| ROS与内网SYN攻击的测试及解决方案 |
| 作者:冰盾防火墙 网站:www.bingdun.com 日期:2014-12-12 |
| |
用虚拟机装了ROS2.96,设置网段为172.16.1.0/24,OK攻击开始了。
首先出场的是下面的SYN攻击软件
此主题相关图片如下:
此主题相关图片
攻击了2分钟,一点反应都没有,只是开始时ping ROS延迟高了一点,没有丢包,连开三台机器攻击ROS,一切正常。在ROS里能看见大量的SYN连接,攻击的机器CPU占用率和流量都不高,强烈怀疑攻击流量太小。可是为啥我用这个软件攻击我的硬路由(速通4000)2秒就挂了……
另外值得说明的是如果在系统里禁止了winpcap,以上这个程序无效,无法攻击。
第二个内网SYN攻击软件出场了,就是它:
此主题相关图片如下:
此主题相关图片
这家伙暴强,攻击ROS,10秒以内延迟马上升高,30秒以内丢包率达到80%,时间继续, ping ROS的时候基本只有偶尔能ping通一次。 基本上已经判定为挂掉了。另外值得注意的是这个软件在禁止了winpacp的机器上也能正常攻击。用这个软件的攻击流量超大,才几分钟就这么大了
此主题相关图片如下:
此主题相关图片
。看来想用ROS防SYN攻击的希望破灭。
解决方案:
开动脑筋,想想数据包经过LINUX类防火墙的流向,决定在ROS的INPUT链,增加一条防火墙规则。这条规则的思路是,留一个能连接ROS本机的管理IP,方便随便用winbox进行管理。 除此以外的所有机器对ROS本机发送的SYN新连接都dorp丢弃不对它进行映应。于是进行防火墙设置。规则如下:
此主题相关图片如下:
此主题相关图片
此主题相关图片
此主题相关图片
规则设置好以后继续攻击,30秒左右开始丢包,但是丢包率大大减少,继续攻击,攻击了2分多钟,丢包率基本上为30%,相比之前不设置规则已经好了很多,但是也没有彻底解决问题。另外发现大家的一种观念非常不对就是认为ROS对机器硬件要求不高。 实际上ROS对CPU的要求还是不低的,CPU越是强劲,能抗住攻击的时间就越长。
注意:这条规则设置时一定要非常小心,当然应该也有不少高人有别的类似的设置方法就不说了,我自己设置的这条规则如果有人想对照设置的话,一定要很小心,不然一设置错误的有可能造成所有的机器都无法连接ROS,用WINBOX进行管理了。如果不小心设置到forward链的话,那上不了网了。切记啊,一定是input链,并且还要把用于管理的IP排除在外。
另外设置规则时忘了在
此主题相关图片如下:
此主题相关图片
设置syn的晌应时间,估计设置短的时间也能起到一定的作用。
条件和时间有限,只测试出了这么多结果。目的为了抛砖引玉,希望大家共同讨论研究,做好对内网攻击的防御 |
| |
|
| |
|
京ICP备14024464 公安备案号 京1081234