解决SynDemo网吧DDOS攻击的方法.docVIP

一、前言： ????近期，网络上出现了一种特殊的DDOS类攻击软件(SynDemo)。该软件不同于以往的攻击软件，它可以模拟内网真实机器的IP，对网 关设备进行恶意的TCP-SYN半连接攻击，从而使得整个内网中的PC都无法正常上网，很多深受其害的用户可谓苦不堪言。而目前网络产品市场上，很少有能成功识别该类攻击并实 施相关防御措施的网络设备。 ????二、SynDemo TCP-SYN半连接攻 击原理分析： ????该攻击软件与传统的DDOS攻击软件很不一样，普通的DDOS攻 击软件只是保证伪装的IP地址属于内网网段就开始发动攻击，针对此类攻击，一般具有安全功 能的网关设备(路由器、防火墙等)都可以防御住此类攻 击。但是SynDemo这款软件却与其他DDOS攻击软件有所不同，它首先会判断攻击源所处的IP地址段，向内网广播该网段的ARP请 求报文，当真实IP地址接受到相关ARP请求报文后，会发送ARP的应 答报文，这样，该软件就能够知道，在该网段内的真实IP与MAC对应关系，从而在攻击的时候骗取到网关设备的信任。 ????然后，SynDemo会根据这些真实的IP信息，模拟真实的http报 文发给网关设备。当网关设备接受到这些看似“正常”的报文后，就不会将这些“合法”报文丢弃，但是SynDemo会高密度的连续地发送这些报文，导致在一定时间内网关设备的NAT状态表被这些看似合法的半链接“填满”，无法处理那些用于正常上网的数据包，使得内网的所有机器上网速度 越来越慢，最后导致整个内网的机器都无法正常上网。 ????三、融合管理系统配合融合网络交换机如何做到高效的内网安全？ ????1、内网安全一体化防御功能 ????内网安全防御功能一共提供了两种防御模式：动态防御和静态防御。动态防御模式下，交换机会动态学习到的PC的IP和MAC地址信息以及对应的端口号，并将其对应关系进行绑定，此时，任何伪装绑定信息的端口、MAC或IP而生成 的ARP信息都无法在局域网内传播，可以有效的防御ARP病毒。在静态防御模式下，除了动态绑定的实现的ARP病毒防御外，还能通过特定的算法，对局域网内的TCP-SYN半连接恶意攻击进行防御，比如本文重点提及的DDOS类攻击软件(SynDemo)。 2、????智能化异 常端口安全功能 ????在现有的各品牌交换机中，如果遭遇到非常强烈的ARP攻击，使得交换机的CPU需要花费大量的精力去处理ARP报文，导致其他数据包的转发无法正常进行，从而使得局域网内的PC出现上 网速度缓慢甚至断网的严重后果。针对此类情况，融合网络交换机提供了智能化的异常端口关闭功能，该功能会在强烈的ARP攻击导致局域网内上网速度缓慢的情况时自动关闭遭受攻击的端口，使其不能影响交换机整体转发性能，保障网络正常运行。 ????四、完美解决SynDemo攻击的过程： ????1、环境准备 2、SynDemo攻击 ????【1】开启SynDemo攻击，对内网网关(9)进行攻击 ????源IP：01， ????MAC：00-26-22-DC-78-75 ????攻击目标：9(内网网关) ????攻击端口：80 ????开启攻击软件，如下图 使用科来抓包软件，如下图： 说明：开启该攻击软件后，通过抓包数据分析可以发现该软件会发送ARP报文查询来查找内网所有存在的PC地址，然后模拟这些获取到的地址向内网网关发送TCP-SYN的半连接报文。 ????【2】不开启 内网安全功能下的攻击 ????首先通过融合管理系统的内网安全界面或交换机的WEB界面内网安全功能绑定状态，如下图：然后在内网中的任一主机上PING ? -t 。发现无法PING通外网地址，具体如下图：通过上述过程，我们可以发现，局域网内的交换机如果不具有完善的内网安全功能，是无法防御住此类攻击，在SynDemo软件攻击后，局域网内的所有机器都无法访问外网，该恶意软件攻击成 功。 ????【3】开启内 网安全功能下的攻击 ????通过在融合管理系统的内网安全功能项中，将所有与交换机相连的客户机进行安全绑定操作。如下图： ????其中16号端口是实施SynDemo SYN攻击的PC所属端口。通过网内任意一台PC机PING ? -t，截图如下：我们可以看到，在融合管理系统中内网安全功能开启后，SynDemo的攻击对于内网中机器无法造成任何的影响，用户根本感觉不到网络中 被攻击了，防御该类恶意软件的攻击成功。 ????五、综述： ????对于此类攻击，相信任何一个依赖于网络进行业务开展的企业都是非 常的头痛的，此攻击对企业所造成的损失是难以估计的，任何一个企业都不希望自己的网络遇到这样的情况。特别是在网吧这样一个特殊的行业中，网络的高效性、 流畅性以及稳定性一直是每一个网吧业主所追求的。如果