公自动化环境中得到更为广泛的应用。局域网操作系统NovellWindows NT Server、IBM LAN NetWare、Server使局域网应用进入到成熟的阶段。客户/且R务器应用使网络服务功能达到更高水平。Internet是覆盖全球的信息摹础设施之一,对于用户来说,它像是 一个庞大的远程计算机网络。用户可以利用Internet实现全球范围的电了邮件、电子传输、信 息查询、语音与图像通信服务功能。实际上Internet是一个用路由器(ROUTER)实现多个远程第7页芡55页�QQQ£堕煎的墼生左塞遮让丛厘旦箜二童QQQS的蕉星丛猩网和局域网瓦连的网际网,到1998年连入Internet的计算机数量已达4000万台之多。它将对 推动世界经济、社会、科学、文化的发展产生不可估量的作用。在互连网发展的同时,高速与 智能网的发展也引起人们越来越多的注意。高速网络技术发展表现在宽带综合业务数据网B― ISDN、帧中继、异步传输模式AT ̄I、高速局域网、交换局域网与虚拟网络上。随着网络规模的增 大与网络服务功能的增多,各国正在开展智能网络IN(Intelligent Network)的研究。 计算机网络技术的迅速发展和广泛应用必将对2l世纪的经济、教育、科技、文化的发展产 生重要影响。1.2DDOS的发展状况拒绝服务攻击的英文意思是DemalofServlce,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停 止提供正常的网络服务。 一般情况下,通过普通的网络连线,使用者传送信息要求服务器予以确定。服务器于是回 复用户。用户破确定后,就可登入服务器。而“拒绝服务”的攻击方式为:用户传送众多要求 确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地 址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟, 然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复 始,最终导致服务器无法动弹,瘫痪在地。 DDOS则是加强形式DOS攻击,采用了分布式对单个或者多个甘标进行攻击。这种攻击方式 是一个非常严峻的安全问题,因为它们可以非常容易地发起攻击,却很难破阻止,而且还很难 被追踪。按照CERT统计,拒绝服务攻击还以每年50%的速度增加,佃是,不幸的是,来对付拒 绝服务攻击的机制却没有以相同的速度发展。因为在]pv4协议上的缺陷,目前在这方面的大多数工作都还是尽量缓解攻击,这些办法可以产生一些效果,但是还不能消除问题,也不能阻止攻击者。以下是一个典型的分布式拒绝服务攻击网络结构图:第8页奘55贞�QQ竖堕御的鳖生友塞遮让丞廑旦筮二童Q!Q§曲筮羼丛猩AgerlAgertAgentAgentAgentAgentAgentAgent图1―1分布式拒绝服务攻击网络结构攻击者在Client(客户端)操纵攻击过程。每个Handler(主控端)是一台已被入侵并运 行了特定程序的系统主机。每个主控端主机能够控制多个Agent(代珲端)。每个代理端也是一台已破入侵并运行另和种特定程序的系统主机。每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包。 至今为止,攻击者最常使用的分布式拒绝服务攻击程序包括4种:Trlnoo、TFN、TFN2K和Stacheldraht。为了提高分布式拒绝服务攻击的成功率,攻击者需要控制成百上千的破入侵主机。这些 主机通带是Llnux和SUN机器,但这些攻击工具也能够移植到茛它平台上运行。这些攻击工具 入侵主机和安装程序的过程都是自动化的。这个过程可分为以下几个步骤:1、探侧扫描大量丰机以寻找可入侵主机目标。2、入侵有安全漏洞的主机并获取控制权。3、在每台入侵丰机中安装攻击程序。4、利用己入侵主机继续进行扫描和入侵。由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是 说,在短短的一小时内可以入侵数千台主机。第9贞共55页�QQ堕堕御盥整佳友苤遮过丛廑旦釜二重QQQS的筮星丛逸由于拒绝服务攻击的威胁非常大,而且可能让受害者花费很多资源才能得到缓解。最典型 的例了就是2000年4月,包括Yahoo等几大著名网站遭受到分布式拒绝服务攻击。“DOS攻击 能造成巨大的附加影响”,Kevln Houle和George Weaver在《拒绝服务技术发展趋势》报告 中写到。 经过这么多年的发展,DOS方式已经变得非常多样化,而且完全向分布式和自动化发展,能 够造成的破坏也越来越大。这已经得到安全界的重视,从防御到追踪,已经有了非常多的办法 和理论。比如在防御方面,使用SynCache、SynCookle,在追踪方面珲论方法多一些,比如Link Testing、ICMP Traceback、Bash―Based IPtraceback、Marking等。拒绝服务攻击(DemalOfService)主要分为:根据协议进行的拒绝服务攻击(ProtocolWeakAttack)、利用系统漏洞进行的拒绝服务(System (Bandwldth/Throu曲put Attack)等。Attack)以及带宽消耗攻击第’O页共55页�QQQ§随塑盥鳖住友塞途让盈廛旦筮三童QQ堕的蕉苤挂盛第二章DDOS的技术特点本章总结分析了DDOS的攻击上和防御技术上的各种特性。在攻击上,本章从攻击的 特点、数据包的结构等等地方作了一个小结。在防御上,本章也总结分析了从主机到网络设 备上的各种主流防御手段,并对主机上的防御手段的代码进行了简单说明。 通过对DDOS的技术上的总结和分析,为下面的具体方案的设计打下了一个摹础。 2.1DDOS攻击技术的讨论DOS的技术实际上是很简单容易的,而分布式攻击只要是将攻击多面化,其中加入了控制端和服务端,伯是就一条攻击来看,依然是最简单的DOS攻击。目前的DDOS攻击有下面 这些特点和趋势:江大分布型的高强度攻击这是一种强度的趋势。很多DDOS攻击者掌握着大量的agent机器(以及被攻破的 服务器,并且破安装了DDOS工具的agent部分),很多agent有高速的带宽和高档的 系统配置,比如最近对根服务器的拒绝服务攻击,就是从高速的韩国agent发起的。当 然,有组织性的攻击跟能集中这些力量。这些趋势能够让攻击者发起高强度的大分布攻 击,并不仅仅对目标服务器造成伤害,也能对网络的路由器等核心设备造成威胁。而对 网络设备的攻击将造成大范围的网速缓慢或者根本就不可使用。这也正是防御拒绝服务 攻击的一大挑战。薅产生随机源IP地址 产牛无规律的随机源IP地址现在已经成为DOS程序的基本要求。有一些工具则是一 种伪随机,因为它们产生的是有规律的源IP,比如连续性。因为分布的攻击再加上伪造 的随机IP地址,能够更好地保护攻击源不被追踪到。后面的部分,讨论了对源追踪的 问题。纛数据包结构位的随机性 将攻击数据包结构的内容随机化是现在很多DOS工具逃避检测和过滤的方法。这是 因为目前的很多检测方法过于呆板造成的。比如TFN的发展到现在的TFN3K,原始的 TFN中使用了一些固定值内容,而成为被检测的对象,TFN3K数据包中的结构基本上都 是随机形成的了。第11页共55页�QQQ§堕鱼笪墼住左塞遮盐丛壅旦矗协议缺陷与系统处理缺陷笠三童QQ堕的挂盔挂直协议缺陷是网络的内伤,比如源追踪问题也属于协议的缺陷。IETF形成了RFC文 档,虽然有很多人参与,但是时间可以证明当初的一些设计本身就是有问题的。所以, 也不可否认IPv6能够完美。Smurf是一个最明显的例子。一些系统在处理数据流的时候 也存在缺陷,从而成为被攻击的对象。