在AIX上运行的TCP网络服务和子系统可以通过简单的管理调整自动透明地利用这种强大的DoS缓解技术。 此新功能通过利用集中式管理和基于防火墙的自定义,提供了一种简化的方法来提高网络安全性。
除了提供有效的服务级别和系统级别的TCP DoS缓解措施之外,IBM AIX TCP Traffic Regulation还提供了跨源Internet协议地址发起连接的系统级TCP连接资源多样性。
由于世界各地的政府,银行,大学,医院和企业都广泛采用Internet技术,因此我们的社会已经转变为依靠网络服务来进行日常操作。 至关重要的是,我们社会的网络基础架构必须能够抵抗对此可用性的主动攻击。
IBM AIX TCP Traffic Regulation为网络服务攻击弹性提供了一种低成本解决方案。 在操作系统级别确保可用性,从而可以透明地缓解主动和被动网络拒绝服务攻击。 为了激活保护,管理员定义了防火墙配置文件并对其进行了自定义,以保护处理关键服务的特定TCP端口。 这些集中的自定义防火墙配置文件为安全管理员在定制网络安全解决方案时提供了更大的功能和灵活性。
操作系统架构
IBM AIX TCP Traffic Regulation在AIX操作系统中提供了一个新的体系结构层。 这个新层的目标有两个:
- 提供用于定义自定义TCP防火墙配置文件的集中管理框架。
- 根据当前的防火墙策略,主动管理传入的TCP套接字连接和资源多样性。
图1. IBM AIX TCP流量监管(TR)架构
防火墙策略本身受系统管理员添加,删除或修改的配置文件定义的约束。 每个配置文件包含三个元素:
- 需要保护的TCP端口或端口范围。
- 此配置文件的TCP端口允许的最大传入套接字连接数。
- 分集值(用于调整最大传入套接字连接池中共享TCP资源的整体分集的数值)。
此缓解系统透明地工作,无需更改现有应用程序。 TCP TR在内核级别主动管理传入的套接字连接请求,从而使缓解措施透明地工作-无需更改现有应用程序(请参见图1 )。 因此,将自动保护在AIX上运行并在这些防火墙配置文件覆盖的TCP端口上运行的任何网络服务软件免受拒绝服务攻击。
防火墙配置文件是使用tcptr
命令行实用工具定义的。 该实用程序提供了交互式管理和TCP TR策略的脚本操作。 可以使用tcptr_enable
网络选项来打开或关闭整个TCP TR系统。 例如,要激活子系统,请使用以下no
命令:
no -p -o tcptr_enable=1
tcptr
命令将传入TCP连接的最大限制分配给给定的网络端口或端口范围。 管理用户通过添加或删除将由远程访问AIX TCP层的传入套接字请求共同共享的连接资源池,来控制与TCP TR相关的系统资源。
可选地,可以指定分集可调参数,以增加对资源共享策略的控制。
一旦生效,这些TCP TR配置文件将成为管理连接的活动策略。 操作系统自动确保尝试通过TCP连接到特定端口的多个远程IP地址之间共享资源。
攻击概述
网络服务通常与可用于TCP通讯的可用操作系统资源无关。 大多数TCP服务只是在接收到新的套接字连接请求后才尝试接受它们。 如果不加限制,则这些网络服务不断产生的TCP连接请求和随后的TCP资源消耗最终将耗尽所有可用的系统资源。
图2. TCP资源耗尽的拓扑
恶意攻击者可以利用此行为,并通过Internet对易受攻击的网络服务发起远程拒绝服务攻击。 通过与易受攻击的系统建立数千个套接字连接请求,攻击最终使服务不可用。 发生这种情况的原因可能是系统本身瘫痪,或者是漏洞服务的套接字可用性最大化。 一旦系统或服务不可用,就会阻止合法客户端使用受攻击系统托管的网络服务(请参阅 图2)。
TCP TR实用程序
TCP TR实用程序配置或显示TCP TR策略信息,以控制端口的最大传入套接字连接。 该实用程序的语法如下:
tcptr -add <start port> <end port> <max connection> [divisor] tcptr -delete <start port> <end port> tcptr -show
哪里:
-
-add
将新的TCP TR策略添加到系统中。 您应该使用此标志指定当前策略,开始端口和结束端口的最大允许连接数。 如果未指定端口范围,则起始端口和结束端口可以是同一端口。 (可选)您可以指定除数,以允许可用TCP连接池上的资源共享更加多样化。 -
-delete
删除为系统定义的现有TCP TR策略。 该标志要求用户指定当前策略,起始端口和终止端口的最大允许连接数(如果未指定端口范围,则可以与起始端口相同)。 -
-show
显示系统上定义的所有现有TCP TR策略。 在使用-delete标志之前,您可以使用-show标志查看活动策略。
参数为:
&lt;最大连接数&gt; | 指定给定TR策略的最大传入TCP连接数。 |
---|---|
&lt;启动端口&gt; | 指定当前TR策略的起始端口。 |
&lt;结束端口&gt; | 指定当前TR策略的结束端口。 如果端口是一个范围,则指定的值必须大于起始端口。 如果TR策略是针对单个端口的,则指定的值必须等于为起始端口指定的值。 |
&lt;除数&gt; | 指定一个除数,以将可用的传入TCP连接数与IP消耗的传入的TCP连接数进行比较,并对应于整个可用连接数除以2的幂。 除数是除法中使用的二的幂。 此参数是可选的,如果未指定,则默认值为1。 在这种情况下,将使用可用连接数的一半。 |
例子
要添加仅涵盖TCP端口23的TCP流量监管策略,并设置最大传入连接池256和可用连接因子为3,请输入以下命令:
# tcptr -add 23 23 256 3
要添加涵盖从5000到6000的TCP端口的TCP流量监管策略,并设置最大传入连接池5000和可用连接因子为2,请输入以下命令:
# tcptr -add 5000 6000 5000 2
要显示为系统设置的TCP流量监管策略,请输入以下命令:
# tcptr -show
要删除覆盖范围在5000到6000之间的TCP端口的TCP流量监管策略,请输入以下命令:
# tcptr -delete 5000 6000
摘要
IBM AIX TCP Traffic Regulation为网络服务攻击弹性提供了一种低成本解决方案。 在操作系统级别确保可用性,从而可以透明地缓解主动和/或被动网络拒绝服务攻击。 需要安全性和可用性的网络服务应该从这种强大的操作系统技术中受益。
翻译自: https://www.ibm.com/developerworks/aix/library/au-tcp_traffic_reg/index.html