當(dāng)網(wǎng)站遭遇DDOS攻擊的解決方案及展望

1、當(dāng)網(wǎng)站遭遇DDOS攻擊的解決方案及展望更多：一、事件發(fā)生春節(jié)長(zhǎng)假剛過完，WEB就出現(xiàn)故障，下午1點(diǎn)吃完回來，立即將桌面解鎖并習(xí)慣性的檢查了Web服務(wù)器。通過Web服務(wù)器性能監(jiān)視軟件圖像顯示的向下滑行的紅色曲線看到WEB出現(xiàn)問題了。根據(jù)上述的問題，我馬上開始核查Web服務(wù)器的日志，試試是否能檢測(cè)到問題究竟什么時(shí)候開始，或者發(fā)現(xiàn)一些關(guān)于引起中斷的線索。正當(dāng)查詢線索過程中。公司首席運(yùn)營(yíng)官(CIO)告訴我，他已經(jīng)接到客戶的投訴電話，報(bào)告說無法訪問他們的網(wǎng)站。于是從臺(tái)式機(jī)中敲入網(wǎng)站地址,試著從臺(tái)式電腦訪問他們的網(wǎng)站，但是看到的只是無法顯示此頁(yè)面的消息?；叵肭皫滋煲参磳?duì)Web服務(wù)器做了任何改變也未對(duì)Web

2、服務(wù)器做過任何改變，服務(wù)器曾經(jīng)出現(xiàn)過的性能問題。在Web服務(wù)器的日志文件中沒有發(fā)現(xiàn)任何可疑之處，因此接下來我去仔細(xì)查看防火墻日志，和路由器日志。仔細(xì)查看了防火墻日志，打印出了那臺(tái)服務(wù)器出問題時(shí)的記錄。并過濾掉正常的流量并保留下可疑的記錄。表中顯示了打印出來的結(jié)果。源IP地址目的IP地址源端口號(hào)目的端口號(hào)協(xié)議172.16.45.2192.168.0.175784371710.166.166.166192.168.0.1751971710.168.45.3192.168.0.1753451171710.166.166.166192.168.0168.89.111192.1

3、68.0.175178371710.166.166.166192.168.0.1751971710.231.76.8192.168.0.17529589717192.168.15.12192.168.0.1751733071710.166.166.166192.168.016.43.131192.168.0.175893571710.23.67.9192.168.0.1752238771710.166.166.166192.768.0.7519717192.168.57.2192.168.0.1756588717172.16.87.11192.768.0.752145

4、371710.166.166.166192.168.0.1751971710.34.67.89192.168.0.1754598771710.65.34.54192.168.0.17565212717192.168.25.6192.168.0.17552967717172.16.56.15192.168.0.175874571710.166.166.166192.168.0.17519717表一 防火墻日志之后在路由器日志上做了同樣的工作并打印出了看上去異常的記錄。攻擊期間的路由器日志圖一解釋：IP packet sizedistribution這個(gè)標(biāo)題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分

5、率。這里顯示的內(nèi)容表明：98.4%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間（注意紅色標(biāo)記）。參數(shù)解釋：IP packet sizedistribution這個(gè)標(biāo)題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率。這里顯示的內(nèi)容表明：98.4%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間。Protocol協(xié)議名稱Total Flows自從最后一次清除統(tǒng)計(jì)信息后，這種協(xié)議的信息流的個(gè)數(shù)。Flows/Sec每秒鐘時(shí)間內(nèi)出現(xiàn)這種協(xié)議的信息流的平均個(gè)數(shù)，它等于總信息流數(shù)/綜合時(shí)間的秒數(shù)。Packets/Flow遵守這種協(xié)議的信息流中平均的數(shù)據(jù)包數(shù)。等于這種協(xié)議的數(shù)據(jù)包數(shù)，或者在這段綜合時(shí)間內(nèi)，這種協(xié)議的信息流數(shù)。By

