又谈到DDOS了

又谈到DDOS了

DDOS现在好像电影明星一样流行，哎，我又遭遇了一次，不过是测试，呵呵
至于什么是DDOS，请www.google.com =_=！
流行的东西就是主流，所以测试的时候也不忘记搞搞，虽然自己很菜的 ：）

记得以前听朋友说，公司被人家DDOS了一下，但是在他脸上看不到难过的表情，反而十分兴奋，汗，他是很自豪地跟我说DDOS真牛！然后很多js就来了，买我们的硬件防火墙吧，专用抵抗DDOS云云......不过，RMB也够吓人的，哎，做个网管的确头疼阿。

至于DDOS已经被高手和大虾们挖掘的深不见底，呵呵，当然我就不能班门弄斧，谈谈自己的一点感受而已。

DDOS，当然是SYN FLOOD了，简单实用。在此前的测试中，单纯的使用了防火墙（硬件）效果不是很好，根本无法达到JS们吹捧的那么厉害（又上当了，哎），所以在测试中使用了防火墙和路由器结合使用的方式。在IDC的接口处使用了路由器（CISCO系列）。其实对于入侵只有防火墙的系统，利用IP地址欺骗就可以手到擒来，当然，这是基础中的基础，呵呵。

引用知识点：IP协议依据IP头中的目的地址项来发送IP数据包。如果目的地址是本地网络内的地址，该IP包就被直接发送到目的地。如果目的地址不在本地网络内，该IP包就会被发送到网关，再由网关决定将其发送到何处。

至于如何利用IP欺骗，高手们都研究得很透彻，我就顺手拿来用了，呵呵。伪装了的IP可以乔装成内网的可靠源，所以轻轻容易就躲避了防火墙的过滤器。所以此次测试，在路由器上，有效的使用了TCP截取和最喜欢的功能----封杀源抵制！！通过采用TCP截取验证请求的合法性来防止SYN FLOOD。其实下来的步骤，都是网管们经常做的事，截取从客户端到服务器都是实现同步匹配（ACL访问控制），设置了SYN数据包的流量速率，让那些入侵者们知难而退。其实就是做了很初级的半连接，让来自不可抵达的主机请求无法连接到服务器上，转发掉它......至于监视模式，那么来自无法抵达主机的连接九会因为配置时间内还没有得到许可而被终止掉。当然，我们还是设置了TCP截取。至于防火墙的设置，当然是尽其所能了，什么SYN FLOOD,UDP FLOOD全阻断 ：）！

最关键的是，使用了IDS，呵呵，这样的话虽然被攻击但是对于采取策略和修复维护系统都有很大帮助。如果对防御DDOS不是很明白的朋友，可以先去看看《应对DoS/DDoS攻击的十条“军规”》http://tech.ccidnet.com/pub/article/c1101_a208029_p1.html，好文.....

测试开始，当然是开始TCP（HTTP 80）连接，然后千篇一律的三次握手，大量消耗服务器的资源，而且通过伪造IP使得无法查询真实地址。（说明，为了测试，没有作负载均衡，呵呵，这样又让入侵者少了几个可以利用的肉鸡了），FLOOD开始后，通过页面分析测试了被攻击主机的配置以及抵抗性能，不知道是软件问题还是我们的配置的确高明（赫赫），目标主机的承受带宽和源连接承受居然可以到200/S，呵呵。

对于测试所使用的SYN攻击，面对我们的专门防御SYN防火墙就很难就作为了，更何况使用了路由结合。而且攻击仅仅完成伪造源，并且在找寻傀儡机的时候，由于撤销了负载均衡，所以也极大的增加了安全性。当然了，既然是测试，DDOS本身就不是少数人可以做到的，所以我得防御还算过得去，不过从整个过程来看，因为攻击的是HTTP得服务，所以那些SYN连接都是正常的连接，如果使用UDP和ICMP作为载体攻击，并且采用分片包，又故意等待分片包，导致路由器重组分片包的时候，又在大量的消耗资源.......

其实现在对于DDOS的讨论，都有了很权威的理论讲解，但是真正能够用事例做到的却很少很少，而且现在也不仅仅是使用硬件节点来防御，比如上面说的负载均衡，一旦使用的话还要考虑其他主机的更多的安全性和各种防护，特别现在基于网络的VPN等技术，也是影响安全的致命因素，所以做了此次测试后，写了下自己的感受，没有什么新观点，新技术，全是扯谈而已，呵呵.........