预防DoS攻击
|
|
| 预防DoS攻击 |
| 作者:冰盾防火墙 网站:www.bingdun.com 日期:2008-05-10 |
| |
我记得上大学时我最喜欢的恶作剧是在门与门框之间的缝隙中塞上几枚硬币,将锁着的锁舌顶在门框上。这样真正的住户就拧不动钥匙,这种把戏似乎非常有趣,直到有一天发生在我身上为止。这就是一种原始形式的拒绝服务。
当然,在企业环境中,DoS(拒绝服务)具有更大的危险性。今天,DoS攻击是困扰IT经理和管理人员,尤其是困扰那些负责对于企业战略取得成功至关重要站点的人员。
一些辩护者一直试图原谅DoS制造者的行为,将这类攻击与儿童无知的恶作剧(如乱按门铃或乱打电话)等同起来。不同之处在于我可以选择不去理睬门铃或电话(我经常这样做)。Internet服务器却没有选择,它只能对网络查询做出响应,而它的不可用性对一家公司来说意味着死亡。
由于你通常不知道敌人是谁,并且常常不知道你的系统会受到多大损害,因此DoS攻击令人感到恐惧。因此,制定防御DoS的策略尤其重要,这个战略既要考虑内部的威胁,也要考虑外部的威胁。
了解攻击者
当然,不是所有的DoS问题都是攻击造成的。一些事故在像Internet这样的非集中式环境中(在这种环境中,一个损坏了的路由表会在几分钟内造成一场灾难)是难避免的。
内部网络面临着类似的问题,尽管精心设计的企业网络可以对数据流进行区分,使问题可以很容易地被孤立出来。但是,实际的攻击既可以来自企业内又可以来自企业外。尽管本文的讨论集中在外部的攻击上,但是,任何减轻DoS事件后果的计划也同样应当考虑到内部威胁的可能性。
不过,虽然存在来自内部的攻击,但是对于使用Internet的公司,安全的最大威胁仍是青少年的恶作剧行为。真正不幸的事情是,今天有许多工具使用户可以从家中就发动攻击,因此DoS的问题可能会越来越严重而不是有所好转。
DoS基础知识
DoS攻击包括很多不同的方式。在这些方式中,三种最流行的方式为使服务失效、独占或盗用资源以及删除数据。
凶猛的DoS攻击包括对联网设备配置的改变或物理攻击。物理的威胁通常最容易防御,传统的“门、警卫和枪”的安全原则在这种情况下可以发挥很好的作用。
自去年起,一种将攻击分布到几台不同的主机上的新攻击方式,带来了网上DoS攻击的盛行。这种方式通过利用多台被入侵主机的总处理能力和网络资源,增加了成功渗透的可能性。这类DDoS(分布式拒绝服务)攻击在1999年变得人所尽知,当时攻击者利用“Stacheldraht”(德语中的“铁丝网”一词)和TribeFloodNet工具造成包括Yahoo和eBay在内的一些最流行的Internet站点的瘫痪。在这两个案例中,这类工具使用了大规模攻击方式来造成被攻击主机的瘫痪。
当然,无论是哪种攻击形式,DoS攻击一直就存在于我们身边:雷达和无线电“阻塞”就是典型的例子。但是,由于Internet正成为经济繁荣的支柱,因此Internet数据流的任何中断都会像一只手正在掐住气管一样。下面是一些DoS破坏者喜爱用来掐住你的喉咙的最常用的方式。
“贪心攫取式”(“hogging”)是一种经典的攻击方式,它通常利用绕过正常的操作系统控制,在一个主机系统上运行程序,消耗系统资源直到操作系统失败并造成主机的瘫痪。
1998年出现的Robert Morris Internet蠕虫就是贪心攫取式攻击的很好例子,虽然由于这种攻击利用邮件发送病毒而一般被归类到特洛伊木马类型。Morris曾打算让他的程序能在几天或几周的时间内悄悄地运行,不被检测到,但是一个拙劣的设计缺陷使它非常快地复制自己,因此在几分钟的时间内造成邮件服务器的瘫痪。
由于这类攻击已经出现了很长一段时间了,因此,许多操作系统采取了基本的防护措施。遗憾的是,正像任何Windows NT管理人员可以证实的那样,向一种操作系统添加特性增加了安全漏洞,因此不能将“强化”系统当作是堵塞漏洞的工程。
“恶意小应用程序”是将目标对准用户而非服务器的一种DoS攻击形式。基于小应用程序的攻击主要是通过使小应用程序可以缺省运行的Web浏览器来劫持计算机。采取不允许小应用程序策略并使其不能运行的企业可以抵御这类攻击,但是,放弃享受小应用程序技术的好处可能是不值得的。
“邮件炸弹”简单但破坏性很大:它们利用大量的伪造数据流使邮件服务器过载。不用说,最大的邮件服务器也有其限度,因此,没有一种邮件系统可以避免这种攻击。
在上面几种情况中,你可能打算使用过滤器来识别和拒绝可疑的数据流,但是,你要冒不接受合法通信的风险。
“死亡之Ping”利用PING(Packet Internet Groper)来发送不合法长度的测试包。尽管这在IP环境中非常常见,但是,现在还没有什么能阻止它在IPX上执行。长度过长的包会在未加保护的系统中造成或引发网络问题。
“SYN泛滥(SYN flooding)”攻击是专门针对TCP的,它试图侵占所有可能的网络连接,从而拒绝对网络服务合法的访问。它利用了对两个主机之间对话进行初始化的SYN(同步顺序号)包的功能。
攻击者通过假冒包发送者的身份,然后发送大量的目标服务器必须回应的假数据包,使服务器忙于进行应答。被攻击的服务器除了可以为少数幸运地躲过虚假请求的用户所使用外,正常用户无法使用。
“Zombies”是指受到攻击者破坏并被其用于攻击(或被其准备用于攻击)的计算机。去年最流行的DoS攻击曾使用Zombie来产生足以造成最常访问的Internet站点运行停止的数据流。
应当做些什么?