比如包的重组等。有一些并不是属于缺陷,而只 是在处理大量数据包的时候能大量消耗CPU,在消耗网络资源的同时,也消耗系统本身 的资源也是目前DOS的趋势。将数据包分片,就能让目标重组的时候浪费资源。溢使用多种协议及多种形式混合形式的攻击能够更大地扩大攻击的效果,这也反映了目前在防御方面的单一 性,处殚多种攻击的时候就难以招架了。比如SYN 加强SYN攻击的强度。Flood+RST Flood+ACKFlood来在上面,我们讨论一些趋势,也提示了如何加强拒绝服务的强度问题,当然,最直 接简单的办法就是“机海战术”,虽然是一种办法,但显得很无奈(不是无赖)。这里 也讨论一些加强攻击的技术和方法,这些技术并不扩展到DDOS中的控制端和服务端 上。≯混合的攻击在攻击趋势中指出了混合攻击的观点。比如,对于通常的SYN Cookie防御SYN Flood攻击,这是很有效的办法。因为SYN Cookie不仅能够扩大TCB的最大数量限制, 而且也能更小存储地接收SYN请求。对于SYN Cookie,其CPU会丰要消耗在对SYN包的 Cookie计算,因为在接收到SYN包的时候,SYN Cookie将这个包加密牛成Cookie,SYN 攻击发起的时候,保存cookie的表就可能增大,当SYN Cookie接收到ACK包的时候, 会检查包中的acnowledgement number,祭看是否正确。对于RST包,会对应地删除 cookie队列,会进行相应查询。因此混合SYN 加强SYN攻击对主机资源的消耗。Flood+RST Flood+ACKFlood则可以>提高发包速率(攻击包预产生法) 提高发包速韦是有效加强攻击的手段。比如SYN攻击,数量的影响并不是非常重要 的,最重要的是SYN的速率以及有效SYN攻击包的数量。提高发包速卒有很多办法,这 里提出的是攻击包预产牛法。第12页其55页�QQ箜堕御鳆墼签友塞遮进区廛盈筮三童QQQS的挂盔签壶生成数据包的主要消耗是产牛随机量,计算SUM等。攻击包预产生是一种用空间换 时间的办法,即是在攻击发包前先计算大量的攻击数据包,这些数据包保存在一个链表 中,以TCP的40字节包为例,我们产生65535个攻击包,也仅仅多要2.5M的存储空 间。攻击发包的时候,直接从链表读取包内容。经过测试,这种办法至少可以提高20% 的发包速度。并且非常有利于接下来介绍的无特征技术。CreatePackILm.k Llst.ILoadPacketSend()图2―1攻击包预产牛≯无特征性 现在一些攻击的检测是从数据包量和特征出发的,因为一些工具把某些结构设置为 固定值,因而发出的包是有特征的,虽然有些的特征会同正常系统数据包相近。当然, 现在的工具则大量使用了随机数,来避免存在特征,可是,即便这样,依然有特征可 取,在后面的防御技术中,我们介绍如何抓取这种特征的办法。 这里提供的方法是在计算包结构的时候首先生成一种系统标识(SYSIdent),系统 标识指定常见操作系统使用的包特征,然后根据这些特征再使用随机量。最后形成和正 常系统基本近似的数据包。ipheader.id=SYSIdent.1d+random:]pheader.ttl=SYSldent.TTL+random(10).tcpheader.th_wln=SYSldent.wlndow,tcpheader.seq!-random(),//不要简单随机 tcpheader.sport!-rand(65535)://这个随机量要同系统常用的接近比如源端口,假设取rand(65535),即取仟意的65535以内数字。浏览器访问WEB 的时候,本地端口是摹本不会使用1024以下端口的,所以,通过21端口连接80,就是 不正常。Stream.c的随机即是tcp_syn一>th_sport=random0,本文的后面部分还有 相关的讨论。第13贞共55页�QQ箜堕塑的鳌住友塞遮过星廛旦2.2笠三童!!!!的撞盔挂直拒绝服务攻击的防御技术目前在DDOS的防御方面,大多数工作都还是尽量去缓解攻击。因为实际上,带竞消耗式的攻击从单一的受害方来说,基本是没有办法根除的。这里讨论一些拒绝服务攻击的防御 技术:●入口过滤(IngressFiltering)防火墙、路由器等边界设备的数据包过滤是现在对付拒绝服务攻击的主要办法。通 过对一些特征的分析,将攻击数据流在外围过滤掉,可以大大缓解主机的负担。 比如防御ICMP Flood,可以在边界上直接关闭ICMP包,因为通常ICMP并不是必要 的。有一些工具就是利用UNICODE漏洞进行PING攻击的,关闭ICMP对这种{乓击就很有 效。如果不是利用ICMP包进行的,比如TCP攻击,则可以通过过滤部分源IP地址来缓 解,如一些国内站点可以通过过滤非国内IP地址的访问。●随机丢包(Random Drop) 一些防御拒绝服务攻击的设备采取了随机丢包的方法来缓解攻击,当然,边界设备 本身就在流量较大的时候采取丢包来维持可能的功能正常。随机丢包是一种对特征获取 或者防御无奈的方法,要维持正常,只好随机地将数据包丢弃,尽量保证能提供服务, 当然丢弃的包并不一定就是攻击的数据包,而放行的也并不一定就是正常的包。●SynCookie和SynCache为了防范SYN FLOOD攻击,就是要减少为维持很大数量状态而分配的系统资源,或 者通过直到连接完成才分配资源的方法。SYN Cache和SYN Cookies就是要来达到这个 目的的。Cache的目的相当于行为监控,只分配很少的状态结构来纪录最初的连接请 求,而cookie目的就是编码那些能够完成TCP三次握于过程的正常的连接。SYNCache在主机上为连接分配一些资源,fu是可能在资源减少之前就资源耗尽了。它必须应付状态谥出的睛况,并且选择丢弃合适的状态保证保存顺畅。初始的SYN 请求包含一些连接选项,通常包含MSS,window值,用时间戳或者其他。分配状态资源 的一个目的就是来纪录这些选项,他们还没有从客户端发送ACK。SynCookie技术实现了对Synflood攻击的防范。在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn+Ack包,如果客户端在一段时间内没有应答或中间的网 络设备发回了ICMP错误消息,防火墙则丢弃此状态信息;如果客户端的Ack到达,防 火墙代替客户端向服务器发送Syn包,并完成后续的握手最终建立客户端到服务器的连第14页共55负�Q!Q§随徊的鳖笠直塞遮让丛廛旦筮三童!!Q§鲍壁盔挂直接。通过这种技术,保证了每个Syn包源的真实有效性,确保服务器不被虚假请求瘊费 资源,从而彻底防范了对服务器的Synflood攻击。 下图表示了Syn Cookle和普通连接的过程:第15页共55页�QQQS堕御酸墅签友塞送让星廛旦箍三童QQ堕的量盔挂直图2―2syn Cookie和普通连接的过程第16负芡55页�QQ竖堕御的鳖签友塞退让拯廑旦SYN筮三童QQQ!的遮盔挂壶Cookies不在主机上保存仟何状态,只保存所有初始TCP连接状态,用一个队列来存储。它使用编码函数将所有信息加密成一个值然后用SYN+ACK发送到客户端,并且将最后 的二次握于最后部分返回给服务器。当然还有一个缺陷就是不能将初始的SYN的所有选项加 密成cookie,第二个问题就是TCP协议要求对不应答的数据进行转发,假设服务器在放弃 或者丢弃连接之前转发SYN+ACK,就会发送一个RST给客户端去关闭这个连接。当SYN+ACK 到达客户端,但是返回的ACK丢失,这种结果就导致客户端和服务器端状态建立不平等。通 常,这种隋况被服务器转发处王!l!,但是在SYN Cookie中,主机中不保存仟何状态,这种转 发的机制是不存在的。