mn1212
   
 
 不正常人類研究中心
|
分享:
▲
▼
DDos攻擊的原理及對策[轉貼]
---------------------------------------------
為什麼難以跟蹤?
Yahoo等網站被黑客利用DDoS技術攻擊後,很難跟蹤到攻擊的來源。為什麼?不是每個攻擊的數據包都有IP地址顯示出數據包的來源嗎?
這是因為入侵者使用了一種叫"偽IP(IP spoofing)"的技術,這也是當前Internet的一個缺陷。讓我來解釋一下:
當計算機之間相互通信時,會將信息打成"包",每一個包中都包含源IP地址和目的IP地址。當這樣的數據包在Internet 中傳遞的時候,首先會遇到最近的一個路由器。通常此路由器是此局域網與Internet的連接處,這種路由器叫邊界路由器。(當然,在大公司中的情況可能複雜得多,會由多個局域網構成)。當數據包到達邊界路由器後,再由此路由器傳遞到上一級核心路由器上,這個路由器可能位於主幹網上,連接著所有其它的核心路由器。數據包在路由器之間傳遞,直到目的地址為止。在每次傳遞時,源IP目的地址通常被路由器忽略,僅僅是保留在數據包中不作處理,路由器只關心數據的目的地址,就好像郵遞員只關心收件人地址一樣。但因為這樣,才產生了現在面臨的問題。
所有的DDoS攻擊,都使用偽IP。收到此數據包的第一個邊界路由器能夠很容易發現這個問題,因為它知道和它連接的網絡地址,以便將進來的數據包分發給局域網內的機器,因此它也能發現從它這出去的數據包是不是用了非局域網內的地址。可是,大多數的邊界路由器並不進行此項檢查。
而一旦裝有偽IP的數據包通過了第一個路由器,那麼以後,這個謊話永遠也不會有人發現了。因此說,每一個邊界路由器都對出去的數據包進行IP 地址的效驗,防止IP Spoofing是解決DDoS問題最根本的方案。
讓我們從被攻擊對象的角度來看看吧,當你發現自己的服務器出現問題的時候,正有成千上萬的數據包同時從世界各地的網點向你湧來,不久你會發現你的路由器崩潰了,接著會發現你的服務器已經不堪重負。你想看看到底出了什麼事,捕獲到其中的一個數據包,打開一看:上面除了把你的IP地址當作目的地址外,還有任意的一個IP地址作為源地址(這個地址也許根本就不存在)你都不知道這個數據包是從哪兒發給你的。用最底層的工具查看一下數據包硬件地址(MAC)吧,在數據包中只有上一級的路由器的硬件地址。
怎樣發現自己被攻擊
怎樣確定自己的網站真的遭受到DDoS的攻擊呢?通常來說,突然出現大量的數據包,服務器突然超負載運作,性能突然降低,這些都有可能是受攻擊的徵兆,但是也有可能是網站遇上了正常情況下的使用高峰。檢查一下來往的數據包,如果都是正常的服務連接和應答,那麼你的網站應該升級擴容,或是提高網絡服務器的性能,增加新的設備。但如果出現以下幾類情況,那麼你就可以斷定是遭到了DDoS的攻擊。
1. 網站的數據流量突然超出平常的十幾倍甚至上百倍,而且,同時到達網站的數據包分別來自大量不同的網站。
2. 大量到達的數據包(包括TCP包和UDP包)並不是網站服務連接的一部分,往往指向你機器任意的端口。比如:你的網站是Web服務器,而數據包卻直奔你的FTP端口和其它任意的端口,那麼你正在被攻擊。
順便提一句,有很多工具都可以用來分析數據包的結構,如TCPDUMP(數據包頭分析工具)是我最常用的。
被攻擊以後怎麼辦
如果發現自己的網站正遭受DDoS的攻擊,那麼應該立即採取以下措施:
首先是盡可能保護網站的服務器,主要是防火牆以外的服務器,因為它最容易遭到攻擊。盡可能關閉不必要的服務,減輕服務器的負擔;增加數據包過濾器,限制進出的數據流量。若實在不行,減少服務器可連接的通道數量,犧牲一些性能來保住服務器。如果DDoS的攻擊耗盡了你網站的帶寬資源的話,實際上已經沒有什麼事情可做了,認栽吧,你的服務器已經終止服務了。這時你應該加大防火牆的阻塞力度,限制通過防火牆的流量,以保護你防火牆內部的服務器免受傷害。
要想使你的網站恢復正常工作的話,只有一條路,那就是找到攻擊你網站的攻擊點機器和控制點機器,讓它們停止攻擊。記住,這些機器不是元兇,它們只不過是別人手中的武器,它們自己絲毫不知道自己在攻擊你,因此在找到這些機器以後,需要和這些機器的管理員合作,才能解決問題,合作是唯一的方法。
怎樣才能找到那些攻擊的機器呢?攻擊所用的數據包使用了偽IP,直接找是不可能的,但每個數據包中都有上一級路由器的物理地址,你能夠定位攻擊的數據包要通過的上一級路由器。然後通過你的ISP,或通過你的上一級部門,或是網絡中心與此路由器所在單位聯繫,請他們一起合作一步一步住上查,直到定位到進行攻擊的機器為止,再與此機器的單位一起合作,查出機器中所帶的攻擊程序,才能消除對你的攻擊。
可是,對網站進行攻擊的機器也許有成千上萬台,這樣一台一台地找,工作量太大,短時間內無法完成。要盡快恢復被攻擊網站的服務,最聰明的辦法是先找到一些控制點的機器,因為這些機器控制著下層大量的機器,如果這些機器被你查到,它們再也發不出攻擊的信號,那麼,攻擊點的機器所進行的攻擊也不會持續很久,群龍無首,剩下的不過是一些烏合之眾罷了。只有這樣,才能迅速緩解攻擊的強度。
除此之外,還應注意以下事項:
1. 很好地記錄下每一步分析的過程和結果。
2. 攻擊發生以後,最好先與你的網站供應商和你的上級部門聯繫,因為他們的規模比你大,有更多分析和解決問題的能力,能更快地發現攻擊的源頭,至少他們能在更寬的網絡管道上過濾數據包,減輕你網站的壓力。
使自己不要成為幫兇
如何使自己的機器不成為幫兇呢?只有使你的機器更加安全。從DDoS攻擊反映出來的問題來看,自己的主機如果不安全,不僅危害了自己,還危害了別人。
首先,應該經常修補系統的Bug和漏洞,經常查詢最新的安全信息,仔細地規劃安全方案,管理好自己的用戶。特別是管理好邊界路由器的入口和出口,對出口的數據包進行檢查,防止偽IP的出現,這是解決DDoS的關鍵。另外,也要注意不要濫用"直接廣播"等耗費資源較大的協議。保持系統的安全是一個長期的過程,也是必不可少的工作。
後話
雖然在Yahoo等著名網站遭到攻擊的時候,國內很少有站點同時被攻擊,但這並不能說明這是我國網絡的安全性很好。從發展的角度看,我國的Internet大有市場,不少企業相當有實力,發展速度極快,因此一定要把網絡安全放在非常重要的位置上。從DDoS攻擊的教訓看,Internet是個大家庭,無論誰得了病,其他人都會遭殃,因此,怎樣才能保持Internet總體上的安全性,這不僅僅是個技術問題,還可能是個社會問題。
|
