|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源����、數(shù)據(jù)資源、信息資源����、知識(shí)資源、專(zhuān)家資源����、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)����、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 3����、拒絕服務(wù)攻擊的發(fā)展
由于我們防范手段的加強(qiáng)����,拒絕服務(wù)攻擊手法也在不斷的發(fā)展����。
Tribe Flood Network (tfn) 和tfn2k引入了一個(gè)新概念:分布式。這些程序可以使得分散在互連網(wǎng)各處的機(jī)器共同完成對(duì)一臺(tái)主機(jī)攻擊的操作����,從而使主機(jī)看起來(lái)好象是遭到了不同位置的許多主機(jī)的攻擊。這些分散的機(jī)器由幾臺(tái)主控制機(jī)操作進(jìn)行多種類(lèi)型的攻擊����,如UDP flood, SYN flood等。
操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的缺陷在不斷地被發(fā)現(xiàn)并被黑客所利用來(lái)進(jìn)行惡意的攻擊����。如果我們清楚的認(rèn)識(shí)到了這一點(diǎn),我們應(yīng)當(dāng)使用下面的兩步來(lái)盡量阻止網(wǎng)絡(luò)攻擊保護(hù)我們的網(wǎng)絡(luò):
A)盡可能的修正已經(jīng)發(fā)現(xiàn)的問(wèn)題和系統(tǒng)漏洞����。
B)識(shí)別,跟蹤或禁止這些令人討厭的機(jī)器或網(wǎng)絡(luò)對(duì)我們的訪問(wèn)����。
我們先來(lái)討論一下B),在B)中我們面臨的主要問(wèn)題是如何識(shí)別那些惡意攻擊的主機(jī)����,特別是使用拒絕服務(wù)攻擊的機(jī)器。因?yàn)檫@些機(jī)器隱藏了他們自己的地址����,而冒用被攻擊者的地址。攻擊者使用了數(shù)以千記的惡意偽造包來(lái)使我們的主機(jī)受到攻擊����。"tfn2k"的原理就象上面講的這么簡(jiǎn)單����,而他只不過(guò)又提供了一個(gè)形象的界面����。假如您遭到了分布式的拒絕服務(wù)攻擊,實(shí)在是很難處理����。
解決此類(lèi)問(wèn)題的一些專(zhuān)業(yè)手段----包過(guò)濾及其他的路由設(shè)置
有一些簡(jiǎn)單的手法來(lái)防止拒絕服務(wù)式的攻擊。最為常用的一種當(dāng)然是時(shí)刻關(guān)注安全信息以期待最好的方法出現(xiàn)����。管理員應(yīng)當(dāng)訂閱安全信息報(bào)告,實(shí)時(shí)的關(guān)注所有安全問(wèn)題的發(fā)展����。:)
第二步是應(yīng)用包過(guò)濾的技術(shù)����,主要是過(guò)濾對(duì)外開(kāi)放的端口。這些手段主要是防止假冒地址的攻擊����,使得外部機(jī)器無(wú)法假冒內(nèi)部機(jī)器的地址來(lái)對(duì)內(nèi)部機(jī)器發(fā)動(dòng)攻擊����。
我們可以使用Cisco IOS來(lái)檢查路由器的詳細(xì)設(shè)置����,當(dāng)然����,它也不僅限于Cisco的設(shè)備,但由于現(xiàn)在Cisco設(shè)備在網(wǎng)絡(luò)中占有了越來(lái)越多的市場(chǎng)份額(83%)����,所以我們還是以它為例子,假如還有人有其他的例子����,我們也非常高興你能提出您的寶貴信息。 登陸到將要配置的路由器上����,在配置訪問(wèn)控制列表之前先初始化一遍:
c3600(config)#access-list 100 permit ip 207.22.212.0 0.0.0.255 any
c3600(config)#access-list 100 deny ip any any
然后我們假設(shè)在路由器的S0口上進(jìn)行ACL的設(shè)置,我們進(jìn)入S0口,并進(jìn)入配置狀態(tài):
c3600(config)#int ser 0
c3600(config-if)#ip access-group 100 out
通過(guò)顯示access-list來(lái)確認(rèn)訪問(wèn)權(quán)限已經(jīng)生效:
c3600#sho access-lists 100
Extended IP access list 100
permit ip 207.22.212.0 0.0.0.255 any (5 matches)
deny ip any any (25202 matches)
對(duì)于應(yīng)該使用向內(nèi)的包過(guò)濾還是使用向外的包過(guò)濾一直存在著爭(zhēng)論����。RFC 2267建議在全球范圍的互連網(wǎng)上使用向內(nèi)過(guò)濾的機(jī)制,但是這樣會(huì)帶來(lái)很多的麻煩����,在中等級(jí)別的路由器上使用訪問(wèn)控制列表不會(huì)帶來(lái)太大的麻煩,但是已經(jīng)滿載的骨干路由器上會(huì)受到明顯的威脅����。
另一方面,ISP如果使用向外的包過(guò)濾措施會(huì)把過(guò)載的流量轉(zhuǎn)移到一些不太忙的設(shè)備上����。 ISP也不關(guān)心消費(fèi)者是否在他們的邊界路由器上使用這種技術(shù)����。當(dāng)然,這種過(guò)濾技術(shù)也并不是萬(wàn)無(wú)一失的����,這依賴(lài)于管理人員采用的過(guò)濾機(jī)制。
