分布式拒绝服务攻击的防御

分布式拒绝服务攻击的监测

• 许多人或工具在监测分布式拒绝服务攻击时常犯的错误是只搜索那些DDos工具的缺省特征字符串，缺省端口，缺省口令等。
• 人们必须着重观察分析DDos网络通讯的普遍特征，不管是明显的，还是模糊的。
• 使用网络入侵监测系统 (NIDS),根据异常现象在网络入侵监测系统上建立相应规则，能够较准确地监测出DDos攻击。
• 实际上，DDos的唯一检测方式是：异常的网络交通流量。
• 下面将分别介绍5种异常模式及相应的解决办法。

异常现象1

• 大量的DNS PTR查询请求

1. 根据分析，攻击者在进行DDos攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，也就是说在DDos攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。

异常现象2

• 超出网络正常工作时的极限通讯流量

1. 当DDos攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDos攻击的通讯。
2. 因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。

异常现象3

1. 特大型的ICMP和UDP数据包。

1. 正常的UDP会话一般都使用小的UDP包，通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。
2. 那些明显大得多的数据包很有可能就是控制信息通讯用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通讯，DDos服务器的位置就无所遁形了，因为控制信息通讯数据包的目标地址是没有伪造的。

异常现象4

• 不属于正常连接通讯的TCP和UDP数据包。

1. 隐蔽的DDos工具随机使用多种通讯协议通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。

异常现象5

• 数据段内容只包含文字和数字字符（例如，没有空格，标点和控制字符）的数据包。

1. 这往往是数据经过BASE64编码后而只会含有BASE64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K(及其变种)的特征模式是在数据段中有一串A字符(AAA….),这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码，对于使用了加密算法数据包，这个连续的字符就是”\0″

分布式拒绝服务攻击的防御

• 虽然还没有很好的措施来彻底解决分布式拒绝服务攻击问题，但下面有一些措施能降低系统受到拒绝服务攻击的危害：

1. 优化网络和路由结构
2. 保护网络及主机系统安全
3. 安装入侵检测系统
4. 与ISP服务商合作
5. 使用扫描工具

优化网络和路由结构

• 理想情况下，提供的服务不仅要有多条与Internet的连接，而且最好有不同地理区域的连接。这样服务器IP地址越分散，攻击者定位目标的难度就越大，当问题发生时，所有的通信都可以被重新路由，可以大大降低其影响。

保护网络及主机系统安全

• 本质上，如果攻击者无法获得网络的访问权，无法攻克一台主机，他就无法在系统上安装DDos服务器。要使一个系统成为服务器，首先要以某种手段攻克它。
• 如果周边环境不会被突破，系统能够保持安全，就不会被用于攻击其他系统。
• 对所有可能成为目标的主机都进行优化，禁止不必要的服务，可以减少被攻击的机会。要注意保护主机系统的安全，避免其被攻击者用作傀儡主机，充当DDos的间接受害者。

安装入侵检测系统

• 能否尽可能快地探测到攻击是非常关键的。以DDos的角度来看，单位越快探测到系统被入侵或服务器被用来进行攻击，该单位的网络状况越好。
• 借助于入侵检测系统 (IDS)可以完成这一工作。
• 有两种常用的IDS:基于网络的和基于主机的。

1. 基于网络的IDS是网络上被动的设备，负责嗅探通过给定网段的所有数据包。通过查看数据包，查找显示可能的攻击的签名并对可疑行为发出警报。
2. 基于主机的IDS运行在一台独立的服务器上，并经常查看审计日志以查找可能的攻击信息。

• 正如有两种类型IDS一样，也有两种构建IDS的技术：样式匹配和不规则探测。

1. 样式匹配技术有一个关于已知攻击特征的数据库。当它找到与给定样式相同的数据包时就发出警报。
2. 不规则探测系统决定什么是网络的正常通信，任何不符合这一规则的通信都被标为可疑的。

• 可以想象，基于不规则探测的系统实现起来十分困难，因为对于一个公司正常的通信对于另一个公司则是不正常的。因此大多数入侵检测系统都是基于样式匹配技术的。

与ISP合作

• 这一点非常重要。DDos攻击非常重要的一个特点是洪水般的网络流量，耗用了大量带宽，单凭自己管理网络，是无法对付这些攻击的。当受到攻击时，与ISP协商，确定发起攻击的IP地址，请求ISP实施正确的路由访问控制策略，封锁来自敌意IP地址的数据包，减轻网络负担，防止网络拥塞，保护带宽和内部网络。

使用扫描工具

• 由于许多公司网络安全措施都进行得很慢，它们的网络可能已经被攻克并用作了DDos服务器，因此要扫描这些网络查找DDos服务器并尽可能的把它们从系统中关闭删除。
• 一些工具可以做到这些，而且大多数商业的漏洞扫描程序都能检测到系统是否被用作DDos服务器。

拒绝服务监测系统的设计

• 利用总结出的若干拒绝服务攻击数据包的特征，可以进行拒绝服务监控系统的设计，建立网络通信中异常现象的模式库，把实时采集网络数据包与模式库进行模式匹配，得到监控结果。
• 下页为监控系统的结构图。

• 上图中，采集器用来收集网络通信信息，并向分析单元提供分析所需的数据，同时还能接收分析单元的指令，进一步采集分析单元所需的特定信息。
• 分析单元可以采用人工神经元网络对网络采集信息和模式库进行模式匹配得出分析报告，同时定期进行自学习，更新模式库，及时跟踪并反映拒绝服务攻击模式的最新动态。
• 无论是Dos还是DDos攻击，其目的是使受害主机或网络无法及时接收并处理外界请求，表现为：

1. 制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。
2. 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。
3. 利用被攻击主机所提供服务程序或传输协议的本身的实现缺陷，反复发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态。

• Dos/DDos攻击是很有效的攻击方式，必须注意防范这种攻击。