常見的DOS/DDOS攻擊可以分為兩大類:一類是針對(duì)系統(tǒng)漏洞的的攻擊如Ping of Death、TearDrop等,例如淚滴(TearDrop)攻擊利用在 TCP/IP協(xié)議棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)攻擊,IP 分段含有指示該分段所包含的是原包的哪一段信息,某些 TCP/IP協(xié)議棧(例如NT 在service pack 4 以前)在收到含有重疊偏移的偽造分段時(shí)將崩潰。另一類是帶寬占用型攻擊比較典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意義,利用TCP協(xié)議建連的特點(diǎn)完成攻擊。通常一次TCP連接的建立包括3個(gè)步驟,客戶端發(fā)送SYN包給服務(wù)器端,服務(wù)器分配一定的資源給這里連接并返回 SYN/ACK包,并等待連接建立的最后的ACK包,最后客戶端發(fā)送ACK報(bào)文,這樣兩者之間的連接建立起來,并可以通過連接傳送資料了。而SYN Flood攻擊的過程就是瘋狂發(fā)送SYN報(bào)文,而不返回ACK報(bào)文,服務(wù)器占用過多資源,而導(dǎo)致系統(tǒng)資源占用過多,沒有能力響應(yīng)別的操作,或者不能響應(yīng)正常的網(wǎng)絡(luò)請(qǐng)求。
從現(xiàn)在和未來看,防火墻都是抵御DOS/DDOS攻擊的重要組成部分,這是由防火墻在網(wǎng)絡(luò)拓?fù)涞奈恢煤桶缪莸慕巧珱Q定的,下面以港灣網(wǎng)絡(luò)有限公司基于NP架構(gòu)開發(fā)的SmartHammer系列防火墻說明其在各種網(wǎng)絡(luò)環(huán)境中對(duì)DOS/DDOS攻擊的有效防范。
1、基于狀態(tài)的資源控制,保護(hù)防火墻資源
港灣網(wǎng)絡(luò)SmartHammer防火墻支持IP Inspect功能,防火墻會(huì)對(duì)進(jìn)入防火墻的資料做嚴(yán)格的檢查,各種針對(duì)系統(tǒng)漏洞的攻擊包如Ping of Death、TearDrop等,會(huì)自動(dòng)被系統(tǒng)過濾掉,從而保護(hù)了網(wǎng)絡(luò)免受來自于外部的漏洞攻擊。對(duì)防火墻產(chǎn)品來說,資源是十分寶貴的,當(dāng)受到外來的DDOS攻擊時(shí),系統(tǒng)內(nèi)部的資源全都被攻擊流所占用,此時(shí)正常的資料報(bào)文肯定會(huì)受到影響。SmartHammer基于狀態(tài)的資源控制會(huì)自動(dòng)監(jiān)視網(wǎng)絡(luò)內(nèi)所有的連接狀態(tài),當(dāng)有連接長(zhǎng)時(shí)間未得到應(yīng)答就會(huì)處于半連接的狀態(tài),浪費(fèi)系統(tǒng)資源,當(dāng)系統(tǒng)內(nèi)的半連接超過正常的范圍時(shí),就有可能是判斷遭受到了攻擊。SmartHammer防火墻基于狀態(tài)的資源控制能有效控制此類情況。
控制連接、與半連的超時(shí)時(shí)間;必要時(shí),可以縮短半連接的超時(shí)時(shí)間,加速半連接的老化;
限制系統(tǒng)各個(gè)協(xié)議的最大連接值,保證協(xié)議的連接總數(shù)不超過系統(tǒng)限制,在達(dá)到連接上限后刪除新建的連接;
限制系統(tǒng)符合條件源/目的主機(jī)連接數(shù)量;
針對(duì)源或目的IP地址做流限制,Inspect可以限制每個(gè)IP地址的的資源,用戶在資源控制的范圍內(nèi)時(shí),使用并不會(huì)受到任何影響,但當(dāng)用戶感染蠕蟲病毒或發(fā)送攻擊報(bào)文等情況時(shí),針對(duì)流的資源控制可以限制每個(gè)IP地址發(fā)送的連接數(shù)目,超過限制的連接將被丟棄,這種做法可以有效抑制病毒產(chǎn)生攻擊的效果,避免其它正常使用的用戶受到影響。
單位時(shí)間內(nèi)如果穿過防火墻的“同類”數(shù)據(jù)流超過門限值后,可以設(shè)定對(duì)該種類的數(shù)據(jù)流進(jìn)行阻斷,對(duì)于防止IP、ICMP、UDP等非連接的flood攻擊具有很好的防御效果。
2、智能TCP代理有效防范SYN Flood
SYN Flood是DDOS攻擊中危害性最強(qiáng),也是最難防范的一種。這種攻擊利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)。SmartHammer系列防火墻能夠利用智能TCP代理技術(shù),判斷連接合法性,保護(hù)網(wǎng)絡(luò)資源,如下圖所示。