我們經(jīng)常會(huì)聽(tīng)到設(shè)備銷(xiāo)售或集成商這樣的推脫之詞����,他們總是說(shuō)使用ACL會(huì)導(dǎo)致路由器和網(wǎng)絡(luò)性能的下降。ACL確實(shí)會(huì)降低路由器的性能并加重CPU的負(fù)載����,但這是微乎其微的。我們?cè)?jīng)在Cisco 2600 和3600系列路由器上作過(guò)實(shí)驗(yàn):
以下是不使用和使用ACL時(shí)的對(duì)照表:
Test Speed w/o ACL (Mbps) w/ ACL (Mbps) w/o ACL (total time) w/ ACL (total time) % change
Cisco 2600 100Mbps -> 100 Mbps File transfers 36.17 Mbps 35.46 Mbps 88.5 90.2 2.50%
Cisco 3600 10Mbps -> 10Mbps File transfers 7.95 Mbps 8.0Mbps 397 395 0.30%
使用的路由器配置如下:
2 Cisco 3640 (64MB RAM, R4700 processor, IOS v12.0.5T)
2 Cisco 2600 (128MB RAM, MPC860 processor, IOS v12.0.5T)
由表我們可以看出����,在使用ACL前后對(duì)路由器性能的影響并不是很大。
4����、使用DNS來(lái)跟蹤匿名攻擊
也許大家仍舊保存著僥幸心理,認(rèn)為這些互連網(wǎng)上給我們帶來(lái)無(wú)數(shù)麻煩DoS漏洞或許隨著路由器包過(guò)濾����,網(wǎng)絡(luò)協(xié)議升級(jí)到IPv6或者隨時(shí)的遠(yuǎn)程響應(yīng)等手段變得越來(lái)越不重要。但從一個(gè)具有責(zé)任感的網(wǎng)管的觀點(diǎn)來(lái)看����,我們的目標(biāo)并不是僅僅阻止拒絕服務(wù)攻擊,而是要追究到攻擊的發(fā)起原因及操作者����。
當(dāng)網(wǎng)絡(luò)中有人使用假冒了源地址的工具(如tfn2k)時(shí),我們雖然沒(méi)有現(xiàn)成的工具來(lái)確認(rèn)它的合法性����,但我們可以通過(guò)使用DNS來(lái)對(duì)其進(jìn)行分析:
假如攻擊者選定了目標(biāo)www.technotronic.com,他必須首先發(fā)送一個(gè)DNS請(qǐng)求來(lái)解析這個(gè)域名����,通常那些攻擊工具工具會(huì)自己執(zhí)行這一步,調(diào)用gethostbyname()函數(shù)或者相應(yīng)的應(yīng)用程序接口����,也就是說(shuō),在攻擊事件發(fā)生前的DNS請(qǐng)求會(huì)提供給我們一個(gè)相關(guān)列表����,我們可以利用它來(lái)定位攻擊者。
使用現(xiàn)成工具或者手工讀取DNS請(qǐng)求日志����,來(lái)讀取DNS可疑的請(qǐng)求列表都是切實(shí)可行的,然而����,它有三個(gè)主要的缺點(diǎn):
1) 攻擊者一般會(huì)以本地的DNS為出發(fā)點(diǎn)來(lái)對(duì)地址進(jìn)行解析查詢(xún),因此我們查到的DNS請(qǐng)求的發(fā)起者有可能不是攻擊者本身����,而是他所請(qǐng)求的本地DNS服務(wù)器����。盡管這樣����,如果攻擊者隱藏在一個(gè)擁有本地DNS的組織內(nèi)����,我們就可以把該組織作為查詢(xún)的起點(diǎn)。
2) 攻擊者有可能已經(jīng)知道攻擊目標(biāo)的IP地址����,或者通過(guò)其他手段(host, ping)知道了目標(biāo)的IP地址,亦或是攻擊者在查詢(xún)到IP地址后很長(zhǎng)一段時(shí)間才開(kāi)始攻擊����,這樣我們就無(wú)法從DNS請(qǐng)求的時(shí)間段上來(lái)判斷攻擊者(或他們的本地服務(wù)器)。
3) DNS對(duì)不同的域名都有一個(gè)卻省的存活時(shí)間����,因此攻擊者可以使用存儲(chǔ)在DNS緩存中的信息來(lái)解析域名。為了更好做出詳細(xì)的解析記錄����,您可以把DNS卻省的TTL時(shí)間縮小����,但這樣會(huì)導(dǎo)致DNS更多的去查詢(xún)所以會(huì)加重網(wǎng)絡(luò)帶寬的使用����。
在許多情況下,只要您擁有足夠的磁盤(pán)空間����,記錄所有的DNS請(qǐng)求并不是一種有害的做法。在BIND8.2中做記錄的話����,可以在named.conf中假如下面的幾行:
logging {
channel requestlog { file "dns.log"; }����;
category queries { requestlog; }����;
};
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶(hù)加入其中����,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上����、軟件上、所用標(biāo)準(zhǔn)上......����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)����,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑����。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站����!
