摘要:近期国内部分站点遭到了较大规模的拒绝服务()攻击(包括类似前期yahoo等大型国际网站所遭受的的Ddos攻击分布式拒绝服务攻击)。波及的网站包括知名的新闻网站、证券网站,甚至是部分网络安全站点等。造成
|
近期国内部分站点遭到了较大规模的拒绝服务()攻击(包括类似前期yahoo等大型国际网站所遭受的的Ddos攻击 分布式拒绝服务攻击)。波及的网站包括知名的新闻网站、证券网站,甚至是部分网络安全站点等。造成的症状为:站点无法访问,响应速度极慢,影响到周围相关网段的其它主机等,至今还有很多站点未恢复正常,仍无法正常访问。 作为一个网络安全站点,。公司技术人员立即做出响应:针对攻击的方式及可能采用的攻击手段,提出了切实可行的完整解决方案,把攻击的危害降到了最低。现在网站一切正常,虽然攻击仍旧在继续,但对服务器的影响已经降到了最小,不会影响服务器的正常运作。同时,我们积极联系了其它受攻击的同行站点,表明攻击来自同一类手法,可能来自某人(团体)蓄意所为。另外,对我们近期为其它站点所做的紧急响应情况来看,此次攻击的规模之广、强度之大令人发指。在采取了我公司应的解决方案后,接受紧急响应的网站都已恢复正常。 从被攻击的症状来看,这次的攻击大致有以下几种:分布式拒绝服务攻击、Syn-Flood攻击,icmp炸弹(pingdeath)等几种。这是通过审查我们站点被攻击后留下的纪录,分析这些记录后得出的初步结论。 (Syn-Flood攻击的具体原理参见本站的技术文章),我们对默认安装的系统进行了强化,主要是通过重新编译内核,设定相应的内核参数使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。如果不强制对这些无效的数据包进行清除复位,将大大加重系统的负载,最终将导致系统失去响应。 ,在系统内核中对icmp数据包的流量进行限定允许。并在系统参数中对此限定值调整。以防止系统由此而造成的失去响应。 。根据我们站点访问量大的特点,对Web服务器和Mail服务器进行适度的预加重处理,即通过预先使服务器达到一定的负载,以使得整个系统的负载在访问量变化时不会出现很大的变化,如果出现了很大的变化,很有可能使得服务器崩溃。这和在建筑中广泛采用的预应力技术的原理是一致的。 在完成了对服务器的强化后,还必须使用一些有效的方法和规则来检测和发现拒绝服务攻击,并能在检测到拒绝服务攻击后采取相应的对策。 通常,我们在设计防火墙的时候会预先对某些特殊类型的IP数据包进行过滤(不需要纪录)。这些特殊的IP是不能在Internet网上出现的(无法路由)。而要进行拒绝服务攻击往往最需要这类有来无回的数据包,来隐蔽攻击者的真实地址和身份。而一旦这类地址出现,往往就标志着某种拒绝服务攻击的开始。 这一大类的地址是这四个网段的地址。就我们的防火墙的规则而言,对这三个地址段是完全拒绝任何数据包的: denyall。然后通过检测对这些规则的计数,来判决是否存在某些攻击行为。如当我们发现在我们的计数器中发现如下的情况: 我们就可以推断是有人在拒绝服务攻击,当我们利用netstat RCVD这就说明了此时服务器正在遭受Syn-Flood攻击。纪录这类攻击的IP地址是毫无意义的(因为这些IP地址都是在程序中通过改变数据包头而伪造的)。 而对于分布式拒绝服务攻击,由于采用了大流量攻击手法,会造成该网段路由器的阻塞,从而使得该网段内几乎所有的服务器可用的带宽都变得极小,对外造成不能访问的现象。而此时,该网段主干路由器亦承受极大的负载。 而对于ICMP包炸弹这类攻击,则可以通过在防火墙上设置纪录来实现检测。一旦发现在一定的时间内有量的ICMP包涌入,而内核由于ICMP包的流量过载而出现警告,则说明存在此类的攻击行为。 在检测到攻击行为后,就应该采取一些措施使得攻击的影响减至最小。 对于分布式攻击,目前还没有非常有效方法来防御,我们所能做的是让ISP对主干路由器进行限流措施来降低攻击所造成的影响。 对于SYN-FLOOD攻击,一方面要在服务器端打Syn-flood的补丁,另一方面需要在该网段的路由器上做些配置 对于ICMP攻击可以采取的方法一:在服务器端拒绝所有的ICMP包;方法二:在该网段路由器对ICMP包进行带宽限制,控制其在一定的范围内。 要彻底杜绝拒绝服务攻击,只有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者不是一件很容易的事,一旦其停止了攻击行为,很难将其发现。唯一可行的方法就是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用一级一级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合才能很好得完成。 “绿色兵团”将对此攻击事件发布相关的“绿色兵团安全公告(SA2000-03)”,敬请关注我们的站点:,同时希望遭受类似攻击的网站能够及时和我们联系,以便解决攻击所带来的严重影响,并且为查出最终源头提供有利数据,为共同创建一个宁静、和平的绿色网络而努力! 比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。 比特商务周刊是一个及行业资讯、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊! 比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、组网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。 比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。 比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、数据保护与容灾构建以及数据管理部署等方面服务。 比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。 新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,覆盖面广的媒体传播途径。 比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。 比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。 IT专家新闻邮件长期以来,以定向、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、线下会议、读者沙龙等多种服务。 X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。 (责任编辑:admin)
|
的调整。这些调整包括限制Syn半开数据包的流量和个数,在路由器的前端做必要的TCP拦截(),并在路由器上设定相当严格的定时常数,利用路由器的TCP拦截技术使得只有完成TCP三次握手过程的数据包进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。同时,在路由器的访问列表里拒绝这三个虚拟网段的访问。
谈谈您对该文章的看