SYNCookie是通过返回的ACK来完成整个连接的建立,不依赖于流程化的SYN,SYN+ACK传送。这可能造成ACK请求Flood攻击,这种攻击依赖使用正确的值来允许建立连 接。这也提供一个绕过防火墙的可能,因为防火墙依赖SYN来过滤外部连接,而现在建立连 接根本不依靠SYN包了。另一个SYN Cookie的困难就是同TCPV6的兼容上。T/TCP的运作依靠发送系列化的对等 递增的序列数,并且用先前接受的SYN SEQ值来建立连接完成三次握手过程。然而,一旦 TCP连接完成了,T/TCP的序列号的使用是强制性的,这要求服务器纪录下初始的序列号, 不论这个项是否需要。因此SYN Cookie不能应用于高性能要求的服务器。通常的方法是使用状态分配机制, 并且只在大量状态被分配的时候才启用SYN Cookie。这种机制在Linux核心中所采用。攀ACK圈!!!!!!辈Ctlon^高\ /Connectlo/11...........................。..一图2―3SYN Cookie在Llnux代码Kernel/drivers/char/random.c中有下面的代码。#define HASH_BUFFER―SIZE 4 #define HASH EXTRA SIZE 0 第17页共55页�QQ堕堕御盟墼签友塞遮进壁座旦筮三童QQQ§的挂盔挂盛+#lfdef CONFIG 斗}年SYN COOKIES+}Secure SYN cookie computation.This +}Dan Bernstein and Eric Schenk.+木isthe algorithm worked out by+}For 1inux I implement the 1 minute counter by +}The count+木 lSlooking atthe jiffies clock.passedinasaparameter:斗卑}+一u32 secure_tcp_syn―cookie(一u32+saddr,u32 daddr,sseq,u16 sport,u16dport,一u32u32count)+{+ +staticintis―lnlt=0,static―u32 一u32 一u32seq:secret[2][16]; tmp[16].+ +t’|聱+}Pick two random secret ≮fthe first timeweopenaTCP connection.’ +if(1S―init一0)f get_random_bytes(&secret[0],slzeof(secret[0])): get_random_bytes(&secret[1],slzeof(secret[1])).1S+ ++ +1nlt=1}+ +拇}Compute the }The% secure+sequencenumber.+ +outputshould be.sequenceMD5(secl,saddr,sport,daddr,dport,secl)+their}number+ + ¥+(count¥2‘24)+(MD5(sec2,saddr,sport,daddr,dport,count,sec2)%2“24).第18页共55页�QQQ§随御的墅住立塞遮让丛廛旦+筮三童QQ堕的量垄拄壶every mlnute¥Where count 卑fIncreasesbyI++ +memcpy(tmp,secret[0],slzeof(tmp)) tmp[8]=saddr, tmp[9]=daddr. tmp[10]=(sport<<16)+dport. HASH_TRANSFORM(tmp,tmp)。 seq=tmp[1],+ +++ +十+memcpy(tmp,secret[1],sizeof(tmp)):+tmp[8]=saddr。 +tmp[9]=daddr. +tmp[10]=(sport<(16)+dport: 十tmp[11]=count; Amlnutecounter聿/+HASH_TRANSFORM(tmp,tmp),+ +seq+-sseq+(count<<24)+(tmp[1]&OxOOffffff).+ ’“Zap lower 3 bitstoleaveroomfor the MSS representatlon卑{+return(seq&Oxfffff8):+)+#endlf校验Synu32cookie cookie, u32 saddr,count,check_tcp―syn_cookle(一u32u16u32 daddr, u32 maxdlff)u16 sport。dport,一u32 sseq,一u32fu32tmp[16+HASH_BUFFER―SIZE+HASH_EXTRA―SIZE]dlff,一u32if(syncookle―lnit==0)return(一u32)一1,A Well,duh!}/第19贞共55页�QQQS堕型的墼佳友塞丝让厘瘗旦笠三童!Q堕的挂盔挂壶{≈Stripaway thelayersfrom the cookie年|memcpy(tmp+3,syncookle―secret[0],slzeof(syncookle secret[0])): tmp[03=saddr. tmp[1]=daddr, tmp[2]=(sport<<16)+dport: HASH―TRANSFORM(tmp+16,tmp), cookie一=tmp[17]+sseq./}Cookieis nowreducedto(count}2‘24)‘(hash%2424)*/2262dlff=(count一(cookie>>COOKIEBITS))&((――u32)一1>>COOKIEBITS)1f(dlff>=maxdlff)return(u32)一1。memcpy(tmp+3,syncookle―secret[1],sizeof(syncookie_secret[1])) tmp[O]=saddr; tmp[1]=daddr; tmp[2]=(sport<<16)+dport. tmp[3]=count―dlff;Amlnutecounter}/HASH_TRANSFORM(tmp+16,tmp):return(cookie―tmp[17])&COOKIEMASK,ALeaving the data beMnd}/?被动消极忽略 根据TCP协议,在客户端发起SYN连接请求后,如果服务器没有SYN+ACK的相应, 系统通常会在一瑞时间后(通常是6秒)再次发出迕接请求。 鉴于在高强度的DDOS攻击瞒况下,可以采用消极的普垃忽略方法,忽略所有的第一 次SYN请求,等待第二次SYN请求的到来,如果有第二次数据包出现,则可认为为有效 包。因为多数的SYN FLOOD攻击发送数据包是一次胜的,这种办法在高强度的DDOS攻 击下能够起到一定的缓解作用。●主动发送RST第20页萸55页�Q!Q§堕御的墼住左塞遮生区厘旦筮三重QQ堕的焦盔鉴直这也是一种防御SYN攻击的办法,因为SYN攻击的危害是因为很多不正常的SYN请求占据了TCB表,从而让新的连接无法得到回应。当服务器接受到RST包的时候,就会将TCB中的相应纪录释放。发送RST的方法就是利用了这种特点,通过第三方主动发送 RST包,让服务器的缓冲区尽快释放。但是,这种办法也没有去将攻击请求包和正常的 请求区别对待。?其他方法?因为攻击通常是自动进行的,攻击者则只是发送一些命令,而不用一直更改执行的 命令。因此,可以通过IP地址变更或者DNS更改来转移原本的设置,而攻击则仍然朝 旧地址在进行。但是,这种办法需要拥有多个IP地址。