DoS***的趋势以及其相关防御策略
一、阻断服务(Denial of Service)
在探讨 DDoS 之前我们需要先对 DoS 有所了解,DoS泛指***试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话。而以网络来说,由于频宽、网络设备和服务器主机 等处理的能力都有其限制,因此当***产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务。例如***试图用大量封包***一般频宽相 对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢。
DoS ***并非***主机也不能窃取机器上的资料,但是一样会造成***目标的伤害,如果***目标是个电子商务网站就会造成顾客无法到该网站购物。
二、分布式阻断服务(Distributed Denial of Service)
DDoS 则是 DoS 的特例,***利用多台机器同时***来达到妨碍正常使用者使用服务的目的。***预先***大量主机以后,在被害主机上安装 DDoS ***程控被害主机对***目标展开***;有些 DDoS 工具采用多层次的架构,甚至可以一次控制高达上千台电脑展开***,利用这样的方式可以有效产生极大的网络流量以瘫痪***目标。早在2000年就发生过针对 Yahoo, eBay, Buy.com 和 CNN 等知名网站的DDoS***,阻止了合法的网络流量长达数个小时。
DDoS ***程序的分类,可以依照几种方式分类,以自动化程度可分为手动、半自动与自动***。早期的 DDoS ***程序多半属于手动***,***手动寻找可***的计算机***并植入***程序,再下指令***目标;半自动的***程序则多半具有 handler 控制***用的agent 程序,***散布自动化的***工具植入 agent 程序,然后使用 handler 控制所有agents 对目标发动 DDoS ***;自动***更进一步自动化整个***程序,将***的目标、时间和方式都事先写在***程序里,***散布***程序以后就会自动扫描可***的主机植入 agent 并在预定的时间对指定目标发起***,例如近期的 W32/Blaster 网虫即属于此类。
若以***的弱点分类则可以分 为协议***和暴力***两种。协议***是指***利用某个网络协议设计上的弱点或执行上的 bug 消耗大量资源,例如 TCP SYN ***、对认证伺服器的***等;暴力***则是***使用大量正常的联机消耗被害目标的资源,由于***会准备多台主机发起 DDoS ***目标,只要单位时间内***方发出的网络流量高于目标所能处理速度,即可消耗掉目标的处理能力而使得正常的使用者无法使用服务。
若 以***频率区分则可分成持续***和变动频率***两种。持续***是当***指令下达以后,***主机就全力持续***,因此会瞬间产生大量流量阻断目标的服务,也 因此很容易被侦测到;变动频率***则较为谨慎,***的频率可能从慢速渐渐增加或频率高低变化,利用这样的方式延缓***被侦测的时间。
三、从 DDoS ***下存活
那么当遭受 DDoS ***的时候要如何设法存活并继续提供正常服务呢?由先前的介绍可以知道,若******规模远高于你的网络频宽、设备或主机所能处理的能力,其实是很难以抵抗***的,但仍然有一些方法可以减轻***所造成的影响。
首 先是调查***来源,由于***经由***机器进行***,因此你可能无法查出***是由哪里发动***,我们必须一步一步从被***目标往回推,先调查***是由管辖网 络的哪些边界路由器进来,上一步是外界哪台路由器,连络这些路由器的管理者(可能是某个ISP或电信公司)并寻求他们协助阻挡或查出***来源,而在他们处 理之前可以进行哪些处理呢?
如果被***的目标只是单一 ip,那么试图改个 ip 并更改其 DNS mapping 或许可以避开***,这是最快速而有效的方式;但是***的目的就是要使正常使用者无法使用服务,更改ip的方式虽然避开***,以另一角度来看***也达到了他 的目的。此外,如果***的手法较为单纯,可以由产生的流量找出其规则,那么利用路由器的 ACLs(Access Control Lists)或防火墙规则也许可以阻挡,若可以发现流量都是来自同一来源或核心路由器,可以考虑暂时将那边的流量挡起来,当然这还是有可能将正常和异常的 流量都一并挡掉,但至少其它来源可以得到正常的服务,这有时是不得已的牺牲。如果行有余力,则可以考虑增加机器或频宽作为被***的缓冲之用,但这只是治标 不治本的做法。最重要的是必须立即着手调查并与相关单位协调解决。
四、预防DDoS***
DDoS 必须透过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防 毒和防火墙软件、随时注意系统安全,避免被***和自动化的 DDoS 程序植入***程序,以免成为******的帮凶。
有些 DDoS 会伪装***来源,假造封包的来源 ip,使人难以追查,这个部份可以透过设定路由器的过滤功能来防止,只要网域内的封包来源是其网域以外的 ip,就应该直接丢弃此封包而不应该再送出去,如果网管设备都支持这项功能,网管人员都能够正确设定过滤掉假造的封包,也可以大量减少调查和追踪的时间。
网域之间保持联络是很重要的,如此才能有效早期预警和防治 DDoS ***,有些 ISP会在一些网络节点上放置感应器侦测突然的巨大流量,以提早警告和隔绝 DDoS 的受害区域,降低顾客的受害程度。