6、tes/Pkt遵守這種協(xié)議的數(shù)據(jù)包的平均字節(jié)數(shù)(等于這種協(xié)議總字節(jié)數(shù)，或者在這段綜合時(shí)間內(nèi)，這種協(xié)議的數(shù)據(jù)包數(shù))。B/Pkt，這一信息流中每個(gè)數(shù)據(jù)包的平均字節(jié)數(shù)Packets/Sec每秒鐘時(shí)間內(nèi)這種協(xié)議的平均數(shù)據(jù)包數(shù)(它等于這種協(xié)議的總數(shù)據(jù)包)，或者這段綜合時(shí)間的總秒數(shù)。Active(Sec)/Flow從第一個(gè)數(shù)據(jù)包到終止信息流的最后一個(gè)數(shù)據(jù)包的總時(shí)間(以秒為單位，比如TCP FIN，終止時(shí)間量等等)，或者這段綜合時(shí)間內(nèi)這種協(xié)議總的信息流數(shù)。Idle(Sec)/Flow從這種協(xié)議的各個(gè)非終止信息流的最后一個(gè)數(shù)據(jù)包起，直到輸入這一命令時(shí)止的時(shí)間總和(以秒為單位)，或者這段綜合時(shí)間內(nèi)信息流的總時(shí)間

7、長(zhǎng)度。正常路由日志圖二IP packet sizedistribution這個(gè)標(biāo)題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率。這里顯示的內(nèi)容表明：2%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間。注意網(wǎng)站的訪問量直線下降。很明顯，在這段時(shí)間沒人能訪問他的Web服務(wù)器。我開始研究到底發(fā)生了什么，以及該如何盡快地修復(fù)。二、事件分析我的Web服務(wù)器發(fā)生了什么？很有可能攻擊，那么受到什么樣的攻擊呢？從這一攻擊是對(duì)回顯端口看，即是端口7，不斷發(fā)送小的UDP數(shù)據(jù)包來實(shí)現(xiàn)。攻擊看似發(fā)自兩個(gè)策源地，可能是兩個(gè)攻擊者同時(shí)使用不同的工具。在任何情況下，超負(fù)荷的數(shù)據(jù)流都會(huì)拖垮Web服務(wù)器。然而攻擊地址源不確定，不知道是攻

8、擊源本身是分布的，還是同一個(gè)地址偽裝出許多不同的IP地址，這個(gè)問題比較難判斷。假如源地址不是偽裝的，是真實(shí)地址，則可以咨詢ARIN I美國(guó)Internet號(hào)碼注冊(cè)處，從它的“whois”數(shù)據(jù)庫(kù)查出這個(gè)入侵1P地址屬于哪個(gè)網(wǎng)絡(luò)。接下來只需聯(lián)系那個(gè)網(wǎng)絡(luò)的管理員就可以得到進(jìn)一步的信息。那么假如源地址是偽裝的，追蹤這個(gè)攻擊者就麻煩得多。若使用的是Cisco路由器，則還需查詢NetFlow高速緩存。NetFlow是Cisco快速轉(zhuǎn)發(fā)(CEF)交換框架的特性之一。為了追蹤這個(gè)偽裝的地址，必須查詢每個(gè)路由器上的NetFlow緩存，才能確定流量進(jìn)入了哪個(gè)接口，然后通過這些路由器一次一個(gè)接口地往回一路追蹤，直至

9、找到那個(gè)IP地址源。然而這樣做是非常難的，因?yàn)樵赪eb Server和攻擊者的發(fā)起pc之間可能經(jīng)由許多路由器，而且屬于不同的組織。另外，必須在攻擊正在進(jìn)行時(shí)做這些分析。經(jīng)過分析之后，將防火墻日志和路由器日志里的信息關(guān)聯(lián)起來，發(fā)現(xiàn)了一些有趣的相似性，如表黑色標(biāo)記處。攻擊的目標(biāo)顯然是Web服務(wù)器192.68.0.175，端口為UDP 7，即回顯端口。這看起來很像拒絕服務(wù)攻擊(但還不能確定，因?yàn)楣舻姆植己茈S意）。地址看起來多多少少是隨意而分散的，只有一個(gè)源地址是固定不變的，其源端口號(hào)也沒變。這很有趣。接著又將注意力集中到路由器日志上。立刻發(fā)現(xiàn)，攻擊發(fā)生時(shí)路由器日志上有大量的64字節(jié)的數(shù)據(jù)包，而此時(shí)

