返回
防范Ddos攻击的分析及对策

防范Ddos攻击的分析及对策

ID:43622758

大小:27.50 KB

页数:3页

时间:2019-10-11

防范Ddos攻击的分析及对策_第1页
防范Ddos攻击的分析及对策_第2页
防范Ddos攻击的分析及对策_第3页
资源描述:

《防范Ddos攻击的分析及对策》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防范Ddos攻击的分析及对策近期国内部分站点遭到了较大规模的拒绝服务(D.O.S)攻击(包插类似前期yahoo等大型国际网站所遭受的的Ddos攻击——分布式拒绝服务攻击)。波及的网站包括知名的新闻网站、商业网站、证券网站,甚至是部分网络安全站点等。造成的症状为:站点无法访问,响应速度极慢,影响到周围和关网段的其它主机等,至今还有很多站点未恢复正常,仍无法正常访问。要防范拒绝服务攻击,首先耍从强化自身做起。针对目前D.O.S攻击的实施手段,我们预先采取了以下的一些措施:1.为防止Syn-Flood攻击(Syn-Flo

2、od攻击的具体原理参见本站的技术文章),我们对默认安装的系统进行了强化,主要是通过重新编译内核,设定相应的内核参数使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。如果不强制对这些无效的数据包进行清除复位,将人人加重系统的负载,最终将导致系统失去响应。2.为防止icmp炸弹的攻击,在系统内核中对icmp数据包的流量进行限定允许。并在系统参数中对此限定值调整。以防止系统由此而造成的失去响应。3.在系统屮加装防火墙系统,利用防火墙系统对所育出入的数

3、据包进行过滤。4.仔细调整服务器的各项参数。根据我们站点访问量大的特点,对Web服务器和Mail服务器进行适度的预加重处理,即通过预先使服务器达到一定的负载,以使得整个系统的负载在访问量变化时不会出现很人的变化,如果出现了很大的变化,很有町能使得服务器崩溃。这和在建筑屮广泛釆用的预应力技术的原理是一致的。在完成了对服务器的强化后,还必须使用一些有效的方法和规则來检测和发现拒绝服务攻击,并能在检测到拒绝服务攻击后采取相应的对策。检测的手段很多,可以通过察看路山器纪录和系统纪录以及站点日前状态来实现。通常,我们在设计防

4、火墙的时候会预先对某些特殊类型的IP数据包进行过滤(不需要纪录)。这些特殊的IP是不能在Internet网上出现的(无法路由)。而耍进行拒绝服务攻击往往最需要这类有來无回的数据包,來隐蔽攻击者的真实地址和身份。而一旦这类地址出现,往往就标志着某种拒绝服务攻击的开始。这一大类的地址是127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16这四个网段的地址。就我们的防火墙的规则而言,对这三个地址段是完全拒绝任何数据包的:denyalL然后通过检测对这些规则的计数,来判决是否

5、存在某些攻击行为。如当我们发现在我们的计数器中发现如下的情况:00denyipfromanyto127.0.0.0/84552553302denyipfrom10.0.0.0/8toany00denyipfromanyto10.0.0.0/800denyipfrom172.16.0.0/12toany00denyipfromanyto172.16.0.0/129760111024404denyipfrom192.168.0.0/16toany00denyipfromanyto192.168.0.0/16我们就AT以

6、推断是有人在拒绝服务攻击,当我们利用netstat-an來检测当时的网络连接数日时,我们会发现有大量SYN_RCVD类型的连接:tcp400202.109.114.50.80203.93.217.52.2317SYN_RCVDtcp400202.109.114.50.8061.136.54.73.1854SYN_RCVD这就说明了此时服务器正在遭受Syn-Flood攻击。纪录这类攻击的IP地址是奄无意义的(因为这些IP地址都是在程序中通过改变数据包头而伪造的)。而对于分布式拒绝服务攻击,由于采用了大流量攻击手法,会

7、造成该网段路由器的阻塞,从而使得该网段内儿乎所有的服务器可用的带宽都变得极小,对外造成不能访问的现彖。而此时,该网段主干路由器亦承受极大的负载。而对于ICMP包炸弹这类攻击,则可以通过在防火墙上设置纪录來实现检测。一旦发现在一定的时间内有量的ICMP包涌入,而内核由于ICMP包的流量过载而出现警告,则说明存在此类的攻击行为。这时,可以从系统所纪录的口志上看到,类似于如下的纪录:DenyICMP202.96.113.53202.109.114.50inDenyICMP202.96.113.53202.109.114.

8、50inDenyICMP202.96.113.53202.109.114.50inDenyICMP202.96.113.53202.109.114.50inDenyICMP202.96.113.53202.109.114.50in在检测到攻击行为后,就应该采取一些措施使得攻击的影响减至最小。对于分布式攻击,目前还没有非常有效方法来防御,我们所能做的是让ISP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。