如何应对日益严重的拒绝服务攻击-精品文档.docVIP

如何应对日益严重的拒绝服务攻击 　　目前互联网的骨干带宽资源已经发展到2.5G和10G等大带宽线路，而且用户的接入带宽也逐渐增加。伴随着互联网的发展网络拒绝服务攻击呈现逐渐上升的趋势，攻击类型由以往的针对某一应用的拒绝服务攻击，发展成为带宽占用的攻击，因攻击流量较大，峰值带宽占用可能达到几个G，这种拒绝服务攻击对于运营商的网络造成很大的影响，严重影响网络的正常运行。 　　一、目前主要DDOS攻击类型 　　DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把运营商的骨干网的带宽资源占满，导致合法用户无法正常访问互联网的网络资源。 　　具体攻击说明如下： 　　二、针对带宽占用型攻击运营商可以采取的策略 　　当前大带宽，大流量网络攻击主要采用UDP方式进行攻击，因UDP无连接的特点，使得攻击的效率非常高，可以在短时间内产生很高的网络流量。同时攻击者主要利用网吧内的机器进行攻击，而网吧的带宽普遍较高。这就导致目前的网络攻击越发严重，攻击的带宽也逐渐增长，可以在短时间内将运营商的中级带宽占满，进而影响正常用户的访问。面对大带宽的网络攻击，如果部署抗DDOS攻击设备，一方面要增加巨大的投资，同时由于攻击带宽的日益增加，很难从根本上对攻击加以克服。现就笔者在日常的网络维护中对DDOS攻击的处理经验做一简单介绍，对此类攻击的处理主要包括以下三个步骤： 　　1.通过流量监控系统发现网络中出现突发流量增加，这表明网络中存在异常攻击行为，从而可以利用日常流量监控系统发现DDOS攻击。 　　2.通过netflow 收集网络数据信息，针对发生突发流量的时间段的流量数据进行流量应用分析，分析产生最大流量的IP地址、数据包大小、协议类型及应用端口等攻击行为信息。 　　3.在网络设备上对特定的IP地址或应用端口进行限速，可以有效避免攻击对正常流量产生的影响。 　　三、netflow简介及netflow数据采集分析实施要求 　　网络管理普遍采用的SNMP协议过于简单，无法对网络流量的协议和应用进行具体的分析，而sinffer技术在万兆骨干网络完全不可能。有鉴于此，Cisco公司开发了netflow网络流量监控技术，目前已经成为网络监控分析的业内标准协议。 　　支持netflow的路由器对经过其接口的数据包头进行采集分析，根据一定规则把流经的数据包归并为数据流，一个数据流记录为一条netflow记录。包含了该数据流丰富的统计信息。 　　每条netflow数据包括以下信息，下面是常见的netflow v5对数据格式的定义： 　　●源主机IP地址 　　●目的主机IP地址 　　●源主机端口 　　●目的主机端口 　　●下一跳IP地址 　　●包流入接口编号 　　●包流出接口编号 　　●包数量 　　●字节数量 　　●流开始时间 　　●流结束时间 　　●协议类型 　　●QoS参数 　　●tcp包头标志 　　●源主机所属的AS编号 　　●目的主机所属 AS 编号 　　●源主机所属子网络掩码 　　●目的主机所属网络的子网络掩码 　　Netflow数据以其丰富的信息量和广泛的产品支持，已经成为网络管理员，特别是骨干网管理员必不可少一个工具。通过对nerflow数据长期的收集和统计分析，可以详细的展示网络中应用层、包大小、包数量、协议类型等分布情况，为网络的容量规划和优化提供有利的数据支持。同时，正是对其进行恰当的分析可以获得网络应用详细情况，有利于发现其中的异常流量或者攻击行为，并确定其流量特征，进一步可以针对特征制定相应的应对策略。本文重点介绍netflow数据后者的应用技术。 　　利用netflow技术对网络流量进行监控、分析和处理，需要网络具备以下要求： 　　(1)设备支持netflow，要将关注的网络设备的用端口启动netflow采集功能，并设恰当的采集参数和接收服务器。 　　(2)配置netflow分析系统，可以利用NTG等专用netflow分析设备，也可以通过免费的flow-tools分析软件进行收集并分析。 　　(3)网络设备要支持速率限制功能，这样才能采取针对性的测试对异常攻击流量进行限制。 　　四、实施案例介绍 　　笔者以亲身经历一次黑龙江省联通骨干网络异常流量分析处理过程作为实例，介绍netflow技术的具体应用。 　　在省中心GSR与市核心路由器NE5000相连接口启用netflow采集功能，把数据分别发往NTG设备和flow-tools服务器，同时部署有MRTG软件实时监控该接口的流量。 　　1.