如何应对日益严重的拒绝服务攻击.doc

如何应对日益严重的拒绝服务攻击 　　目前互联网的骨干带宽资源已经发展到2.5G和10G等大带宽线路，而且用户的接入带宽也逐渐增加。伴随着互联网的发展网络拒绝服务攻击呈现逐渐上升的趋势，攻击类型由以往的针对某一应用的拒绝服务攻击，发展成为带宽占用的攻击，因攻击流量较大，峰值带宽占用可能达到几个G，这种拒绝服务攻击对于运营商的网络造成很大的影响，严重影响网络的正常运行。 　　一、目前主要DDOS攻击类型 　　DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把运营商的骨干网的带宽资源占满，导致合法用户无法正常访问互联网的网络资源。 　　具体攻击说明如下： 　　二、针对带宽占用型攻击运营商可以采取的策略 　　当前大带宽，大流量网络攻击主要采用UDP方式进行攻击，因UDP无连接的特点，使得攻击的效率非常高，可以在短时间内产生很高的网络流量。同时攻击者主要利用网吧内的机器进行攻击，而网吧的带宽普遍较高。这就导致目前的网络攻击越发严重，攻击的带宽也逐渐增长，可以在短时间内将运营商的中级带宽占满，进而影响正常用户的访问。面对大带宽的网络攻击，如果部署抗DDOS攻击设备，一方面要增加巨大的投资，同时由于攻击带宽的日益增加，很难从根本上对攻击加以克服。现就笔者在日常的网络维护中对DDOS攻击的处理经验做一简单介绍，对此类攻击的处理主要包括以下三个步骤： 　　1.通过流量监控系统发现网络中出现突发流量增加，这表明网络中存在异常攻击行为，从而可以利用日常流量监控系统发现DDOS攻击。 　　2.通过netflow 收集网络数据信息，针对发生突发流量的时间段的流量数据进行流量应用分析，分析产生最大流量的IP地址、数据包大小、协议类型及应用端口等攻击行为信息。 　　3.在网络设备上对特定的IP地址或应用端口进行限速，可以有效避免攻击对正常流量产生的影响。 　　三、netflow简介及netflow数据采集分析实施要求 　　网络管理普遍采用的SNMP协议过于简单，无法对网络流量的协议和应用进行具体的分析，而sinffer技术在万兆骨干网络完全不可能。有鉴于此，Cisco公司开发了netflow网络流量监控技术，目前已经成为网络监控分析的业内标准协议。 　　支持netflow的路由器对经过其接口的数据包头进行采集分析，根据一定规则把流经的数据包归并为数据流，一个数据流记录为一条netflow记录。包含了该数据流丰富的统计信息。 　　每条netflow数据包括以下信息，下面是常见的netflow v5对数据格式的定义： 　　●源主机IP地址 　　●目的主机IP地址 　　●源主机端口 　　●目的主机端口 　　●下一跳IP地址 　　●包流入接口编号 　　●包流出接口编号 　　●包数量 　　●字节数量 　　●流开始时间 　　●流结束时间 　　●协议类型 　　●QoS参数 　　●tcp包头标志 　　●源主机所属的AS编号 　　●目的主机所属 AS 编号 　　●源主机所属子网络掩码 　　●目的主机所属网络的子网络掩码 　　Netflow数据以其丰富的信息量和广泛的产品支持，已经成为网络管理员，特别是骨干网管理员必不可少一个工具。通过对nerflow数据长期的收集和统计分析，可以详细的展示网络中应用层、包大小、包数量、协议类型等分布情况，为网络的容量规划和优化提供有利的数据支持。同时，正是对其进行恰当的分析可以获得网络应用详细情况，有利于发现其中的异常流量或者攻击行为，并确定其流量特征，进一步可以针对特征制定相应的应对策略。本文重点介绍netflow数据后者的应用技术。 　　利用netflow技术对网络流量进行监控、分析和处理，需要网络具备以下要求： 　　(1)设备支持netflow，要将关注的网络设备的用端口启动netflow采集功能，并设恰当的采集参数和接收服务器。 　　(2)配置netflow分析系统，可以利用NTG等专用netflow分析设备，也可以通过免费的flow-tools分析软件进行收集并分析。 　　(3)网络设备要支持速率限制功能，这样才能采取针对性的测试对异常攻击流量进行限制。 　　四、实施案例介绍 　　笔者以亲身经历一次黑龙江省联通骨干网络异常流量分析处理过程作为实例，介绍netflow技术的具体应用。 　　