10、Web服務(wù)器日志上沒有任何問題。他還發(fā)現(xiàn)，案發(fā)時(shí)路由器日志里還有大量的“UDP-other”數(shù)據(jù)包，而Web服務(wù)器日志也一切正常。這種現(xiàn)象與基于UDP的拒絕服務(wù)攻擊的假設(shè)還是很相符的。攻擊者正是用許多小的UDP數(shù)據(jù)包對(duì)Web服務(wù)器的回顯(echo 7)端口進(jìn)行洪泛式攻擊，因此他們的下一步任務(wù)就是阻止這一行為。首先，我們?cè)诼酚善魃隙陆毓簟？焖俚貫槁酚善髟O(shè)置了一個(gè)過濾規(guī)則。因?yàn)樵吹刂返膩碓春茈S機(jī)，他們認(rèn)為很難用限制某個(gè)地址或某一塊范圍的地址來阻止攻擊，因此決定禁止所有發(fā)給192.168.0.175的UDP包。這種做法會(huì)使服務(wù)器喪失某些功能，如DNS，但至少能讓W(xué)eb服務(wù)器正常工作。路由器最初的臨

11、時(shí)DOS訪問控制鏈表(ACL)access-list 121 remark Temporary block DoS attack on web server 192.168.0.175access-list 105 deny udp any host 192.168.0.175access-list 105 permit ip any any這樣的做法為Web服務(wù)器減輕了負(fù)擔(dān)，但攻擊仍能到達(dá)web，在一定程度上降低了網(wǎng)絡(luò)性能。 那么下一步工作是聯(lián)系上游帶寬提供商，想請(qǐng)他們暫時(shí)限制所有在他的網(wǎng)站端口7上的UDP入流量。這樣做會(huì)顯著降低網(wǎng)絡(luò)上到服務(wù)器的流量。三、針對(duì)DOS預(yù)防措施對(duì)于預(yù)防及緩解這種

12、帶寬相關(guān)的DoS攻擊并沒有什么靈丹妙藥。本質(zhì)上，這是一種“粗管子打敗細(xì)管子”的攻擊。攻擊者能“指使”更多帶寬，有時(shí)甚至是巨大的帶寬，就能擊潰帶寬不夠的網(wǎng)絡(luò)。在這種情況下，預(yù)防和緩解應(yīng)相輔相成。有許多方法可以使攻擊更難發(fā)生，或者在攻擊發(fā)生時(shí)減小其影響，具體如下：網(wǎng)絡(luò)入口過濾網(wǎng)絡(luò)服務(wù)提供商應(yīng)在他的下游網(wǎng)絡(luò)上設(shè)置入口過濾，以防止假信息包進(jìn)入網(wǎng)絡(luò)（而把它們留在Internet上）。這將防止攻擊者偽裝IP地址，從而易于追蹤。網(wǎng)絡(luò)流量過濾過濾掉網(wǎng)絡(luò)不需要的流量總是不會(huì)錯(cuò)的。這還能防止DoS攻擊，但為了達(dá)到效果，這些過濾器應(yīng)盡量設(shè)置在網(wǎng)絡(luò)上游。網(wǎng)絡(luò)流量速率限制一些路由器有流量速率的最高限制。這些限制條款將加