很多被DOS攻击的服务器可能 将DN8设置为127 0.0.1也就是这个原因,这种设置可以让那些发包器向自己本身发 包,也同时导致DNS解析无法正常使用。当然,很多工具也会过滤这些IP地址,因为 目标根本不可能是127.0.0.1●路由器上的防御设置 Access―ltst访问控制列表access―ltst 101 deny ip 192.168 0.0 0.0.255.255 anyRate―llmlt流量限制(bps)rate―llmlt output 512000 drop 56000 64000 conform―action transmit exceed―action假设正常速卒为512000 bps,正常突发速率为56000bps,异常突发速率为64000bps, 流量速率超过572000bps(512000+56000)之后仍增长,在568001到576000之间的流量将 可能被抛弃,超过576000的流量将破CAR丢弃。watch模式下,路由器允许SYN直接达到服务器。如果该会话在30秒(默认)内没有建 立,就向服务器发送RST清除该连接。Intercept模式下,TCP连接请求达到目标丰机之前,路由器拦截所有TCP请求,并代 表服务器建立客户机的连接,并代表客户机建立与服务器的连接,当两个连接都成功实现, 路由器就将两个连接进行透明的合并。第21页鼓55页�QQ堕堕塑曲鳌生直塞逯让拯廑星筮三童QQQ§的撞盔挂壶开启该功能:lptcpintercept hstaccess―hst―numberIptcp Interceptmax―incomplete high number l 100在路由器开始删除连接之前能够存在的half―open连接的最大数目ip tcp intercept max―incomplete low number 900在路由器停止删除balp―open连接之前能够存在的最小halp―open连接数日lp tcp intercept one-minutehigh number 1100在路由器开始删除连接之前,每分钟能够存在的最大halp―open连接数目lp tcp intercept one-mlnutelow number 900在路由器停止删除连接之前,每分钟能够存在的最小halp―open连接数目实例:lp tcp intercept1ist 101 max―incomplete hlgh 3000 max―incomplete 10w 2500iplp lptcp intercept tcp intercept tcpintercept one-minute high 2000 low 1500ip tcp intercept one―mnute 1 interface ethernetOlp address198.50.1.120 255.255.255.01 interface serlalOlpaddress 171.1001.1 255.255.255 0lpaccess―l ISt101 permit tcp any198.50 1.0 0.0.01282.3基于统计分析的指纹识别方法从上面可以看出,拒绝服务攻击并不能象修补漏侗那样根除,很多方法都是建立在数据过滤基础上的,比如入口过滤、随机丢包等。过滤数据包的主要技术是找到攻击数据流的第22贞芡55贞�堕坠堕御鳆鏊{垄左塞邀盐丛应届釜三重!!Q§曲撞苤签点特征,比如:某种协议、某个端口或者某段IP。同时,现在的特征多数只基于协议、端 口、IP等,而不能从数据包的结构提供更多的选择。比如,我们要过滤某个SEO值的所有 数据包。fu是简单的端口或者IP根本不能满足对数据包特征的描述,这也让过滤数据包的 能力大打折扣。 传统的数据包特征分析存在以下缺陷: l、局限于对某种特定攻击或者工具; 有些攻击工具中存在一些固定的特征,比如固定的字符串等,或者固定的攻击方 式,比如Land攻击。2、太依赖于攻击程序中的固定值;很多攻击工具其数据包的结构中有一些固定值,比如window值,甚至SEQ值。通过 这些固定值,IDS等来检测攻击类型。3、对于随机数则无法特征化;现在工具很多都采用随机数来构成攻击数据包,现在的办法对这些攻击就无法特征 化。4、无法普遍标识攻击流;现在的方法也没有办法智能地判断攻击流,这就让防御时的过滤显得过于困难。因此,本文需要提出一种能够旁’展目前过滤能力的方法。这种方法要求能够最大限度地 普遍标记攻击数据流。本文提出了基于统计分析的指纹识别方法。首先需要提出下面的假设,以便能够简化我们的实验1、攻击发起的数据包与统计没有关系 因为本文的方法将摹于大量的统计数据,因此,如果攻击者的数据包发送能够同我 们的统计数据大量地匹配,那么,我们就没有办法尽量让攻击数据流同正常数据区别 开。fu是,因为攻击者通常是无法接触这些统计,多数的攻击仅仅是攻击方的单方面意 图,他们摹本不考虑目标到底能够怎么样,因为最简单的拒绝服务攻击就是带竟消耗。2、攻击发起的包程序化 这个假设是限制攻击不会根据防御方的统计过滤而不断改变茛数据包的结构,因为 如果这种改变一直进行下去,那么,攻击者可能猜测到过滤的规律,并且也让数据包跟 接近统计数据。3、攻击者发送足够多的数据包第23页共55页�QQ堕堕塑盟鳖住直塞遮过丛廑旦筮三童QQQ!的蓬苤挂盛该假设能够让我们的方法获得足够的统计信息,从而得到攻击特征。通常的拒绝服 务攻击在很短时间内就可以发送上万数据包,这有利于进行统计分析。4、攻击没有造成网络通上的瘫痪如果攻击造成网络设备的堵塞或者让网络设备当机,那么我们就不能在末端获得数 据。这种瘫痪并不只局限于需要保护网络边界。如果边界设备瘫痪,本文的技术也能够提供 给更外层的设备。根据我们的分析以及大量的统计,本文提出了基于统计分析的指纹识别方法,用这种办 法来实现对普遍攻击流的特征标识。具体实现是对正常的数据流量进行长时间的统计,并且 根据一些结构位或者多个结构位hash,与时间间隔,得出正常数据报的特征,我们称这种 特征为取样特征f(x),这些特征以数据包数量问关系的分布,我们从此获得这些特征的分 布曲线。我们把这个特征称为稳定特征。假设攻击发起,在一段时间内,由于数据流量突 变,我们再次进行的数据统计可以得到一个新的数据流量特征,通过将攻击时的数据特征和 正常的数据特征进行对比,可以获得特征曲线上的突变,这个突变的对应着一种数据特征,并且这个数据特征能够充分表明攻击的数据报。本文把这些突变的数据特征的数据量称为突 变数据,它们的特征称为突变特征。当然,突变数据也可能会包含有正常的数据。N(数据包量,总取样特征hash=图2―4攻击前后统计分析示意我们可以将这些突变特征传递给数据包过滤设备,并将具有突变特征的数据过滤,或者尽量 过滤,来尽可能地保证最大化的正常访问,减少攻击的损失。也就是说该方法包含两个方面:l、建立在统计数据上的选择性丢包 2、攻击包的指纹标记第24页共55页�QQ!S堕御鲍鳖生直苤遮盐区应垣笠三重!QQ§的量盔挂壶并不是所有的突变特征都适合标识攻击流,所以,本文提出了假设~和假设二。因为 可能出现碰巧这种情况,比如攻击曲线同正常曲线过多重合,那么过德将导致更多的正常数 据受到影响。因为精明的攻击者会尽量让攻击数据包跟象正常数据。本文把这种隋况称为特 征曲线重合情况,即无法获得突变特征。这也同hash的取得有关系,也许换用另外的hash 函数可以得到突变特征。简单实例,以TTL值的分析为例:系统默认的TTL值为255、128、64、32。