在省中心GSR与市核心路由器NE5000相连接口启用netflow采集功能，把数据分别发往NTG设备和flow-tools服务器，同时部署有MRTG软件实时监控该接口的流量。 　　1.通过流量分析发现攻击出现 　　某日在MRTG流量监控软件的流量图上发现10:20和11:50两个时间点出现了突发流量(见红色箭头所指)，这明显不正常，说明这两个时间点的网络流量中存在异常流量，可能是某种攻击行为。 　　2.利用流量分析系统分析对应被攻击地市网络流量内容，根据网络流量在不同特征属性上网络流量排序来分析异常流量的特征，下面分别对分析被攻击地址以及对应的应用端口流量排序。 　　下面介绍利用NTG对10：20时间段的异常流量进行分析的详细过程。 　　(1)首先查看异常流量的目的，同样攻击的目标是比较明确的，利用NTG对目的IP地址流量进行top的排名，发现11:29分出现针对IP X..9.142.20的流量迅速增加，到11:34，5分钟内流量增加了近2G，说明该IP受到DOS流量攻击。 　　其次需要分析针对被攻击目标发起的攻击类型：源IP、协议类型、应用端口等信息。 　　(2)攻击流量排名 　　上图表示向IP地址为 X.9.142.20发送流量最大的10个源IP地址，可以看出每个源IP的流量都很小，且其中存在10.x.x.x这样私网地址，这说明发起的攻击源IP地址很可能是伪造的。这种流量特征是很典型的伪造源地址DDOS攻击。再对应用层进行分析已确定攻击的目标应用，下图为针对X.9.142.20的不同应用流量的情况。 　　由上图可以看出针对X.9.142.20绝大多数流量都是UDP/7000流量。 　　通过以上的分析可以得到该时间点11:20左右的突发异常流量主要是由于对IP地址为X.9.142.20的目标主机针对UDP/7000端口发起的DDOS攻击。 　　为了对异常流量数据进行详细的分析和验证，笔者在网管中心部署的flow-tools服务器上对11:20时间段的针对地址X.9.142.20的流量数据利用flow-tools工具进行过滤及统计分析： 　　(1)针对协议进行统计，可以看出绝大部分流量UDP流量 　　(2)根据端口流量排序，可以看出流量最大的是针对7000端口的udp流量 　　同样印证了上面的结论，即异常流量是通过向IP X.9.142.20发送大量大字节的UDP/7000包发起DDOS攻击产生的。 　　3.在核心路由器上施加策略对攻击流量进行限制 　　针对不同的情况可以做如下的策略设置： 　　(1)对路由器进行基本过滤设置，如： 　　●限制网络源地址为RFC3330的数据包进入省网通骨干网络； 　　●限制网络源地址为省网通IP范围的数据包进入； 　　●限制对网络设备互联网段的访问等。 　　这样可以丢弃非法的数据包，减少网络流量中的无用数据。 　　(2)静态空路由过滤 　　对于无用的端口应用，例如前面例子提到的UDP/7000应用不属于正常流量，可以用静态路由把异常流量的目标地址指向空(Null)，这种过滤几乎不消耗路由器系统资源。 　　(3)在路由器上设置速率限制策略 　　全局配置模式设置访问列表 　　router(config)# access-list 133 permit udp any host X.9.142.20 　　接口配置模式配置限速策略 　　router(config-if)# rate-limit output access-group 133 50M 10M 10M conform-action transmit exceed-action drop 　　通过限速将访问X.9.142.20的udp的流量限制在50M内。 　　五、总结 　　上述对异常流量的发现、分析及处理方法在笔者所在的网管中心得到实际的应用，通过对cisco12816路由器采取适当的策略，有效地降低了异常流量对骨干网络的影响。提高了网管中心对DDOS攻击的处理能力，提高了客户的满意度。 　　通过本文的方法虽然可以在短时间内将网络攻击的影响降低。但要从根本上解决此类攻击还要运营商规范用户的接入，提高用户的网络安全，避免用户网络被黑客控制发起攻击。从源头杜绝产生攻击的用户，只有这样才能确保我国的互联网络健康稳定的发展。