常見的DOS/DDOS攻擊可以分為兩大類:一類是針對系統漏洞的的攻擊如Ping of Death、TearDrop等,例如淚滴(TearDrop)攻擊利用在 TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的信息來實現攻擊,IP 分段含有指示該分段所包含的是原包的哪一段信息,某些 TCP/IP協議棧(例如NT 在service pack 4 以前)在收到含有重疊偏移的偽造分段時將崩潰。另一類是帶寬占用型攻擊比較典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意義,利用TCP協議建連的特點完成攻擊。通常一次TCP連接的建立包括3個步驟,客戶端發送SYN包給服務器端,服務器分配一定的資源給這里連接并返回 SYN/ACK包,并等待連接建立的最后的ACK包,最后客戶端發送ACK報文,這樣兩者之間的連接建立起來,并可以通過連接傳送資料了。而SYN Flood攻擊的過程就是瘋狂發送SYN報文,而不返回ACK報文,服務器占用過多資源,而導致系統資源占用過多,沒有能力響應別的操作,或者不能響應正常的網絡請求。
從現在和未來看,防火墻都是抵御DOS/DDOS攻擊的重要組成部分,這是由防火墻在網絡拓撲的位置和扮演的角色決定的,下面以港灣網絡有限公司基于NP架構開發的SmartHammer系列防火墻說明其在各種網絡環境中對DOS/DDOS攻擊的有效防范。
1、基于狀態的資源控制,保護防火墻資源
港灣網絡SmartHammer防火墻支持IP Inspect功能,防火墻會對進入防火墻的資料做嚴格的檢查,各種針對系統漏洞的攻擊包如Ping of Death、TearDrop等,會自動被系統過濾掉,從而保護了網絡免受來自于外部的漏洞攻擊。對防火墻產品來說,資源是十分寶貴的,當受到外來的DDOS攻擊時,系統內部的資源全都被攻擊流所占用,此時正常的資料報文肯定會受到影響。SmartHammer基于狀態的資源控制會自動監視網絡內所有的連接狀態,當有連接長時間未得到應答就會處于半連接的狀態,浪費系統資源,當系統內的半連接超過正常的范圍時,就有可能是判斷遭受到了攻擊。SmartHammer防火墻基于狀態的資源控制能有效控制此類情況。
控制連接、與半連的超時時間;必要時,可以縮短半連接的超時時間,加速半連接的老化;
限制系統各個協議的最大連接值,保證協議的連接總數不超過系統限制,在達到連接上限后刪除新建的連接;
限制系統符合條件源/目的主機連接數量;
針對源或目的IP地址做流限制,Inspect可以限制每個IP地址的的資源,用戶在資源控制的范圍內時,使用并不會受到任何影響,但當用戶感染蠕蟲病毒或發送攻擊報文等情況時,針對流的資源控制可以限制每個IP地址發送的連接數目,超過限制的連接將被丟棄,這種做法可以有效抑制病毒產生攻擊的效果,避免其它正常使用的用戶受到影響。
單位時間內如果穿過防火墻的“同類”數據流超過門限值后,可以設定對該種類的數據流進行阻斷,對于防止IP、ICMP、UDP等非連接的flood攻擊具有很好的防御效果。
2、智能TCP代理有效防范SYN Flood
SYN Flood是DDOS攻擊中危害性最強,也是最難防范的一種。這種攻擊利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)。SmartHammer系列防火墻能夠利用智能TCP代理技術,判斷連接合法性,保護網絡資源,如下圖所示。
防火墻工作時,并不會立即開啟TCP代理(以免影響速度),只有當網絡中的TCP半連接達到系統設置的TCP代理啟動警戒線時,正常TCP Intercept會自動啟動,并且當系統的TCP半連接超過系統TCP Intercept高警戒線時,系統進入入侵模式,此時新連接會覆蓋舊的TCP連接;此后,系統全連接數增多,半連接數減小,當半連接數降到入侵模式低警戒線時,系統推出入侵模式。如果此時攻擊停止,系統半連接數量逐漸降到TCP代理啟動警戒線以下,智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYN Flood攻擊,保證網絡資源安全。
3、利用NETFLOW對DOS攻擊和病毒監測
網絡監控在抵御DDOS攻擊中有重要的意義。SmartHammer防火墻支持NetFlow功能,它將網絡交換中的資料包識別為流的方式加以記錄,并封裝為UDP資料包發送到分析器上,這樣就為網絡管理、流量分析和監控、入侵檢測等提供了豐富的資料來源。可以在不影響轉發性能的同時記錄、發送NetFlow信息,并能夠利用港灣網絡安全管理平臺對接收到的資料進行分析、處理。
利用NetFlow監視網絡流量。防火墻可以有效的抵御DDOS攻擊,但當攻擊流數量超過一定程度,已經完全占據了帶寬時,雖然防火墻已經通過安全策略把攻擊數據包丟棄,但由于攻擊數據包已經占據了所有的網絡帶寬,正常的用戶訪問依然無法完成。此時網絡的流量是很大的,SmartHammer防火墻可以利用內置的NetFlow統計分析功能,查找攻擊流的數據源,并上報上級ISP,對數據流分流或導入黑洞路由。通過在防火墻相關接口下開啟NetFlow采集功能,并設置NETFLOW輸出服務器地址,這樣就可以利用港灣安全管理平臺對接收的資料進行分析處理。我們可以用此方法統計出每天流量的TOP TEN或者業務的TOP TEN等,以此做為標準,當發現網絡流量異常的時候,就可以利用NetFlow有效的查找、定位DDOS攻擊的來源。
利用NetFlow監視蠕蟲病毒。防止蠕蟲病毒的攻擊,重要的是防止蠕蟲病毒的擴散,只有盡早發現,才可以迅速采取措施有效阻止病毒。各種蠕蟲病毒在感染了系統后,為了傳播自身,會主動向外發送特定的數據包并掃描相關端口。利用這個特性,港灣網絡在安全管理平臺上建立相關的蠕蟲病毒查詢模板,定期查詢,當發現了匹配的資料時,可以分析該地址是否已經感染病毒,然后采取相應的措施。
值得指出的是,防火墻在網絡拓撲中的位置對抵御攻擊也有很大影響,通常盒式防火墻被設計放置在網絡的出口,這種情況下,雖然防火墻能夠抵御從外部產生的攻擊,但一旦網絡內部的PC通過瀏覽網頁、收發Email、下載等方式感染蠕蟲病毒或有人從內部發起的惡意攻擊時,防火墻是沒有防護能力的。
港灣網絡的SmartHammer ESP-FW防火墻模塊可以解決此類問題,ESP-FW是港灣網絡BigHammer6800系列交換機的一個安全模塊,它繼承了SmartHammer盒式防火墻的相關安全特性內置于交換機中,有效抵御來自內部網絡的攻擊。在插入了防火墻模塊后,交換機可以選擇將相關VLAN加入防火墻中,受防火墻保護。以VLAN做為保護對象的另一大優點是利于網絡擴展,當有一個新增部門出現時,我們不需要再增加投資就可以使新增部門得到保護,網絡部署異常靈活。這樣當內部網絡中出現異常數據流時,防火墻可以有效限制該數據的轉發,保護其他VLAN不受影響。