通常的路由Hop为lO一20,正常的TTL范围:235’245、108’1 18、44’54、12’22:以TFN3K的TTL算弦: ih一>ttl=getrandom(200,255) TTL的范围为:(MA]()180’245;(MIN)190’235那么通过TTL值即可过虑最大84.6%的攻击包该方法存在的难度和缺陷: 每统计分布分析花销问题 因为要对所有的入口数据进行分析,并存储统计,这存在计算量和分析量问题,可 能造成花销过大。 铮只能尽可能地弱化攻击 该方法只是提供一种对攻击数据流的特征化方法, 并不解决实际的拒绝服务攻击问 题。即便是取得了很好的突变特征,也只能弱化攻击。 因为并不一定所有的攻击数据都 能被突变特征标识。 移将影响一部分正常数据包 一些正带的数据包也可能正好在突变特征范围内, 那么就可能受到过滤或者茛他防 御操作的影响。移不可特征化问题假设一和假设二是简化我们的万层,实际中可能遇到不可特征化问题。因为攻击者 也会努力把数据包结构变得跟通常的睛况相似来隐藏自己。 移过滤操作问题第25页共55页�QQ堕堕塑丝整生左塞遮进丛廑旦星三重!!Q§丝焦苤挂盛该方法只是提供一种对攻击数据流的特征化方法,并不是实际的过滤方法,而过滤 还需要其他的设备支持。但是,现在的设备还不支持更多数据包结构位的过滤。目前只是一些基础性的分析,其他部分的研究还没有完成,以后的工作包括: 甄SEQ序号等分布分析 獭Hash函数研究,Hash=f(SEQ,TTL,Ident,Checksum) 鎏与Pushback技术的融合 并将发布对基于统计分析的指纹识别方法的专门文档。2.4欺骗IP攻击的追踪实际配置中的关键是对网络中的路由器作出修改,以便让这个机制能有效地实施,可以 是新增配置,也可以是同现有的基础结构的向后兼容。本文描述一种追踪规则,只需要一点 或者不需要路由器的临界向前路径,可以增加配置允许在子网路由器内追踪,来支持我们的 设计。更进一步,我们要论证我们能通过这种方法得到重要的路径信息,并且不影响现有路 由器、主机系统和通常的流量。在1985年的论文中,MorrlS指出:“The Protoc01]lSthere isnoweakness fillsillinthis IPscheme[thesource aInternet id,andthatthesourcehostitselfthehostprovision in TCP/IP to discoverthe true origin ofpacket.”穆入口过滤(Ingress filtering)一种对付匿名攻击的方法就是消除伪造源地址的能力。这种方法,通常就是入口过德(ingressflltering),通过配置路由器去阻止不合理的源地址数据包通过。这要求路由器有足够能力土检查每个包的源地址,并且能够有足够的能力去区别正常的和不正常的地址。 因此,入口过滤在ISP的边缘或者客户网络中更加有作用,这里处理数据包更加明确,并且 流量负载相对低些。 如果包是从多个ISP汇合进入,这就不能有足够的信息去明确决定是否数据包拥有“合 法的”源地址。而且,以高速连接来说,对于许多路由器架构,入口过魔的消耗变得太不实 际了。 入口过滤的毛要问题还是因为它的效能依赖于大范围或者全体的配置。不幸的是,主要 的ISP,也许是绝大多数不提供这样的服务,也许他们发有被通知或者被阻碍,因为:管理 负担、潜在的路由花费以及本身就是源地址欺骗的服务(比如:某些版本的移动IP,某些第26页共55页�QQQ§堕御的鳌盐友塞遮让区廛旦笠三重QQQ§笪篮苤挂盛混合的卫星通讯体系)因素。第二个问题就是,即便入口过滤机制在客户-ISP之间普遍运 用,攻击者仍然能够伪造客户网络中的成百上千的IP地址。很明显,入口过滤可能会戏剧性地发展网络的暴力拒绝服务攻击。同时,可以假设一个 系统从来没有被欺骗过,因此,追踪(traceback)技术就显得很重要了。@链级测试(Link Testing)多数的追踪技术都是从最接近victim的路由器开始,然后开始检查上流数据链,直到 找到攻击流量发起源。理想情况下,这种过程可以递归执行直到找到攻击源头。这种技术假 设攻击一直保持活动直到完成追踪,因此很难在攻击结束后、间歇眭攻击或对追踪进行攻击 调整等情况进行追踪。l、Input debugging很多路由器都提供Input debugging特性,这能让管理员在一些出口端过魔特定的数据 包,而且能决定可以达到那些入口。这种特性就破用来作traceback:首先,victim在确定 被攻击时,要从所有的数据包中描述出攻击包标志。通过这些标志,管理员在上流的出口端 配置合适的Input debugging。这个过滤会体现出相关的input端口,这个过滤过程可以一 直朝上流进行,直到能够到达最初的源头。当然这种工作很多依靠手工,一些国外的ISP联 合开发的工具能够在它们的网络中进行自动的追踪。但是这种办法最大的问题就是管理花费。联系多个ISP并同他们合作需要时间。因此这种办法需要大量的时间,而且几乎不可能完成。 具体实例参考《追踪伪造的IP地址》(by refdom,2002-11)。2、Controlled floodingBurch和Cheswlck提出的方法。这种方法实际上就是制造flood攻击,通过观察路由 器的状态来判断攻击路径。首先应该有一张上游的路径图,当受到攻击的时候,可以从 vlctlm的上级路由器开始依照路径图对上游的路由器进行控制的flood,因为这些数据包同 攻击者发起的数据包同时共享了路由器,因此增加了路由器丢包的可能胜。通过这种借路径 图不断向上进行,就能够接近攻击发起的源头。 这种想法很有独创性而且也很实际,但是有几个缺点和限制。最大的缺点就是这种办法 本身就是一种DOS攻击,会对一些信仔路径也进行DOS,这个缺点也很难用程序实施。而 且,Controlled flooding要求有一个几乎覆盖整个网络的拓扑图。Burch和Cheswlck也 指出,这种办法很难用于DDOS攻击的追踪。这种方法也只能对正在进行攻击的情况有效。第27页共55页�QQ!!堕塑的鳖{奎左塞亟进区匡旦筮三重!!!!曲筮查挂壶3、Logging这种方法通过在丰路由器上记录包,然后通过数据采集技术来决定这些数据包的穿越路 径。虽然这种办法可以用于对攻击后的数据进行追踪,它也有很明显的缺点,比如可能要求 大量的资源(或者取样),并且对付大量数据的综合问题。4,ICI{P追踪 这种方法主要依靠路由器自身产生的ICMP跟踪消息。每个路由器都有很低的概卒(比 如:1/200000),数据包可能会把内容复制到一个ICMP消息包中,并且包含了到临近源地 址的路由器信息。当flood攻击开始的时候,victim就可以利用这些ICMP消息来重新构造 攻击者的路径。这种方式同上面介绍的比较,有很多优点,但是也有一些缺点。比如:ICMP 可能被从普通流量中过滤掉,著且,ICMP追踪消息还要同input debugging特性(将数据 包同数据包input端口和/或者要到达的MAC地址关联的能力)相关,但是,可能一些路由 器就没有这样的功能。同时,这种办法还必须有一种办法来处理攻击者可能发送的伪造ICMPTraceback消息,路由器处理的流量不一样,造成了贫穷路由器可能几乎很少发出追踪包,但是富裕路由器可能发送较多的追踪包。虽然,DOS攻击的路径有包大量增加,侄j是 并不能肯定路径中贫穷路由器增加后的流量就可能大于那些正常的富裕路由器流量。。也就 是说,本文可以把这种方式同其他办法一起使用来让跟踪机制更有效。请参考更多IETF1Trace Work Group5、数据包标记追踪 Burch和Cheswlck提及了通过标志数据包来追踪flood攻击的可能性,这即是统计的 也可以是明确的,可以用来找到它们经过的路由器。这种办法以前没有深入研究过,但是它 有很多潜在的优点。