一�、事件發(fā)生
春節(jié)長假剛過完�����,WEB就出現(xiàn)故障�����,下午1點吃完回來�����,立即將桌面解鎖并習(xí)慣性的檢查了Web服務(wù)器���。通過Web服務(wù)器性能監(jiān)視軟件圖像顯示的向下滑行的紅色曲線看到WEB出現(xiàn)問題了。
根據(jù)上述的問題���,我馬上開始核查Web服務(wù)器的日志���,試試是否能檢測到問題究竟什么時候開始,或者發(fā)現(xiàn)一些關(guān)于引起中斷的線索。正當(dāng)查詢線索過程中����。公司首席運營官(COO)告訴我,他已經(jīng)接到客戶的投訴電話�,報告說無法訪問他們的網(wǎng)站。于是從臺式機中敲入網(wǎng)站地址�����,試著從臺式電腦訪問他們的網(wǎng)站����,但是看到的只是無法顯示此頁面的消息。
回想前幾天也未對Web服務(wù)器做了任何改變也未對Web服務(wù)器做過任何改變�,服務(wù)器曾經(jīng)出現(xiàn)過的性能問題。在Web服務(wù)器的日志文件中沒有發(fā)現(xiàn)任何可疑之處����,因此接下來我去仔細(xì)查看防火墻日志,和路由器日志����。仔細(xì)查看了防火墻日志,打印出了那臺服務(wù)器出問題時的記錄����。并過濾掉正常的流量并保留下可疑的記錄���。表中顯示了打印出來的結(jié)果。
表一 防火墻日志
之后在路由器日志上做了同樣的工作并打印出了看上去異常的記錄�。
攻擊期間的路由器日志
圖一
解釋:
IP packet sizedistribution 這個標(biāo)題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率。這里顯示的內(nèi)容表明:98.4%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間(注意紅色標(biāo)記)����。
參數(shù)解釋:
IP packet sizedistribution 這個標(biāo)題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率。這里顯示的內(nèi)容表明:98.4%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間���。
Protocol 協(xié)議名稱
Total Flows 自從最后一次清除統(tǒng)計信息后��,這種協(xié)議的信息流的個數(shù)��。
Flows/Sec 每秒鐘時間內(nèi)出現(xiàn)這種協(xié)議的信息流的平均個數(shù)��,它等于總信息流數(shù)/綜合時間的秒數(shù)�����。
Packets/Flow 遵守這種協(xié)議的信息流中平均的數(shù)據(jù)包數(shù)。等于這種協(xié)議的數(shù)據(jù)包數(shù)�����,或者在這段綜合時間內(nèi),這種協(xié)議的信息流數(shù)����。
Bytes/Pkt 遵守這種協(xié)議的數(shù)據(jù)包的平均字節(jié)數(shù)(等于這種協(xié)議總字節(jié)數(shù),或者在這段綜合時間內(nèi)��,這種協(xié)議的數(shù)據(jù)包數(shù))��。B/Pkt �����,這一信息流中每個數(shù)據(jù)包的平均字節(jié)數(shù)
Packets/Sec 每秒鐘時間內(nèi)這種協(xié)議的平均數(shù)據(jù)包數(shù)(它等于這種協(xié)議的總數(shù)據(jù)包)���,或者這段綜合時間的總秒數(shù)��。
Active(Sec)/Flow 從第一個數(shù)據(jù)包到終止信息流的最后一個數(shù)據(jù)包的總時間(以秒為單位���,比如TCP FIN,終止時間量等等)����,或者這段綜合時間內(nèi)這種協(xié)議總的信息流數(shù)�����。
Idle(Sec)/Flow 從這種協(xié)議的各個非終止信息流的最后一個數(shù)據(jù)包起�,直到輸入這一命令時止的時間總和(以秒為單位)�,或者這段綜合時間內(nèi)信息流的總時間長度。
正常路由日志
圖二
IP packet sizedistribution 這個標(biāo)題下的兩行顯示了數(shù)據(jù)包按大小范圍分布的百分率�。這里顯示的內(nèi)容表明:2%的數(shù)據(jù)包的大小在33字節(jié)到64字節(jié)之間。
注意網(wǎng)站的訪問量直線下降����。很明顯,在這段時間沒人能訪問他的Web服務(wù)器���。我開始研究到底發(fā)生了什么��,以及該如何盡快地修復(fù)���。
