如何应对日益严重的拒绝服务攻击精品文档

1、如何应对日益严重的拒绝效劳攻击目前互联网的骨干带宽资源已经开展到2.5G和10G等大带宽线路,而且用户的接入带宽也逐渐增加. 伴随着互联网的开展 网络拒绝效劳攻击呈现逐渐上升的趋势,攻击类型由以往的针对某一应用的拒绝效劳攻击, 开展成为带宽占用的攻击, 因攻击流 量较大,峰值带宽占用可能到达几个 G,这种拒绝效劳攻击对于 运营商的网络造成很大的影响,严重影响网络的正常运行.一、目前主要DDO敛击类型DDoS勺攻击策略侧重于通过很多“你尸主机被攻击者入 侵过或可间接利用的主机向受害主机发送大量看似合法的网络 包,从而造成网络阻塞或效劳器资源耗尽而导致拒绝效劳.分布式拒绝效劳攻击一旦被实施, 攻击

2、网络包就会犹如洪水般涌向受 害主机,从而把运营商的骨干网的带宽资源占满,导致合法用户无法正常访问互联网的网络资源.具体攻击说明如下：二、针对带宽占用型攻击运营商可以采取的策略当前大带宽,大流量网络攻击主要采用UD昉式进行攻击,因UDPB连接的特点,使得攻击的效率非常高, 可以在短时间内 产生很高的网络流量.同时攻击者主要利用网吧内的机器进行攻 击,而网吧的带宽普遍较高.这就导致目前的网络攻击越发严重, 攻击的带宽也逐渐增长,可以在短时间内将运营商的中级带宽占满,进而影响正常用户的访问.面对大带宽的网络攻击,如果部 署抗DDO敢击设备,一方面要增加巨大的投资,同时由于攻击 带宽的日益增加,很难从

3、根本上对攻击加以克服.现就笔者在日常的网络维护中对 DDO敛击的处理经验做一简单介绍,对此类 攻击的处理主要包括以下三个步骤：1 .通过流量监控系统发现网络中出现突发流量增加,这说明网络中存在异常攻击行为,从而可以利用日常流量监控系统发现 DDO敢击.2 .通过netflow收集网络数据信息,针对发生突发流量的 时间段的流量数据进行流量应用分析,分析产生最大流量的IP地址、数据包大小、协议类型及应用端口等攻击行为信息.3 .在网络设备上对特定的IP地址或应用端口进行限速,可 以有效防止攻击对正常流量产生的影响.三、netflow简介及netflow数据采集分析实施要求网络治理普遍采用的SNMp

4、fr议过于简单,无法对网络流量 的协议和应用进行具体的分析,而sinffer技术在万兆骨干网络 完全不可能.有鉴于此,Cisco公司开发了 netflow网络流量监 控技术,目前已经成为网络监控分析的业内标准协议.支持netflow的路由器对经过其接口的数据包头进行采集 分析,根据一定规那么把流经的数据包归并为数据流,一个数据流记录为一条netflow 记录.包含了该数据流丰富的统计信息.每条netflow数据包括以下信息,下面是常见的netflow v5对数据格式的定义: 源主机IP地址 目的主机IP地址 源主机端口 目的主机端口 下一跳IP地址 包流入接口编号 包流出接口编号 包数量字节数

5、量流开始时间流结束时间协议类型 QoS参数 tcp包头标志 源主机所属的AS编号 目的主机所属AS编号 源主机所属子网络掩码 目的主机所属网络的子网络掩码Netflow数据以其丰富的信息量和广泛的产品支持,已经成为网络治理员,特别是骨干网治理员必不可少一个工具.通过对nerflow数据长期的收集和统计分析,可以详细的展示网络中应用层、包大小、包数量、协议类型等分布情况,为网络的容量规 划和优化提供有利的数据支持.同时,正是对其进行恰当的分析可以获得网络应用详细情况,有利于发现其中的异常流量或者攻击行为,并确定其流量特征,进一步可以针对特征制定相应的应 对策略.本文重点介绍netflow数据后者