首先,它不需要同ISP进行合作因此可以避免input debugging的消 费;它也不象controlled flooding那样需要额外的大网络流量,并且可以用来追踪多攻击 源;而且,跟logging一样,也可以在攻击结束后进行追踪。最后,我们也发现标志机制不 需要网络路由器的消耗。摹本假设1、攻击者可以构造仟意数据包 2、多点攻击是相关联的第28页共55页�QQQ!堕麴的鳖堡友塞遮盐丛座旦3、攻击者可以会注意到他们正在破追踪 4、数据包可能被丢失或者破重新排序 5、攻击者发送无数的数据包 6、在攻击者和受害者之间的路由器是稳定的 7、路由器的CPU和内存是有限的 8、路由器没有被入侵筮三童!QQS的筮盔挂壶前四个假设是对现在攻击者的能力的网络限制的保守假设。在Internet环境设计一种 追踪系统是一种极度挑战,因为这里实际上只有很少的东西值得信任。特别指出的是,攻击 者创造数据包的能力将会极大地限制可能的方案。当路由器接收数据包的时候,它没有办法 去判断是否这个包被上游路由器标志过的或者是否破攻击者伪造了这些信息的。实际上,只 有这一点不会改变,那就是攻击者发起的数据包一定会经过源到victim的所有路由器。其他的假设,反映本文设计的基础和应该另外讨论的内容。首先(假设5),拒绝服务攻 击只有在它们占用了victim资源的时候才有效,因此,多数攻击都由上百万或者千万的数 据包构成。本文的方法也是建立在这些性能上的,因为我们只有很少的路径状态片来标志每 一个数据包,Victm通过观察这些数据包来重构攻击的完整路径。如果,攻击是那种大量 攻击机只发送单个数据包到Vlctim,比如Ping―of―death,那么本文的假设就无从谈起了。 第二,测量明显表明整个网络路由器在变化,对于数据包在traceback操作中沿着许多 不同路径花费很短的时间片段是极度稀有的。这个假设大大简化了整个过程,因此可以认为 每个攻击者都只有一条主路径。如果网络已经发展成为允许多路由了,那么这个假设也就失 效了。 第三、在路由器的执行技术、连接速度方面都有很多值得考虑的改进。因此,本文断 言,任何可行的执行方案都必须考虑这些因素,每个包处翌}!都有消耗,而且不能让执行方案 造成泛洪。 最后、由于危险的路由器可能完全消除所有的上游路由提供的信息,可能就造成完全不 能区别攻击者。在这种环境下,有安全危险的路由器必须在进行Traceback之前被首先处 王!}!。在普通环境下,我们相信这种假设是可以被接收的。 整个方案中,路由都显得非常重要。基本标记算法附加节点第29页共55页�Q!竖堕御的整住友塞遮盐丛座旦笙三童QQQS的挂盔挂壶最简单的标记算麽――类似IP路由记录选项,就是把每一个节点地址附加在数据包的末尾,表明这是从哪里传入的。因此,每一个被目标接收的数据包都就是包含经过的路由器 完整次序。 这种算法能够很快集合起来,然后这里也有一系列的限制。首先,对于高速路由器来说 将增加负担。再次,数据包的长度还不能推理得出,不可能确定包中的路由列表是无用的数 据。这可能导致不必要的分片,或者因为MTU而破坏。这个问题被通过保留足够的空间来解 决,因为攻击者完全可以自己填充这个空间,或者来误导路径信息。节点取样 要减少路由的负担以及每个数据包的空间要求,可以通过在路径中的一个节点取样,让 一个样本来代替整个路径。单个的静态节点可以保存在包头部中,对于IPv4,可以有足够 的空间来容纳路由器的地址了。当接收到一个数据包,每个路由器就以概率P,选择性地将 地址写到节点地址区间内。当足够的数据包被发送后,victim可以至少接收攻击路径上的 每个路由器的一个样本。按照我们的假设,这些取样能够聚合起来构成攻击路径。虽然可能看起来不可能,因为只是通过一些无序节点取样的集合来构成有序的路径,但 是,如果通过足够的测试,就可以通过每个节点的相关数推翌l!得到次序。由于路由器被成序 列地安排在一起,而且数据包被每个路由器标记的概率有一个概率基数,那么距离vlctlm 越近的路由器标记的概牢就会越小。如果我们每个路由器的概率基数是P那么,经过d次路 由标记的概率就是P(1-p)d-I。因此,通过该函数,就能够推理得到攻击路径。按照上面的方法,难点就在改变IP头,并添加32 bits的节点区间,也就是需要计算 checksum。而这是很容易实现的,当前的高速路由器已经能够提供功能在每一跳中来更新 TTL值。而且如果p>O.5,那么该算法完全能够对付单个攻击者,因为攻击者没有办法插入 一个假的路由信息。然而,这种算法有两大局限。第一,从有用的的取样中推蝉得出整个路由是一个相当慢 的过程,而且需要接收非常多的节点样本。比如:如果d=15,p=O 51,那么接收方至少需 要接收到42000个数据包才能在更远的路由器上接收到一个样本,要确保正确事在95%DA 上,那么,还需要是这个数字的7倍。第二,这个技术完全不适合多个攻击者的情况。节点取样算法:第30贝共55页�艘Q§堕塑曲墼签友塞丝让区廛旦在路由器R上标志过程: 对于每一个数据包w,取[0,1]的随机数x, 如果x<p那么就把R写到w的节点区间。笠三重!!Q§的焦莶挂亟在Victim(v)上的路径重建过程: 定义一个阵列NodeTbl(Node,Count),对于每一个攻击数据包w,在NodeTbl中查询 W.node结果为Z;1f z!=NULL{z.count++}else{Insert(w.node,1)into NodeTbl) Sort(NodeTbl)byextract countpath(R1….,Rj)边缘取样 要解决节点取样的一些问题,最好的办法就是不光标记单独的节点,而是在数据包中保留两个地址空间,用来标记路由开始点(start)和终止点(end),并且用~个区间来表示距离(distance),用它来表示一个样本到victim的距离。当一个路由器决定标记数据包的时 候,它把自己的地址填充到start,把distance域填0。如果distance域已经是0了,就 表示这个数据包已经被前一个路由器标记过。在这种情况下,路由器就把自己的地址填入 end域。这样,就表示了该路由器和前一个路由器的关系。最后,如果路由器不标记数据 包,那么就始终在distance域中加1。这种强制增量的办法可以最小化攻击欺骗。当一个数据包到达的时候,distance域就 表示取样节点的距离。任何攻击数据包,必定有一个距离大于或者等于真实的攻击路径长 度。因此,单个攻击者就不能伪造一个边缘样本(对于分布式攻击,这对于最近的攻击源有 效)。由于不用担心伪造的样本,因此,就可以仟意决定一个取样概丰值P了。Victim可以通过这些边缘样本来重新绘制攻击源路径了。边缘取样算法: 在路由器R上的产生标志过程:For each packetw第31贞共55贞�!!QS堕塑的墼生友塞退盐区厘旦let if bea筮三童!QQ§的挂盔挂直from[0。1]Xrandom numberx(p thenwriteR into w.start and 0 into W.dlstanceelse if W.distance=0 thenwrlteR into W.endincrement W dlstanceVlctim上的路径重建过程:Let G be let edgesatree W1th rootInVG beWtuples(start,end,distance)from attackerfor each packetif W.dlstance=O then insert else insertremoveedge(W.start,v,0)intoGedge(W.start,W.end,W.distance)into edge(x,Y,d)withd!