| 到目前为止,进行DDoS 协议的漏洞,除非你不用TC 的比喻:DDoS就好象有1,00 | 攻击的防御还是比较困难的。首 P/IP,才有可能完全抵御住DDoS 0个人同时给你家里打电话,这 | 先,这种攻击的特点是它利用了TCP/IP 攻击。一位资深的安全专家给了个形象 时候你的朋友还打得进来吗? |
| 不过即使它难于防范, 情。对Cisco路由器我们可 Unicast RPF (Unicast Re 置SYN数据包流量速率或通 范。具体的使用方法是: | 也不是说我们就应该逆来顺受, 以首先在路由器上打开CEF功能 verse Path Forwarding),然 过升级版本过低的ISO、为路由 | 实际上防止DDoS并不是绝对不可行的事 (Cisco Express Forwarding)、使用 后利用访问控制列表(ACL)过滤并设 器建立log server等措施来建立安全防 |
| 1、使用 ip verfy unicast reverse-path 网络接口命令 |
| 这个功能检查每一个经 该数据包所到达网络接口的 据包。例如,路由器接收到 1.2.3.4提供任何路由(即 | 过路由器的数据包。在路由器的 所有路由项中,如果没有该数据 一个源IP地址为1.2.3.4的数据 反向数据包传输时所需的路由) | CEF(Cisco Express Forwarding)表 包源IP地址的路由,路由器将丢弃该数 包,如果 CEF路由表中没有为IP地址 ,则路由器会丢弃它。 |
| 单一地址反向传输路径转发(Unicast Re SMURF攻击和其它基于IP地址伪装的攻击。这 。使用Unicast RPF 需要打开路由器的" switching"选项。不需要将输入接口配 功能,所有独立的网络接口都可以配置为其它 属于在一个网络接口或子接口上激活的输入端 | verse Path Forwarding)在ISP(局端)实现阻止 能够保护网络和客户免受来自互联网其它地方的侵扰 CEF swithing"或"CEF distributed 置为CEF交换(switching)。只要该路由器蚩薈EF 交换(switching)模式。RPF(反向传输路径转发) 功能,处理路由器接收的数据包。 |
| 在路由器上打开CEF功能是非常重要的, Cisco IOS 12.0 及以上版本中,但不支持Cis | 因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的 co IOS 11.2或11.3版本。 |
| 2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址 |
| 参考以下例子: |
| interface xy |
| ip access-group 101 in |
| access-list 101 deny | ip 10.0.0.0 0.255.255.255 a | ny |
| access-list 101 deny ip 192.168.0.0 | 0.0.255.255 any |
| access-list 101 deny | ip 172.16.0.0 0.15.255.255 | any |
| access-list 101 permit ip any any |
| 3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文 |
| 参考以下例子: |
| {ISP中心} -- ISP端边 | 界路由器 -- 客户端边界路由器 | -- {客户端网络} |
| ISP端边界路由器应该 址未被客户端网络过滤的通 | 只接受源地址属于客户端网络的 信。以下是ISP端边界路由器的 | 通信,而客户端网络则应该只接受源地 访问控制列表(ACL)例子: |
| access-list 190 permit ip {客户端网 | 络} {客户端网络掩码} any |
| access-list 190 deny ip any any [log] |
| interface {内部网络接口} {网络接口号} |
| ip access-group 190 in |
| 以下是客户端边界路由器的ACL例子: |
| access-list 187 deny ip {客户端网络} | {客户端网络掩码} any |
| access-list 187 permit ip any any |
| access-list 188 perm | it ip {客户端网络} {客户端网 | 络掩码} any |
| access-list 188 deny ip any any |
| interface {外部网络接口} {网络接口号} |
| ip access-group 187 in |
| ip access-group 188 out |
| 如果打开了CEF功能, 问控制列表(ACL)的长度 ;打开这个功能的网络接口 | 通过使用单一地址反向路径转发 以提高路由器性能。为了支持Un 并不需要是CEF交换接口。 | (Unicast RPF),能够充分地缩短访 icast RPF,只需在路由器完全打开CEF |
| 4、使用CAR(Control Access Rate)限制ICMP数据包流量速率 |
| 参考以下例子: |
| interface xy |
| rate-limit output access-group 2020 | 3000000 512000 786000 conform-action |
| transmit exceed-action drop |
| access-list 2020 per | mit icmp any any echo-reply |
| 5、设置SYN数据包流量速率 |
| interface {int} |
| rate-limit output ac | cess-group 153 45000000 1000 | 00 100000 conform-action |
