保護好自己的網絡流量 預防DDOS攻擊
最不講道理的也最簡單攻擊形式就是拒絕服務(DoS)攻擊。
這種攻擊不是為了入侵系統來獲取敏感信息,它的目的就是讓系統崩潰,從而無法響應正當用戶的請求。而且這種攻擊可以非常簡單,不需要任何技術功底;它的本質思想就是突破設備有效載荷。不管什么計算機系統、Web服務器、還是網絡都只能處理有限的載荷,計算機系統的工作載荷通常以帶多少用戶、文件系統大小、數據傳輸速率、文件存儲量等指標來衡量。一旦超過了載荷,再執行操作就無法響應了。例如,可以向某一網站泛洪,超過服務器的處理能力,就無法響應訪問請求了。
常見DoS的類型
1、TCP SYN泛洪
對于TCP協議,當客戶端向服務器發起連接請求并初始化時,服務器一端的協議棧會留一塊緩沖區來處理“握手”過程中的信息交換。請求建立連接時發送的數據包的包頭SYN位就表明了數據包的順序,攻擊者可以利用在短時間內快速發起大量連接請求,以致服務器來不及響應。同時攻擊者還可以偽造源IP地址。也就是說攻擊者發起大量連接請求,然后掛起在半連接狀態,以此來占用大量服務器資源直到拒絕服務。雖然緩沖區中的數據在一段時間內(通常是三分鐘)都沒有回應的話,就會被丟棄,但在這段時間內,大量半連接足以耗盡服務器資源。
防御這種攻擊沒有好的辦法,所有基于TCP的服務都有此“弱點”,但對于Web服務來說,有三招防御手段:設置SYN cookie、RST cookie和編輯緩沖區大小。具體方法可以搜一下,但要注意,三種方法都有局限性。
2、Smurf IP
Smurf IP利用廣播地址發送ICMP包,一旦廣播出去,就會被廣播域內的所有主機回應,當然這些包都回應給了偽裝的IP地址(指向被攻擊主機),偽裝IP地址可以是互聯網上的任何地址,不一定在本地;假如駭客不停地發送此種類型的包,就會造成DoS攻擊。
防御這種攻擊要從內網入手,因為攻擊是從廣播域內發起的,所以一是防內賊,二是防木馬、病毒以防被外控制,再一個就是利用防火墻隱藏內網;最好將這些措施組合起來。
3、其它
其它還有UDP泛洪、ICMP泛洪、死亡之ping、淚珠攻擊、著陸攻擊、Echo/Chargen攻擊,基本思想都差不多,有興趣的可以查查,篇幅所限這里不多介紹。
4、DDoS攻擊
DDoS是分布式拒絕服務攻擊,其基本思想與DoS攻擊一樣,只是方法不同。DDoS攻擊一般通過兩種方式:一是利用大量路由器,一是利用botnet。
DoS的弱點
從攻擊者的角度來講,DoS攻擊的不足是要求洪水包必須能夠持續發送,一旦洪水包停了,系統一般也就恢復正常了。另外如果直接從本機發起攻擊,就有被跟蹤到IP的危險;而利用Botnet又需要很強的控制力。
如何防御DoS
正如沒有確定的方法來防止駭客攻擊一樣,也沒有確保的方法防止所有DoS攻擊。然而,有一些措施可以減小危險發生的可能性。如前面介紹的SNY cookie、RST cookie、編輯緩沖區大小。下面再介紹一些,這些方法要根據情況綜合應用。
第一利用防火墻阻止外網的ICMP包,幾乎沒有什么理由讓外網的ICMP包進入本地網絡,有人可能會對此有爭論,說是沒有好的理由,但在我看來都一樣。再一個利用工具時常檢查一下網絡內是否SYN_RECEIVED狀態的半連接,這可能預示著SYN泛洪,許多網關型防火墻也是用此方法防御DoS攻擊的。另外如果網絡比較大,有內部路由器,同時網絡不向外提供服務的話,可以考慮配置路由器禁止所有不是由本地發起的流量,而且考慮禁止直接IP廣播。
若路由器具有包過濾功能的話,可以檢查數據包的源IP地址是否被偽造,來自外網的數據包源IP應該是外網IP,來自內網的數據包源IP是內網IP。最后就是防止網內出現Zombie了,沒什么說的,常規防護,及時更新補丁,使用防病毒軟件,制定下載策略,禁止隨意下載。
到此已經對網絡上基本的威脅形式有所了解,各有各的特點,這里只總結一下基本的防御措施,常規動作,一定要做好。除此之外,網絡安全是個攻防對抗的動態過程,新思路新形式隨時會出現,需要不斷學習,針對自身網絡以及威脅的特點,對癥下藥。再次提醒注意,常規動作一定要做好:
(1)使用防病毒軟件,定期掃描。
(2)及時更新系統及軟件補丁。
(3)關閉不需要的服務。
(4)瀏覽器配置為最高安全級。
(5)使用防火墻,對于桌面機,系統自帶防火墻足夠。
(6)考慮使用反間諜軟件。
(7)不要在互聯網泄露私人信息,除非十分有必要。
(8)企業要有相應安全策略。
當然安全保障是貫穿整個網絡運維全過程的,隨網絡環境的不同,要求的不同,措施會有差異,沒有最好,只有更好,需要不斷修煉。接下來會系統地介紹一下如何進行安全防護。方法是自頂而下,由抽象到具體,首先來看一下都有哪些網絡安全模型
【編輯推薦】