6、的应用技术.利用netflow 技术对网络流量进行监控、分析和处理,需要网络具备以下要求：(1)设备支持netflow ,要将关注的网络设备的用端口启动 netflow采集功能,并设恰当的采集参数和接收效劳器.(2)配置netflow 分析系统,可以利用 NT湃专用netflow 分析设备,也可以通过免费的 flow-tools 分析软件进行收集并 分析.(3)网络设备要支持速率限制功能,这样才能采取针对性的测试对异常攻击流量进行限制.四、实施案例介绍笔者以亲身经历一次黑龙江省联通骨干网络异常流量分析 处理过程作为实例,介绍 netflow技术的具体应用.在省中央GSRf市核心路由器 NE50

7、0M目连接口启用netflow 采集功能,把数据分别发往 NTG设备和flow-tools 效劳器,同 时部署有MRTGC件实时监控该接口的流量.1.通过流量分析发现攻击出现某日在MRTGE量监控软件的流量图上发现10:20和11:50 两个时间点出现了突发流量(见红色箭头所指),这明显不正常, 说明这两个时间点的网络流量中存在异常流量, 可能是某种攻击 行为.2,利用流量分析系统分析对应被攻击地市网络流量内容,根据网络流量在不同特征属性上网络流量排序来分析异常流量的 特征,下面分别对分析被攻击地址以及对应的应用端口流量排 序.下面介绍利用NTG对10: 20时间段的异常流量进行分析的 详细过

8、程.(1)首先查看异常流量的目的,同样攻击的目标是比拟明确 的,利用NTG对目的IP地址流量进行top的排名,发现11:29 分出现针对IP X.9.142.20 的流量迅速增加,至U 11:34, 5分钟 内流量增加了近2G,说明该IP受到DO编量攻击.其次需要分析针对被攻击目标发起的攻击类型：源IP、协议类型、应用端口等信息.(2)攻击流量排名上图表示向IP地址为X.9.142.20 发送流量最大的10个源 IP地址,可以看出每个源IP的流量都很小,且其中存在10.x.x.x 这样私网地址,这说明发起的攻击源IP地址很可能是伪造的.这种流量特征是很典型的伪造源地址DDO敛击.再对应用层进行

9、分析已确定攻击的目标应用,下列图为针对 X.9.142.20的不同 应用流量的情况.由上图可以看出针对 X.9.142.20绝大多数流量都是 UDP/7000流量.通过以上的分析可以得到该时间点11:20左右的突发异常流量主要是由于对IP地址为X.9.142.20的目标主机针对 UDP/7000端口发起的 DDO敢击.为了对异常流量数据进行详细的分析和验证,笔者在网管中心部署的flow-tools效劳器上对11:20时间段的针对地址X.9.142.20的流量数据利用flow-tools 工具进行过滤及统计分 析：(1)针对协议进行统计,可以看出绝大局部流量UDPW量(2)根据端口流量排序,可以

10、看出流量最大的是针对 7000端 口的udp流量同样印证了上面的结论,即异常流量是通过向IPX.9.142.20 发送大量大字节的 UDP/7000包发起DDO敛击产生 的.3.在核心路由器上施加策略对攻击流量进行限制针对不同的情况可以做如下的策略设置：(1)对路由器进行根本过滤设置,如：限制网络源地址为 RFC3330勺数据包进入省网通骨干网 络；限制网络源地址为省网通IP范围的数据包进入；限制对网络设备互联网段的访问等.这样可以丢弃非法的数据包,减少网络流量中的无用数据.(2)静态空路由过滤对于无用的端口应用,例如前面例子提到的UDP/7000应用不属于正常流量,可以用静态路由把异常流量的

11、目标地址指向空 (Null),这种过滤几乎不消耗路由器系统资源.(3)在路由器上设置速率限制策略全局配置模式设置访问列表router(config)# access-list 133 permit udp any hostX.9.142.20接口配置模式配置限速策略router(config-if)# rate-limit output access-group 133 50M 10M 10M conform-action transmit exceed-action drop通过限速将访问X.9.142.20的udp的流量限制在50M内.五、总结上述对异常流量的发现、分析及处理方法在笔者所在的网管中央得到实际的应用,通过对 cisco12816路