=distance fromxGtov inanyG Gextractpath(R1….Rj)byenumeratingacyclie pathsIn关于数据包的标记以及高级的算法请参阅更多文档(《包标记追踪技术》ByRefdom)。6、Pushback与Centerback Pushback是一种防御DDOS攻击的机制。DDOS造成拥塞控制问题,fu是因为这种拥 塞是由于恶意丰机造成,而不是传统的终端对终端的拥塞,所以,这个问题只能由路由 器来解决。对每个路由器加入检测攻击和优先丢包功能。为了将路由器的资源都破用于 合理的数据流,上游路由器也需要破通知丢弃这一类的包。而这类包需要路由器能够准 确地进行特征描述。 Pushback与CenterBack都是基于路由器的丰动防御措施,目前处于研究阶段,因 为这些方法的实施,需要网络大范围的路由器功能支持,因为某段路由的功能不支持, 就导致防御失败,现在看来,这还不是太现实。 关于Pushback与Centerback的详细请参阅茛他文档。第32页共55页�!!!!随鱼的墼笠直塞遮i土丛座旦2.5篁三童!!堕的堇苤生盛反向散射分析(分布被动取样监控)大多数分布式拒绝服务攻击工具都伪造源TP地址,并且发送的每个数据包都是随机产生的IP地址,基本上著名的那砦拒绝服务工具都是这样的:Sha±’t,TFN,TFN2K,trinoo, mstream,Trin]ty等。当Victim接收到欺骗的攻击包(比如SYN)时候,就会同应这些攻击 包(比如SYN+ACK)。有时候,一些网络设备(比如路由器、防火墙)也会向这些随机的欺骗 性源地址发送ICMP恒I应。这里就产生了反向散射的效应,见下图:①址。%r 矽自 爹因多图2―5:Attacker发送系列的随机地址A、B、c,接收到后Victim回应这些TP地假设攻击发起的源地址是完全随机产生的(基本上拒绝服务攻击都是这样的),也没有 任何选择性。这些源地址就可以覆盖所有的IP地址范围,如果攻击者发送了m个攻击包, 那么整个网络上的主机接收到Victim的回应包概率就是m/2” 所以,如果监视n个单独的IP,那么监视到攻击的期望值就是:E(X)=rim/2“这只是一个期望值的公式,当然对于实际的采样统计,还应该有一个L的系数作适当 修正,以便适合所需要范同的监控,比如随机产生的lP地址不会是2”这个理论IP地址数 目,而且还有一些其他的修正,LP,女H,临控的范围人小等。女¨果能够在’个足够人的TP范围内做监摔,那么就能够有效地对这些DOS攻击作采 样。然后iJ‘以对收集到采样数据进行统计分析,可以找出最近的受害目标分布,以及攻击强 度的分布。但是该监视是通过被动进行,而小能检测攻击源的分布。�QQQS随徇曲墼佳直塞遮让星廛旦笠三童!!Q§堕御丝墼生左塞篮让第三章DDOS防御的整体方案设计本章提出了针对DDOS攻击的整体防御的方案。在上文总结了各种DDOS的攻击和防御 技术之后,本章以确认攻击、防御措施,跟踪反制这三个部分为丰体,提出了一个避免了上 文所总结的主流防御技术的一些弱点,加强了防御攻击的有效眭。而且通过追溯攻击源头, 震慑攻击者以保障破攻击者的最大利益。3.1方案设计的背景和目标由于ISP提供面对公众的网络服务,其掌控着大量的网络和服务器资源,如果墨客有 机会攻破某个机房,掌握了某台服务器的控制权,将给茛带来巨大的带宽和计算资源,使其 有机会实施更大的黑客攻击计划,因此ISP机房一向是黑客攻击的重点。 当黑客攻击失败,就会有部分人怀着泄愤或者其他的目的,对机房的机器发动DDOS 攻击,使机房暂时停止对外的服务,对ISP造成巨大经济或名誉的损失。 因此保护ISP的机房不受DDOS攻击的伤害或者将损失减小到最低限度,并且利用 ISP的优势资源,追踪到黑客,对其行使法律制裁,从而磊慑其他黑客就成为本文这个防御 方案的最终目标。3.2整体方案设计本人分析了上文所述的DD0s防御的各种技术手段的优缺点,提出了自己的DDoS防御 的整体方案。如图3―1:图3-1DDOS整体防御结构据本文综合研究,上文所述的各种DDos防御于段各有缺陷,例如:第34页共55贞�QQQ§堕堂的整堡虚苤遮盐丛廛用入口过滤的缺点:笠三童!!Q§堕御的墼签友塞遮让1、需要进行特征分析,而一些攻击(正如前面介绍的)可能会很难获得有效的特征; 2、需要在攻击的时候及时进行攻击分析,这并不是每个人都具备的能力,也许等安全专家 达到的时候,攻击已经停止了。 3、必须自己能够控制或者能让人控制边界设备; 4、边界设备破攻击的情况是没有办法过滤的,现在很多攻击就是朝着路由器去的。当然, 这本身就是一个很难解决的问题。 被动消极忽略的缺点: 1、第一次连接都将被忽略,正常连接就需要花费更多时间; 2、只能针对那些仅仅发一次包的攻击,这局限很大; 而Pushback与CenterBack这两种技术目前还处于研究阶段,无法正式实施。 因此本方案从攻击的确认、防御措施、跟踪反制三个方面,给出了一个完整的防御体 系,而不是仅仅从几个防御理论出发给出几条措施,本方案既有防御技术,也有日常管理方 面的建议,更有在被攻击后的追踪反制,基本上在各个方面增强了被攻击者的安全级别,不 论是防御DDOS攻击还是采用部分增加单位的网络安全,都会有所帮助。3.2.1DDOS攻击的判定要准确快速的判断是否遭到攻击,就必须定期检查网络、业务的响应时间和服务质 量,建立合珲的标准。如果网络,业务响应时间异常下降,或生产网段流量异常上升。则可 从网络设备,服务器方面着进一步确定。可根据不同攻击的技术特征进行进一步确定。 一般有如下几种方法: 1.在服务器主机上执行以下检查命令#>netstat―an是否“SYN”或”FIN―WAIT”标志位的TCP连接异常多,多于已经建立连接的TCP连 接,而且大量异常连接的原地址不存在,ping不通。 2.在第四层(TCP)功能的网络设备上检查 用检查TCP连接数的命令检查TCP连接是否数量异常,而且很多连接的原地址不存在, ping不通。 3.用协议分析仪分析,是否有占大部分流量的源地址并不存在,并且有大量的”SYN”标 志位的TCP包 4.查看IDS入侵检测系统告警,是否入侵检测系统有大量的类似SYN Flood的告警信息第35贞共55贞�QQQ;堕堡的整生左塞遮进毽厘垣笠三童!Q!S堕御的墼佳友塞遮让3.2.2针对DDOS攻击的防御措施3.2.2.1日常防御措旌 在日常工作中,需要有一套具有可操作性的规范对防止攻击,本文总结了以下一些 方面预防黑客攻击: 1.用足够的机器承受黑客攻击。这是一种较为弹想的应对策略。如果我们拥有足够 的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的 能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿,即日常就加大设备 投入: 2.充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡 设备,它们可将网络有效地保护起来。当被攻击时最先死掉的是路由器,佃茛他机 器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损 失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过 程,所以需要强化路由器这道屏障。 3.使用Inexpress,Express Forwarding过滤不必要的服务和端口,即在路由器上 过滤假IP。比如Cisco公司的CEF(ClscoSource ExpressForwarding)可以针对封包IP和Routlng Table做比较,并加以过滤。Reverse Path4.