沈超-拒绝服务攻击及防御技术.ppt

* 网络入侵与防范讲义 * 6.5.2 分布式拒绝服务攻击的防御 虽然还没有很好的措施来彻底解决分布式拒绝服务攻击问题，但下面有一些措施能降低系统受到拒绝服务攻击的危害: 优化网络和路由结构 保护网络及主机系统安全 安装入侵检测系统 与ISP服务商合作 使用扫描工具 * 网络入侵与防范讲义 * 优化网络和路由结构 理想情况下，提供的服务不仅要有多条与Internet的连接，而且最好有不同地理区域的连接。这样服务器IP地址越分散，攻击者定位目标的难度就越大，当问题发生时，所有的通信都可以被重新路由，可以大大降低其影响。 * 网络入侵与防范讲义 * 保护网络及主机系统安全 本质上，如果攻击者无法获得网络的访问权，无法攻克一台主机，他就无法在系统上安装DDoS服务器。要使一个系统成为服务器，首先要以某种手段攻克它。 如果周边环境不会被突破，系统能够保持安全，就不会被用于攻击其他系统。 对所有可能成为目标的主机都进行优化，禁止不必要的服务，可以减少被攻击的机会。要注意保护主机系统的安全，避免其被攻击者用作傀儡主机，充当DDoS的间接受害者。 * 网络入侵与防范讲义 * 安装入侵检测系统 能否尽可能快地探测到攻击是非常关键的。以DDoS的角度来看，单位越快探测到系统被入侵或服务器被用来进行攻击，该单位的网络状况越好。 借助于入侵检测系统（IDS）可以完成这一工作。 * 网络入侵与防范讲义 * 安装入侵检测系统 有两种常用的IDS:基于网络的和基于主机的。 基于网络的IDS是网络上被动的设备，负责嗅探通过给定网段的所有数据包。通过查看数据包，查找显示可能的攻击的签名并对可疑行为发出警报。 基于主机的IDS运行在一台独立的服务器上，并经常查看审计日志以查找可能的攻击信息。 * 网络入侵与防范讲义 * 安装入侵检测系统 正如有两种类型IDS一样，也有两种构建IDS的技术：样式匹配和不规则探测。 样式匹配技术有一个关于已知攻击特征的数据库。当它找到与给定样式相同的数据包时就发出警报。 不规则探测系统决定什么是网络的正常通信，任何不符合这一规则的通信都被标为可疑的。 可以想象，基于不规则探测的系统实现起来十分困难，因为对于一个公司正常的通信对于另一个公司则是不正常的。因此大多数入侵检测系统都是基于样式匹配技术的。 * 网络入侵与防范讲义 * 与ISP合作 这一点非常重要。DDoS攻击非常重要的一个特点是洪水般的网络流量，耗用了大量带宽，单凭自己管理网络，是无法对付这些攻击的。当受到攻击时，与ISP协商，确定发起攻击的IP地址，请求ISP实施正确的路由访问控制策略，封锁来自敌意IP地址的数据包，减轻网络负担，防止网络拥塞，保护带宽和内部网络。 * 网络入侵与防范讲义 * 使用扫描工具 由于许多公司网络安全措施都进行得很慢，它们的网络可能已经被攻克并用作了DDoS服务器，因此要扫描这些网络查找DDoS服务器并尽可能的把它们从系统中关闭删除。 一些工具可以做到这些，而且大多数商业的漏洞扫描程序都能检测到系统是否被用作DDoS服务器。 * 网络入侵与防范讲义 * 6.5.3 拒绝服务监控系统的设计 利用总结出的若干拒绝服务攻击数据包的特征，可以进行拒绝服务监控系统的设计，建立网络通信中异常现象的模式库，把实时采集网络数据包与模式库进行模式匹配，得到监控结果。 下页为监控系统的结构图。 * 网络入侵与防范讲义 * 6.5.3 拒绝服务监控系统的设计 模式库 分析单元 分析报告 采集库 * 网络入侵与防范讲义 * 6.5.3 拒绝服务监控系统的设计 上图中，采集器用来收集网络通信信息，并向分析单元提供分析所需的数据，同时还能接收分析单元的指令，进一步采集分析单元所需的特定信息。 分析单元可以采用人工神经元网络对网络采集信息和模式库进行模式匹配得出分析报告，同时定期进行自学习，更新模式库，及时跟踪并反映拒绝服务攻击模式的最新动态。 * 网络入侵与防范讲义 * 6.6 小结 无论是DoS还是DDoS攻击，其目的是使受害主机或网络无法及时接收并处理外界请求，表现为: 制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。 利用被攻击主机所提供服务程序或传输协议的本身的实现缺陷，反复发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态。 DoS/DDoS攻击是很有效的攻击方式，必须注意防范这种攻击。 * 网络入侵与防范讲义 * * * * * * * Mandrake是一种Linux操作系统 * * Solaris下netstat的输出格式： LocalAddress Remot