在探讨 DDoS 之前我们需要先对 DoS 有所了解,DoS泛指***试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话。而以网络来说,由于频宽、网络设备和服务器主机 等处理的能力都有其限制,因此当***产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务。例如***试图用大量封包***一般频宽相 对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢。
DoS ***并非***主机也不能窃取机器上的资料,但是一样会造成***目标的伤害,如果***目标是个电子商务网站就会造成顾客无法到该网站购物。
二、分布式阻断服务(Distributed Denial of Service)
DDoS 则是 DoS 的特例,***利用多台机器同时***来达到妨碍正常使用者使用服务的目的。***预先***大量主机以后,在被害主机上安装 DDoS ***程控被害主机对***目标展开***;有些 DDoS 工具采用多层次的架构,甚至可以一次控制高达上千台电脑展开***,利用这样的方式可以有效产生极大的网络流量以瘫痪***目标。早在2000年就发生过针对 Yahoo, eBay, Buy.com 和 CNN 等知名网站的DDoS***,阻止了合法的网络流量长达数个小时。
DDoS ***程序的分类,可以依照几种方式分类,以自动化程度可分为手动、半自动与自动***。早期的 DDoS ***程序多半属于手动***,***手动寻找可***的计算机***并植入***程序,再下指令***目标;半自动的***程序则多半具有 handler 控制***用的agent 程序,***散布自动化的***工具植入 agent 程序,然后使用 handler 控制所有agents 对目标发动 DDoS ***;自动***更进一步自动化整个***程序,将***的目标、时间和方式都事先写在***程序里,***散布***程序以后就会自动扫描可***的主机植入 agent 并在预定的时间对指定目标发起***,例如近期的 W32/Blaster 网虫即属于此类。
若以***的弱点分类则可以分 为协议***和暴力***两种。协议***是指***利用某个网络协议设计上的弱点或执行上的 bug 消耗大量资源,例如 TCP SYN ***、对认证伺服器的***等;暴力***则是***使用大量正常的联机消耗被害目标的资源,由于***会准备多台主机发起 DDoS ***目标,只要单位时间内***方发出的网络流量高于目标所能处理速度,即可消耗掉目标的处理能力而使得正常的使用者无法使用服务。
若 以***频率区分则可分成持续***和变动频率***两种。持续***是当***指令下达以后,***主机就全力持续***,因此会瞬间产生大量流量阻断目标的服务,也 因此很容易被侦测到;变动频率***则较为谨慎,***的频率可能从慢速渐渐增加或频率高低变化,利用这样的方式延缓***被侦测的时间。
三、从 DDoS ***下存活
那么当遭受 DDoS ***的时候要如何设法存活并继续提供正常服务呢?由先前的介绍可以知道,若******规模远高于你的网络频宽、设备或主机所能处理的能力,其实是很难以抵抗***的,但仍然有一些方法可以减轻***所造成的影响。
首 先是调查***来源,由于***经由***机器进行***,因此你可能无法查出***是由哪里发动***,我们必须一步一步从被***目标往回推,先调查***是由管辖网 络的哪些边界路由器进来,上一步是外界哪台路由器,连络这些路由器的管理者(可能是某个ISP或电信公司)并寻求他们协助阻挡或查出***来源,而在他们处 理之前可以进行哪些处理呢?
如果被***的目标只是单一 ip,那么试图改个 ip 并更改其 DNS mapping 或许可以避开***,这是最快速而有效的方式;但是***的目的就是要使正常使用者无法使用服务,更改ip的方式虽然避开***,以另一角度来看***也达到了他 的目的。此外,如果***的手法较为单纯,可以由产生的流量找出其规则,那么利用路由器的 ACLs(Access Control Lists)或防火墙规则也许可以阻挡,若可以发现流量都是来自同一来源或核心路由器,可以考虑暂时将那边的流量挡起来,当然这还是有可能将正常和异常的 流量都一并挡掉,但至少其它来源可以得到正常的服务,这有时是不得已的牺牲。如果行有余力,则可以考虑增加机器或频宽作为被***的缓冲之用,但这只是治标 不治本的做法。最重要的是必须立即着手调查并与相关单位协调解决。
四、预防DDoS***
DDoS 必须透过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防 毒和防火墙软件、随时注意系统安全,避免被***和自动化的 DDoS 程序植入***程序,以免成为******的帮凶。
有些 DDoS 会伪装***来源,假造封包的来源 ip,使人难以追查,这个部份可以透过设定路由器的过滤功能来防止,只要网域内的封包来源是其网域以外的 ip,就应该直接丢弃此封包而不应该再送出去,如果网管设备都支持这项功能,网管人员都能够正确设定过滤掉假造的封包,也可以大量减少调查和追踪的时间。
网域之间保持联络是很重要的,如此才能有效早期预警和防治 DDoS ***,有些 ISP会在一些网络节点上放置感应器侦测突然的巨大流量,以提早警告和隔绝 DDoS 的受害区域,降低顾客的受害程度。
转载于:https://blog.51cto.com/star2fire/19603
1984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