防火墻工作時(shí),并不會(huì)立即開啟TCP代理(以免影響速度),只有當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到系統(tǒng)設(shè)置的TCP代理啟動(dòng)警戒線時(shí),正常TCP Intercept會(huì)自動(dòng)啟動(dòng),并且當(dāng)系統(tǒng)的TCP半連接超過系統(tǒng)TCP Intercept高警戒線時(shí),系統(tǒng)進(jìn)入入侵模式,此時(shí)新連接會(huì)覆蓋舊的TCP連接;此后,系統(tǒng)全連接數(shù)增多,半連接數(shù)減小,當(dāng)半連接數(shù)降到入侵模式低警戒線時(shí),系統(tǒng)推出入侵模式。如果此時(shí)攻擊停止,系統(tǒng)半連接數(shù)量逐漸降到TCP代理啟動(dòng)警戒線以下,智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYN Flood攻擊,保證網(wǎng)絡(luò)資源安全。
3、利用NETFLOW對(duì)DOS攻擊和病毒監(jiān)測(cè)
網(wǎng)絡(luò)監(jiān)控在抵御DDOS攻擊中有重要的意義。SmartHammer防火墻支持NetFlow功能,它將網(wǎng)絡(luò)交換中的資料包識(shí)別為流的方式加以記錄,并封裝為UDP資料包發(fā)送到分析器上,這樣就為網(wǎng)絡(luò)管理、流量分析和監(jiān)控、入侵檢測(cè)等提供了豐富的資料來源。可以在不影響轉(zhuǎn)發(fā)性能的同時(shí)記錄、發(fā)送NetFlow信息,并能夠利用港灣網(wǎng)絡(luò)安全管理平臺(tái)對(duì)接收到的資料進(jìn)行分析、處理。
利用NetFlow監(jiān)視網(wǎng)絡(luò)流量。防火墻可以有效的抵御DDOS攻擊,但當(dāng)攻擊流數(shù)量超過一定程度,已經(jīng)完全占據(jù)了帶寬時(shí),雖然防火墻已經(jīng)通過安全策略把攻擊數(shù)據(jù)包丟棄,但由于攻擊數(shù)據(jù)包已經(jīng)占據(jù)了所有的網(wǎng)絡(luò)帶寬,正常的用戶訪問依然無法完成。此時(shí)網(wǎng)絡(luò)的流量是很大的,SmartHammer防火墻可以利用內(nèi)置的NetFlow統(tǒng)計(jì)分析功能,查找攻擊流的數(shù)據(jù)源,并上報(bào)上級(jí)ISP,對(duì)數(shù)據(jù)流分流或?qū)牒诙绰酚伞Mㄟ^在防火墻相關(guān)接口下開啟NetFlow采集功能,并設(shè)置NETFLOW輸出服務(wù)器地址,這樣就可以利用港灣安全管理平臺(tái)對(duì)接收的資料進(jìn)行分析處理。我們可以用此方法統(tǒng)計(jì)出每天流量的TOP TEN或者業(yè)務(wù)的TOP TEN等,以此做為標(biāo)準(zhǔn),當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常的時(shí)候,就可以利用NetFlow有效的查找、定位DDOS攻擊的來源。
利用NetFlow監(jiān)視蠕蟲病毒。防止蠕蟲病毒的攻擊,重要的是防止蠕蟲病毒的擴(kuò)散,只有盡早發(fā)現(xiàn),才可以迅速采取措施有效阻止病毒。各種蠕蟲病毒在感染了系統(tǒng)后,為了傳播自身,會(huì)主動(dòng)向外發(fā)送特定的數(shù)據(jù)包并掃描相關(guān)端口。利用這個(gè)特性,港灣網(wǎng)絡(luò)在安全管理平臺(tái)上建立相關(guān)的蠕蟲病毒查詢模板,定期查詢,當(dāng)發(fā)現(xiàn)了匹配的資料時(shí),可以分析該地址是否已經(jīng)感染病毒,然后采取相應(yīng)的措施。
值得指出的是,防火墻在網(wǎng)絡(luò)拓?fù)渲械奈恢脤?duì)抵御攻擊也有很大影響,通常盒式防火墻被設(shè)計(jì)放置在網(wǎng)絡(luò)的出口,這種情況下,雖然防火墻能夠抵御從外部產(chǎn)生的攻擊,但一旦網(wǎng)絡(luò)內(nèi)部的PC通過瀏覽網(wǎng)頁、收發(fā)Email、下載等方式感染蠕蟲病毒或有人從內(nèi)部發(fā)起的惡意攻擊時(shí),防火墻是沒有防護(hù)能力的。
港灣網(wǎng)絡(luò)的SmartHammer ESP-FW防火墻模塊可以解決此類問題,ESP-FW是港灣網(wǎng)絡(luò)BigHammer6800系列交換機(jī)的一個(gè)安全模塊,它繼承了SmartHammer盒式防火墻的相關(guān)安全特性內(nèi)置于交換機(jī)中,有效抵御來自內(nèi)部網(wǎng)絡(luò)的攻擊。在插入了防火墻模塊后,交換機(jī)可以選擇將相關(guān)VLAN加入防火墻中,受防火墻保護(hù)。以VLAN做為保護(hù)對(duì)象的另一大優(yōu)點(diǎn)是利于網(wǎng)絡(luò)擴(kuò)展,當(dāng)有一個(gè)新增部門出現(xiàn)時(shí),我們不需要再增加投資就可以使新增部門得到保護(hù),網(wǎng)絡(luò)部署異常靈活。這樣當(dāng)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)異常數(shù)據(jù)流時(shí),防火墻可以有效限制該數(shù)據(jù)的轉(zhuǎn)發(fā),保護(hù)其他VLAN不受影響。