攻击从游戏论坛被攻击事件看ddos防范

从游戏论坛被攻击事件看DDoS防范〜教育资源库

据近日媒体报道知名的游戏讨论社群游戏基地与巴哈姆特分别遭到DDoS 分布式阻断服务攻击其攻击者甚至要求网站配合宣传否则将继续攻击行径令业者咋舌。

拥有众多用户的巴哈姆特与游戏基地网站自4月27日起分别传出因同时涌现大量联机要求导致首页主机当机事件其中巴哈姆特甚至收到来自网名为aster;在代理端上安装守护程序daemon□代理端主机上的守护程序在指定端口上监听来自主控端主机发送的攻击命令而主控端主机接受从攻击者计算机发送的指令。为了安全起见,黑客要傀儡机上安装ROOT KIT程序,使主控制软件和守护程序本身不被傀儡机的管理员发现。

第四个阶段是实际攻击阶段黑客命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包使得目标无法处理大量的数据或者频宽被占满。

到目前为止进行DDoS攻击的防御还是比较困难的。这种攻击的特点是它利用了TCP/IP协议的漏洞除非不用TCP/IP,才有可能完全抵御住DDoS攻击。

即使难于防范也不是完全没有办法我们必须在以下几个方面防范DDoS

1 、主机上防范

使用网络和主机扫描工具检测脆弱性DDoS能够成功的关键是在Inter上寻找到大量安全防御措施薄弱的计算机。因此经常使用安全检测工具检测网络和主机找出目前存在的安全隐患并给出相应的应对措施可以减少甚至避免主机被黑客利用成为傀儡机的可能性。安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件。安全扫描工具应该随着攻击方式的演变而升级。

采用NID S和嗅探器当系统收到未知地址的可疑流量时

NIDS Nets,网络入侵检测系统会发出报警信号提醒系统管理员及时采取应对措施如切断连接或反向跟踪等。NID S的安全策略或规则应该是最新的并包含当前最新攻击技术的特征描述。

嗅探器sniffer可用来在网络级识别网络攻击行为并成为NID S原始检测信息的。例如当黑客修改IP包的数据部分使其包含某些隐蔽信息嗅探器就可以探测到这些信息并将此信息提供给有关人员进行分析成为采取阻断、分流恶意流量或追查黑客的依据。

及时更新系统补丁现有的操作系统都有很多漏洞这很容易让黑

客找到后门所以及时下载和更新系统补丁也是抵御黑客很重要的一点。

2 、网络设备上防范

单机上防御主要是减少被作为傀儡机的可能在路由器上采取防范措施才是抵御DDoS的关键这里以Cisco路由器为例分析一下阻止攻击的方法

检查每一个经过路由器的数据包在路由器的CEF(Cisco ExpressForwarding)表里某数据包所到达网络接口的所有路由项中如果没有该数据包源IP地址的路由路由器将丢弃该数据包。例如路由器接收到一个源IP地址为a.b.c.d的数据包如果C EF路由表中没有为IP地址a.b.c.d提供任何路由(即反向数据包传输时所需的路由) 则路由器会丢弃它。

设置SYN数据包流量速率许多DDoS攻击采用S YN洪水攻击的形式所以有必要在路由器上限制S YN数据包流量速率。采用这种方法时必须在进行测量时确保网络的正常工作以避免出现较大误差。

[t ab l e=95%][tr][t d]

12下一页友情提醒 特别 rate-limit output access-gro叩15345000000 100000 100000 conform-actiontransmit exceed-action droprate-limit output access-group 152 1000000 100000 100000confor m・ actiontransmit exceed-action dropaccess-list 152 permit tcp any host eqaccess-list 153 permit tcp any host eqestablished[/td] [/tr] [/table]

在边界路由器上部署策略网络管理员可以在边界路由器上部署过滤策略如下

ISP端边界路由器应该只接受源地址属于客户端网络的通信而客户端网络则应该只接受源地址未被客户端网络过滤的通信。

ISP端边界路由器的访问控制列表:

access-list 190 permit ip客户端网络客户端网络掩码any access-list190 deny ip any any[log]interface内部网络接口网络接口号ip access-group 190 in

客户端边界路由器的访问控制列表access-list 187 deny ip客户端网络客户端网络掩码any access-list 187permit ip any anyaccess-list 188 permit ip客户端网络客户端网络掩码any access-list188 deny ip any anyinterface外部网络接口网络接口号ip access-group 187 inip access-group 188 out

使用CAR 限制 ICMP数据包流量速率CAR(C ontrol AccessRate),可以用来限制包的流量速率是实现QoS(Quality of Service,服务质量)一种工具。可以用它来限制ICMP包来防止DDoSorate-limit output access-group 2020 3000000 512000 786000conform・actiontransmit exceed-action dropaccess-list 2020 permit icmp any any echo-reply

用ACL过滤RFC 1918中列出的所有地址ACL(Acess Control List,访问控制列表) 是路由器过滤特定目标地址、源地址、协议的包的工具可以用它来过滤掉RFC 1918中列出的所有地址即私有IP地址

(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 。ip access-group 101 inaccess-list 101 deny ip 10.0.0.00.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any

搜集证据可以为路itl器建立log server,建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为tcpdump・ i interface ・s 1500 ・w capture_file

snoop-d interface-o capture_file -s 1500上一页12友情提醒 特别!