使用UnlcastForwardxng检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客 攻击常采用假IP地址方式迷惑用户,很难查出它来自何处,因此,利用UnlcastReverse PathForwarding可减少假IP地址的出现,有助于提高网络安全性。5.过滤所有RFCl918 IP地址。RFCl918 IP地址是内部网的IP地址,像10.0.0.0、192.1680.0和172.16.0.0,它们不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,应该把它们过德掉。 6.限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP 流量时,说明不是正常的网络访问,而是有罢客入侵。 7.严格控制密码,提高密码保险胜。在网络中,有些密码设置得较易被破获,因此 应尽量减少知道密码的人数,分别给不同的人设定不同的使用权限。第36贞共55页�Q!Q§睦御的墼堡友塞遮盐星廑旦固笠三童!QQS随塑的墼生友塞遮让图3-2抵御攻击的技术于段 以上这些措施,具体单位可以根据各自情况酌情采用其中的一条或几条。3.2.2.2遭到攻击后的防御技术1.判断适合用于抵抗DDoS攻击的设备 检查路由器和交换机的路由模块的CPIJ,Memory的利用率。#>show proc cpu #>show procmemCPU利用率不要高于50%。 Memory利用率不要高于60%。而且路由器的Memory要高于128M。 则,这台设备可以用于抵抗DDoS攻击的设备。 2.抵御攻击的路由器技术手段 由于DDoS的攻击来自网络中的各个边界网络设备端口,所以URPF,CAR应该是在边 界的路由器的端口配置。 注意: ?PF不能用在网络的中心或仟何存在非对称路由的地方。当路由器存在非对称路 径时,不要在非最优路径的端口上使用uRPF。这将由于没有路由,而丢弃所有 的包。 ●此项功能将消耗大量路由器CPU和内存资源,使用时必须结合当时路由器的负 载情况,以防路由器过载。 3.设定ACL的保护措施: 根据搜集的攻击包,统计分析茛特点,如果攻击来源地址有一定规律可寻,则可 以针对攻击的来源地址做相应的deny的ACL。4.启用7层应用交换机和防火墙系统的针对DDOS攻击的功能第37页共55贝�Q!Q§堕塑的鳖生友苤遘盐区座旦尽量利用多个设备抵御攻击。如增加Clsco 等设备放到被攻击网段的前面。筮三童QQQS堕御的墼住友塞遮让CSS Swltch,Toplayer AS3502,PIX5.扩大服务器服务能力在允许条件下,可增加服务器数量,增加带宽分担,提高服务器响应。3.2.3查找攻击源在遭到攻击以后,为了保障破攻击者的权益,有条件的单位可以使用追踪于段来查找 攻击的源头,以震慑攻击者。 由于攻击者处于公网之上,而DDOS的攻击者在发起攻击的于段多变,基本无法根据 攻击的源地址进行追踪,因此有效的追踪手段就是根据攻击源头的流量变化和目的地址的唯 一性这两个特征,在电信城域网的边缘路由器上设置ACL,根据ACL的LOG捕获来确定攻击 的大致方向,以此逐步追溯到攻击者的方位。3.3小结本章分析了DDOS防御理论的不同特点,总结出防御攻击的几大模式,并提出了普通 防御方式中没有提到的一点.如何解决追踪攻击源头的问题。使攻击者不再敢肆无忌惮地发 动DDOS攻击,对破攻击者提供了更大的保障。第38贞共55贞�Q!Q§堕御笪鳖佳虚塞送盐厘廑旦箍四重!!!;堕御直塞垄上盘垫线的塞蕉塞趔第四章DDOS防御方案在上海热线的实施案例本章提出了上文所述方案的成功实施案例。上文的方案在上冉著名的ISP/ICP-一上 海热线进行了实施:在上海热线的关键网段部署了IDS监控设备,在最关键的服务器前端部 署了防火墙设备,在所有的网络端口部署了MRTG的流量分析系统,这些都是确认攻击的技 术措施;在经历了某次黑客发起的DDOS攻击后,使用了方案中的防御技术措施,挡住了黑 客的攻击;同时还肩动了跟踪反制于段,在城域网的边缘设置了ACL观察流量的命中变化, 对攻击者进行追踪;如果不是罢客攻击时间太短,就可以查到他的确切物王l}!地址,这样保证 了上海热线在DDOS攻击中仍然可以正常对外提供服务,保障上海热线的利益。 以下的案例证明了本方案是确实可行、有效的。4.1上海热线对DDOS防御的需求4.1.1背景上晦热线是上海信息产业公司的重要应用,其主要系统放在真北机房,内部大部分为上鹰热线ICP/ASP的服务器以及相关设备。分为以下几种:主Web服务器、频道服务器、免费电子邮件服务器、活动服务器、应用服务器、虚拟社区服务器、电子商务服务器、企业上网 服务器、游戏服务器、合作ICP的服务器等等。 网络拓扑逻辑图如下:第39页芡55页�QQ堕堕徇的墼佳友塞遮盐丛廛旦箍四童QQ!!堕御友塞垄±生垫缝的塞旌塞趔图4―1上霹热线真北机房网络结构图上海热线是标准的电信ISP,除此之外还对外提供各种增值服务。因此,特别需要针对 DDOS的攻击进行保护。4.1.2上海热线的攻击预判方案根据前面的方案,防御DDOS攻击的前提是准确判断是否遭到攻击。因此,我在上筒 热线建立了网络监控方案,以进行对DDOS攻击的精确判定 1.对每个网络端口建立MRTG流量监控 建立一个日常的数据流量基准,一旦有仟何异J;;;;就可以庸晰地从流量分析图上观祭到 2.对各个重要的网段部署IDS设备第40页共55页�QQQS堕御的墼笠友塞遮盐丛瘗旦笠四童QQ堕堕御直塞查土盘垫绫的塞旌塞倒上荐热墁再j#荸L厨孵帑受停龋鞫翔图4―2真北机房IDS部署图 针对黑客可能攻击的重点网段部署IDS设备,以应对异常情况下的流量分析 3.特别部署协议分析工具 针对一些非重点网络破攻击或者IDS设备无法分析出流量的情况下,就可以使用协议 分析软件对该网段的流量进行分析 4.采用批量操作软件对设备流量和负载进行检测 使用一些小的工具软件,模拟登陆到服务器和关键网络设备上,定时查看服务器的网 络连接数和网络设备的CPU负载,多管并下进行防护。4.2上海热线防御黑客攻击的案例4.2.1遭到DDOS攻击的判定实例上晦热线丰服务器监控人员某日发现上每热线丰页面无法显不,技术人员进行了以下 于段进行确认: 在MRTG流量监控页面上发现有异悼流量第41页共55贞�QQ堕堕塑鲍墼住左墓途盐丛厘旦笠四重Q!!!堕御友塞垄土瀣垫缝的塞旌塞倒图4―3 MRTG上的异常流量 在服务器主机上执行以下检查命令:#)netstat―an“SYN”或”FIN_WAIT”标志位的TCP连接异常多,如图所示,主机上有大量的SYN 标志位,彳日基本没有已建立的TCP连接,第42贞共55页�QQ堕堕箜的墅签友塞遮盐丛廛旦筮四重!!QS堕御直塞垄土盘垫结盟塞旌塞趔图4―4在主机上的异常SYN连接 在第四层(TCP)功能的网络设备上检查 用检查TCP连接数的命令检查TCP连接是否数量异常,而且很多连接的原地址不存 在,Ptng不通。 观察ClscoPIX F1rewall 第43页共55页�Q!Q§随塑笪墼住友塞遮让区瘗旦#>show condult箍四重!QQS堕塑友塞查土盘垫线的塞旌塞趔此次发现并发连接数大于150,000,而正常一般不大于5000,确认是DDOS攻击 查看IDS入侵检测系统告警 发现入侵榆测系统有大量的类似SYN Flood的告警信息图4―5 IDS上的监控日志 此时确认有以上现象发生,则基本可以判断网络服务遭到DDoS攻击。4.2.2遭到DDOS攻击的防御和追踪1.立即启用备份服务器 第一时间启用一台冷备份服务器,分担被攻击的服务器的压力,防止受攻击的 服务器在高密度攻击的压力下崩质。 2.启用被攻