13、強(qiáng)帶寬策略，并允許一個(gè)給定類型的網(wǎng)絡(luò)流量匹配有限的帶寬。這一措施也能預(yù)先緩解正在進(jìn)行的攻擊，同時(shí)，這些過濾器應(yīng)盡量設(shè)置在網(wǎng)絡(luò)上游（盡可能靠近攻擊者）；入侵檢測(cè)系統(tǒng)和主機(jī)監(jiān)聽工具IDS能警告網(wǎng)絡(luò)管理員攻擊的發(fā)生時(shí)間，以及攻擊者使用的攻擊工具，這將能協(xié)助阻止攻擊。主機(jī)監(jiān)聽工具能警告管理員系統(tǒng)中是否出現(xiàn)DoS工具單點(diǎn)傳送RPF這是CEF用于檢查在接口收到的數(shù)據(jù)包的另一特性。如果源IP地址CEF表上不具有與指向接收數(shù)據(jù)包時(shí)的接口一致的路由的話，路由器就會(huì)丟掉這個(gè)數(shù)據(jù)包。丟棄RPF的妙處在于，它阻止了所有偽裝源IP地址的攻擊。針對(duì)DDOS預(yù)防措施看了上面的實(shí)際案例我們也了解到，許多DDoS攻擊都很難應(yīng)對(duì)

14、，因?yàn)楦闫茐牡闹鳈C(jī)所發(fā)出的請(qǐng)求都是完全合法、符合標(biāo)準(zhǔn)的，只是數(shù)量太大。借助恰當(dāng)?shù)腁CL，我們可以阻斷ICMP echo請(qǐng)求。但是，如果有自己的自治系統(tǒng)，就應(yīng)該允許從因特網(wǎng)上ping你。不能ping通會(huì)使ISP或技術(shù)支持團(tuán)隊(duì)（如果有的話）喪失某些故障排解能力。也可能碰到具有Cisco TCP截獲功能的SYN洪流：Router(config)#ip tcp intercept list 101Router(config)#ip tcp intercept max-incomplete high 3500Router(config)#ip tcp intercept max-incomplete l

15、ow3000Router(config)#ip tcp intercept one-minute high 2500Router(config)#ip tcp intercept one-minute low 2000Router(config)#access-list 101 permit any any如果能采用基于上下文的訪問控制(Context Based Access Control,CBAC)，則可以用其超時(shí)和閾值設(shè)置應(yīng)對(duì)SYN洪流和UDP垃圾洪流。例如：Router(config)# ip inspect tcp synwait-time 20Router(config)# ip

16、 inspect tcp idle-time 60Router(config)# ip inspect udp idle-time 20Router(config)# ip inspect max-incomplete high 400Router(config)# ip inspect max-incomplete low300Router(config)# ip inspect one-minute high600Router(config)# ip inspect one-minute low 500Router(config)# ip inspect tcp max-incomplet

17、e host 300 block-time 0警告：建議不要同時(shí)使用TCP截獲和CBAC防御功能，因?yàn)檫@可能導(dǎo)致路由器過載。打開Cisco快速轉(zhuǎn)發(fā)(Cisco Express Forwarding，CEF)功能可幫助路由器防御數(shù)據(jù)包為隨機(jī)源地址的洪流。可以對(duì)調(diào)度程序做些設(shè)置，避免在洪流的沖擊下路由器的CPU完全過載：Router(config)#scheduler allocate 3000 1000在做了這樣的配置之后，IOS會(huì)用3s的時(shí)間處理網(wǎng)絡(luò)接口中斷請(qǐng)求，之后用1s執(zhí)行其他任務(wù)。對(duì)于較早的系統(tǒng)，可能必須使用命令scheduler interval。四、總結(jié)無論是出于報(bào)復(fù)、敲詐勒索、發(fā)起更大規(guī)模攻擊,DoS或DDoS攻擊都是一種不容輕視的威脅。非同一般的DoS攻擊通常是某種不完整的漏洞利用使系統(tǒng)服務(wù)崩潰，而不是將控制權(quán)交給攻擊者。防范這種攻擊的辦法是及時(shí)打上來自廠商的補(bǔ)丁，或者對(duì)于Cisco系統(tǒng)，及時(shí)