| transmit exceed-action drop |
| rate-limit output access-group 152 1 | 000000 100000 100000 conform-action |
| transmit exceed-action drop |
| access-list 152 perm | it tcp any host eq www |
| access-list 153 permit tcp any host | eq www established |
| 在实现应用中需要进行必要的修改,替换: |
| 45000000为最大连接带宽 |
| 1000000为SYN flood流量速率的30%到50%之间的数值。 |
| burst normal(正常突 | 变)和 burst max(最大突变) | 两个速率为正确的数值。 |
| 注意,如果突变速率设 interfaces rate-limit&qu 速率。这个SYN速率限制数 | 置超过30%,可能会丢失许多合 ot;命令查看该网络接口的正常 值设置标准是保证正常通信的基 | 法的SYN数据包。使用"show 和过度速率,能够帮助确定合适的突变 础上尽可能地小。 |
| 警告:一般推荐在网络正常工作时测量SY 进行测量时确保网络的正常工作以避免出现较 | N数据包流量速率,以此基准数值加以调整。必须在 大误差。 |
| 另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。 |
| 6、搜集证据并联系网络安全部门或机构 |
| 如果可能,捕获攻击数 。常用的数据包捕获工具包 | 据包用于分析。建议使用SUN工 括TCPDump和snoop等。基本语法 | 作站或Linux等高速计算机捕获数据包 为: |
| tcpdump -i interface -s 1500 -w capt | ure_file |
| snoop -d interface -o capture_file - | s 1500 |
| 本例中假定MTU大小为1 日志作为证据提供给有关网 | 500。如果MTU大于1500,则需要 络安全部门或机构。 | 修改相应参数。将这些捕获的数据包和 |
| 为了防止利用IP Spoof 边缘路由设备(即直接与终 | ing手段假冒源地址进行的DoS攻 端用户网络互连的路由设备)上 | 击对整个网络造成的冲击。主要配置在 ,根据用户网段规划添加源路由检查。 |
| 针对不同DDOS攻击的端口进行过滤,在实施时必须探测到DDOS攻击的端口。 |
| ! The TRINOO DDoS system |
| Router(Config)# access-list 113 deny | tcp any any eq 27665 log |
| Router(Config)# access-list 113 deny | udp any any eq 31335 log |
| Router(Config)# acce | ss-list 113 deny udp any any | eq 27444 log |
| ! The Stacheldtraht DDoS system |
| Router(Config)# acce | ss-list 113 deny tcp any any | eq 16660 log |
| Router(Config)# acce | ss-list 113 deny tcp any any | eq 65000 log |
| ! The TrinityV3 System |
| Router(Config)# acce | ss-list 113 deny tcp any any | eq 33270 log |
| Router(Config)# acce | ss-list 113 deny tcp any any | eq 39168 log |
| ! The SubSeven DDoS system and some | Variants |
| Router(Config)# acce | ss-list 113 deny tcp any any | range 6711 6712 log |
| Router(Config)# acce | ss-list 113 deny tcp any any | eq 6776 log |
| Router(Config)# access-list 113 deny | tcp any any eq 6669 log |
| Router(Config)# acce | ss-list 113 deny tcp any any | eq 2222 log |
| Router(Config)# access-list 113 deny | tcp any any eq 7000 log |
| Router(Config)# interface eth 0/2 |
| Router(Config-if)# ip access-group 113 in |
| DDOS是利用TCP协议的 源, 其次可以加个firewall 击的能力还是很弱的,尽管 上实行。遇到问题时一种快 | 漏洞, 目前没有什么有效的手段 。DDOS多是有目的的攻击, 是很 我们在路由器上采取了适当措施 速的手段, 就是利用2分法, 快 | 防护,笔者认为最有效的方法就是拼资 难防护的,基本上,路由器防范DoS攻 ,以上配置不建议在核心和汇聚层设备 速的查出它的来源地址, 然后封掉它。 |
| 因此,防止各种DoS攻 类型的DoS攻击的能力是不 用户需要根据自身情况和路 | 击是非常必要的。用户需要注意 同的,对路由器CPU和内存资源 由器的性能来选择使用适当的方 | 的是,以上介绍的几种方法,对付不同 的占用也有很大差别,在实际环境中, 式。 |
