今天在QQ群中有个朋友发了副截图.

 

企业网络中的SYN—DDOS攻击防范 - lengfei_01 - 跑-坎坷成长路

 

该图为对某台服务器抓包所得的数据.每秒受到的SYN包达到了6785个.这很显然是恶意的数据包.SYN报文是用来做什么的呢?

 

SYN–DoS是在互联网上非常常见的攻击手段,它利用了TCP/IP协议棧的固有漏洞来对网络中某台或者多台服务器进行攻击.它的攻击效果非常好,在技术应用上比较简单.明确的说,它是针对TCP/IP协议棧中的三次握手的漏洞来攻击的,

 

企业网络中的SYN—DDOS攻击防范 - lengfei_01 - 跑-坎坷成长路

 

该图是TCP/IP三次握手机制的示意图.从图中可以看出,客户机要和服务器进行通信,必须先通过三次握手的机制互相确认连接后,才能建立起一条虚拟的连接通道.首先由客户机向服务器发送一个SYN的同步请求,并等待服务器的响应,服务器收到该SYN请求消息后,加该SYN加一,并回送给客户机,客户机等到了服务器的SYN同步响应后,完成第三步,向服务器发送ACK确认报文,此时连接建立.

 

而SYN攻击则利用了第二步的服务器的响应漏洞.请看下图:

 

企业网络中的SYN—DDOS攻击防范 - lengfei_01 - 跑-坎坷成长路

 

该图中我们可以看到,当攻击机收到了来自服务器端的SYN响应后,并不回送ACK报文,而是继续的向服务器发送新的SYN,服务器却在等待着上一个SYN的确认ACK报文,并将上一个SYN的连接保留,置为半开连接状态.攻击机每发送一个新的SYN,都不对服务器端的SYN进行确认ACK,久而久之,服务器会因为半开连接过多,导致拒绝其他正常的服务.

 

在IBM网站上查到了关于抵御SYN-FLOOD的一些措施.整理如下

 

DDoS的防范

 

到目前为止，进行DDOS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDOS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

 

不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：

 

企业网管理员

ISP、ICP管理员

骨干网络运营商

企业网管理员

 

网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。

 

主机上的设置

 

几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：

 

关闭不必要的服务

限制同时打开的Syn半连接数目

缩短Syn半连接的time out 时间

及时更新系统补丁

网络设备上的设置

 

企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。

 

１.防火墙

 

禁止对主机的非开放服务的访问

限制同时打开的SYN最大连接数

限制特定IP地址的访问

启用防火墙的防DDoS的属性

严格限制对外开放的服务器的向外访问

第五项主要是防止自己的服务器被当做工具去害人。

 

２.路由器

 

以Cisco路由器为例

 

Cisco Express Forwarding（CEF）

使用 unicast reverse-path

访问控制列表（ACL）过滤

设置SYN数据包流量速率

升级版本过低的ISO

为路由器建立log server

其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。路由器是网络的核心设备，与大家分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可以让这个配置先跑一段时间（三五天的就随意啦），觉得可行后再保存配置到startup config；而如果不满意想恢复原来的配置，用copy start run就行了。

 

ISP / ICP管理员

 

ISP / ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为黑客最喜欢的”肉鸡”，因为不管这台机器黑客怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户与自己的托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又是买方市场，ISP还不敢得罪客户，怎么办？咱们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机更安全一些，被别人告状的可能性也小一些。

 

骨干网络运营商

 

他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话，DDOS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DDOS攻击的方案。其实方法很简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDOS攻击。不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。

 

对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展，这都将是一个社会工程，需要IT界的同行们来一起关注，通力合作。