首页
社区
课程
招聘
[旧帖] [原创]简单的DDOS防范(继续求邀请码) 0.00雪花
发表于: 2009-12-11 14:49 1460

[旧帖] [原创]简单的DDOS防范(继续求邀请码) 0.00雪花

2009-12-11 14:49
1460
一 基础                                                   

系统优化——主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护,当黑客提高攻击的流量时,这种防护方法就无计可施了。
指令:show ip source-track(路由指令)显示每个输入接口

二防范
2关闭不必要的服务

2限制同时打开的Syn半连接数目

3缩短Syn半连接的time out 时间

三举例

4如果被攻击的目标只是单一 ip,那么试图改个 ip 并更改其 DNS mapping ,

5单纯攻击,可以由产生的流量找出其规则,那么利用路由器的 ACLs(Access Control Lists)或防火墙规则也许可以阻挡,

6发现流量都是来自同一来源或核心路由器,可以考虑暂时将那边的流量挡起来,当然这还是有可能将正常和异常的流量都一并挡掉,但至少其它来源可以得到正常的服务,这有时是不得已的牺牲。

7增加机器或频宽作为被攻击的缓冲之用,最重要的是必须立即着手调查并与相关单位协调解决。

8伪装攻击来源,假造封包的来源 ip,这个可以透过设定路由器的过滤功能来防止,只要网域内的封包来源是其网域以外的 ip,就应该直接丢弃此封包而不应该再送出去,如果网管设备都支持这项功能,网管人员都能够正确设定过滤掉假造的封包,也可以大量减少调查和追踪的时间。

四日常

9行为模式的异常检测,从正常流量中精确的区分攻击流量;

10通过集成的检测和阻断机制对DOS攻击实时响应,完成基本DOS防护功能需求;

11增加各类网络接入模式,并具有较高的吞吐量,避免单点故障;具备很强的扩展性和良好的可靠性。(不现实)

12每个进出的连接,根据其源地址进行分类,连接超时,重置连接.弥补TCP协议本身的不足抗拒绝服务攻击算法(14里有详讲)

13建立历史日志对攻击的历史日志进行查询和统计分析,便于对攻击事件进行有效的跟踪和追查。

五SYN Flood  SYN Flood(小规模)

14 SYN Flood的攻击,SYN Flood..........通过IDP的部署,可以保证TCP连接的正常建立,以此来防范那些恶意的半连接。回到开篇咱们举的那个例子,如果在酒店和客户之间有一个中间机构,该机构限定客户的响应时间,如果超过一定时间没有响应,则通知酒店取消预定,或者该机构作为酒店代理,只有收到款后才跟酒店建立业务关系,这样酒店就可以避免恶意的预定,正常运营。IDP设备就是在攻击者和服务器之间充当这样的一个中间机构。针对上述中间机构的两种处理方式,IDP设备也有两种工作模式:被动模式和主动模式。
IDP的被动工作模式,是指其并不参与到客户机目标服务器之间连接的建立,但是其会维护一个连接建立的时间表,它监控整个连接建立过程,如果客户机超过一定时间没有回复ACK报文,那么IDP就向目标服务器发送一个RESET报文,取消该连接。一般而言手工方式防护DDoS主要通过两种形式

  

  IDP维护的时间表会低于目标服务器连接队列老化时间,以此来减少目标服务器的资源利用率。IDP可以根据每秒SYN报文的个数来决定是否应用此策略,因为如果每秒SYN报文个个数比较少根本对目的主机构不成威胁,也没必要采取措施。默认值为1000,既如果每秒SYN报文超过1000,则启动该功能。

  

  主动模式中IDP实际参与到了连接建立的过程中,其作为主机和目标服务器之间的一个中转机构,以此来确保目标服务器只会给处于连接建立状态的连接分配资源,阻止了非法攻击的资源消耗。对于主机和目标服务器来说,IDP设备是透明的,如下图所示:

  

  IDP作为中转设备,其每收到一个SYN报文,其都会回复一个SYN/ACK,对主机来说就像是目标服务器回复的一样,如果规定时间内主机能够回复ACK,那么连接就能正常建立,IDP就允许连接转移到目标服务器上,对目标服务器来说,此时的IDP设备就是请求服务的主机。如果规定时间内IDP没有收到主机回复的ACK报文,那么IDP就会关闭该连接,目标服务器根本不会感知到这一过程,在无声无息中就将危险阻止于门外。

  当前防护DDOS手段的不足2008-04-12 23:10虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于涉及之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护。

而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护

六其他

      

重载其中的identification域。也就是如果没有使用到identification域的话,将这个域定义为标记。

  将16bit的idnetification分成:3bit的offset(可允许8次分片),5bit的distance,以及8bit的边缘分片。5bit的distance可以允许31级路由,这对于目前的网络来说已经足够了

标记和重构路径的算法是:

  Marking procedure at router R: let R' = BitIntereave(R, Hash(R)) let k be the number of none-overlappling fragments in R' for each packet w let x be a random number from [0..1) if xlet o be a random integer from [0..k-1] let f be the fragment of R' at offset o write f into w.frag write 0 into w.distance wirte o into w.offset else if w.distance=0 then let f be the fragment of R' at offset w.offset write f?w.frag into w.frag increment w.distance

  Path reconstruction procedure at victim v:

  let FragTbl be a table of tuples(frag,offset,distance) let G be a tree with root v let edges in G be tuples(start,end,distance) let maxd:=0 let last:=v for each packet w from attacker FragTbl.Insert(w.frag,w.offset,w.distance) if w.distance>maxd then maxd:=w.distance for d:=0 to maxd for all ordered combinations of fragments at distance d construct edge z if d!=0 then z:= z?last if Hash(EvenBits(z))=OddBits(z) then insert edge(z,EvenBits(z),d) into G last:=EvenBits(z); remove any edge(x,y,d) with d!=distance from x to v in G extract path(Ri..Rj) by enumerating acyclic paths in G

这种标记技术只需要victim能够抓到1000到2500个包就能够重构整个路径了,应该说结果是很好的,但是没有投入到实用中,主要是需要路由器厂商和ISP支持

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 22
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
学习一下。。。。。
2009-12-11 15:17
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
学习、、、、、、、、、、、、、、、、、、、、、、、、
2009-12-12 00:42
0
游客
登录 | 注册 方可回帖
返回
//