遗憾的是,许多企业在攻击者大行其道之前,没有意识到自己存在的DoS脆弱性问题。即使攻击只是瞄准了你的网络连接,没有打算攻击敏感公司数据,开始实施防御仍太晚了。
反攻击不是一种好办法。我们决不提倡报复,因为你在最关键的时刻不能肯定攻击者是否使用其他人的身份作为掩护,而且任何基于网络的反攻击将违反你打算用来起诉罪犯(如果真到了这种程度的话)的法律。
显然,有一些事可以提前来做,以减少系统所存在的脆弱性。如果还没有装备一台好的、充分了解的防火墙的话,就应当装备一台。充分了解是关键,许多机构安装了防火墙,但却不能培训重要员工来配置和使用它。
值得庆幸的是,今天市面上的任何好的防火墙都被配置为拒绝所有的数据流,从而将问题缩小到明确允许通过的数据流上。此外,还应当对网络上的另一些设备,如交换机、路由器以及桌面计算机进行检查,确认它们只让允许的数据流类型通过。
其它一些可以采取的周边安全措施包括电子邮件过滤器和病毒检测软件。这类应用需要精心地维护才能发挥效力,不过它们在提供防火墙后面的防线上很有用。
拥有基准网络传输流数据可以帮助你将合法传输多媒体文件造成的数据流激增与黑客产生的数据流增加区分开来。
ManTrap追源技术是一种新型有趣的主动防御技术,这项技术提供了一种诱饵Web环境,它可以将黑客诱离你的王冠宝石,将他们引诱到一个安全的“笼子”中,在这个笼子中可以记录他们的活动,收集供执法之用的证据。
关注新闻
保持信息的灵通是取得任何好的防御战略的成功的关键。由于Internet的全球性本质,最初发生在菲律宾的问题可以在几分钟内影响到安装在加利福尼亚的服务器。
主流新闻媒体正越来越关注计算机在今天经济和社会中的重要性,并且通常是有关系统攻击和计算机病毒爆发的实时信息的很好来源。
值得强调的一项措施是保持应用程序和操作系统补丁程序的最新状态。这里存在的困难是如何在确保补丁程序不会造成系统的不稳定与拥有安全配置之间取得平衡。对补丁程序进行测试,一旦测试完成,就立即对设备进行升级。
高价的可管理性
确保设备,而不仅仅是计算机,被配置为只运行基本和必需的服务极为重要。虽然基于Web的界面无疑比Telnet控制台更漂亮,但是,Cisco用户经过惨痛的经验发现向路由器添加管理特性所造成的问题比它所解决的问题更多。
5月中旬,使用Cisco OS(它使路由器和交换机可以通过Web浏览器来显示数据)新版本的基于软件的HTTP服务器的机构曾得到警告,称在某些情况下,HTTP服务器可能会遭到破坏。
当时,该公司证实,其产品线中多种产品的核心组件Cisco IOS的多个版本都存在一种缺陷。该缺陷(其详细的说明可查看www.cisco.com/warp/public/707/ioshttpserver-pub.shtml)会造成交换机或路由器停机或重加载,从而造成服务的中断。
据Cisco Web站点提供的文件说,该缺陷“几乎影响到所有运行Cisco IOS 11.1到12.1版的主流Cisco路由器和交换机。”幸运的是,直到5月中旬,Cisco还未收到有关该缺陷被恶意利用的任何报告。该缺陷是在4月27日首次发布在Bugtraq邮件列表上的。
从本质上讲,这个问题存在于向通常为网络管理员的联网用户提供管理信息的基于软件的HTTP服务器上。浏览“http://<路由器IP地址>/%%”地址将造成路由器或交换机的崩溃。在某些情况下,这可能要求硬件重新启动进行恢复。最好的情况是设备至少要停机两分钟。
由于任何没有运行IOS的Cisco设备是自动免疫的,因此这里还不是一片黑暗。如果你没有在运行受影响的IOS版本的路由器和交换机上启动Web管理功能的话,就没有任何危险。
若想检查你的设备,可以先登录,然后发出“Show Version”命令,就能了解到是否运行了受影响的IOS版本。Cisco的缺陷说明还包括了一张发布版本和缺陷状态的表格。
即使你的设备受到了影响,这里仍有一些可以采取的补救措施。最容易的办法是在你可以向网络上所有设备部署IOS的修改 |
| |
|
| |
|
|
|
京ICP备14024464 公安备案号 京1081234