二、事件分析
我的Web服務(wù)器發(fā)生了什么?很有可能攻擊����,那么受到什么樣的攻擊呢?從這一攻擊是對回顯端口看,即是端口7��,不斷發(fā)送小的UDP數(shù)據(jù)包來實現(xiàn)。攻擊看似發(fā)自兩個策源地���,可能是兩個攻擊者同時使用不同的工具。在任何情況下����,超負(fù)荷的數(shù)據(jù)流都會拖垮Web服務(wù)器。然而攻擊地址源不確定�����,不知道是攻擊源本身是分布的����,還是同一個地址偽裝出許多不同的IP地址,這個問題比較難判斷���。假如源地址不是偽裝的�����,是真實地址��,則可以咨詢ARIN I美國Internet號碼注冊處�����,從它的“whois”數(shù)據(jù)庫查出這個入侵1P地址屬于哪個網(wǎng)絡(luò)��。接下來只需聯(lián)系那個網(wǎng)絡(luò)的管理員就可以得到進一步的信息�����。
那么假如源地址是偽裝的��,追蹤這個攻擊者就麻煩得多��。若使用的是Cisco路由器���,則還需查詢NetFlow高速緩存�。NetFlow是Cisco快速轉(zhuǎn)發(fā)(CEF)交換框架的特性之一���。為了追蹤這個偽裝的地址�,必須查詢每個路由器上的NetFlow緩存�,才能確定流量進入了哪個接口,然后通過這些路由器一次一個接口地往回一路追蹤�,直至找到那個IP地址源。然而這樣做是非常難的,因為在Web Server和攻擊者的發(fā)起pc之間可能經(jīng)由許多路由器��,而且屬于不同的組織�。另外,必須在攻擊正在進行時做這些分析�。
經(jīng)過分析之后,將防火墻日志和路由器日志里的信息關(guān)聯(lián)起來��,發(fā)現(xiàn)了一些有趣的相似性��,如表黑色標(biāo)記處���。攻擊的目標(biāo)顯然是Web服務(wù)器192.68.0.175,端口為UDP 7���,即回顯端口�。這看起來很像拒絕服務(wù)攻擊(但還不能確定�����,因為攻擊的分布很隨意)�����。地址看起來多多少少是隨意而分散的,只有一個源地址是固定不變的�,其源端口號也沒變。這很有趣����。接著又將注意力集中到路由器日志上。
立刻發(fā)現(xiàn)�����,攻擊發(fā)生時路由器日志上有大量的64字節(jié)的數(shù)據(jù)包���,而此時Web服務(wù)器日志上沒有任何問題�����。他還發(fā)現(xiàn)����,案發(fā)時路由器日志里還有大量的“UDP-other”數(shù)據(jù)包�,而Web服務(wù)器日志也一切正常。這種現(xiàn)象與基于UDP的拒絕服務(wù)攻擊的假設(shè)還是很相符的�。
攻擊者正是用許多小的UDP數(shù)據(jù)包對Web服務(wù)器的回顯(echo 7)端口進行洪泛式攻擊,因此他們的下一步任務(wù)就是阻止這一行為����。首先���,我們在路由器上堵截攻擊?��?焖俚貫槁酚善髟O(shè)置了一個過濾規(guī)則�����。因為源地址的來源很隨機,他們認(rèn)為很難用限制某個地址或某一塊范圍的地址來阻止攻擊���,因此決定禁止所有發(fā)給192.168.0.175的UDP包�。這種做法會使服務(wù)器喪失某些功能�,如DNS,但至少能讓W(xué)eb服務(wù)器正常工作���。
路由器最初的臨時DOS訪問控制鏈表(ACL)
access-list 121 remark Temporary block DoS attack on web server 192.168.0.175
access-list 105 deny udp any host 192.168.0.175
access-list 105 permit ip any any
這樣的做法為Web服務(wù)器減輕了負(fù)擔(dān)��,但攻擊仍能到達(dá)web����,在一定程度上降低了網(wǎng)絡(luò)性能。 那么下一步工作是聯(lián)系上游帶寬提供商��,想請他們暫時限制所有在他的網(wǎng)站端口7上的UDP入流量����。這樣做會顯著降低網(wǎng)絡(luò)上到服務(wù)器的流量。
三�、針對DOS預(yù)防措施
對于預(yù)防及緩解這種帶寬相關(guān)的DoS攻擊并沒有什么靈丹妙藥。本質(zhì)上�,這是一種“粗管子打敗細(xì)管子”的攻擊。攻擊者能“指使”更多帶寬�,有時甚至是巨大的帶寬,就能擊潰帶寬不夠的網(wǎng)絡(luò)��。在這種情況下����,預(yù)防和緩解應(yīng)相輔相成。
有許多方法可以使攻擊更難發(fā)生����,或者在攻擊發(fā)生時減小其影響,具體如下:
Ø 網(wǎng)絡(luò)入口過濾
網(wǎng)絡(luò)服務(wù)提供商應(yīng)在他的下游網(wǎng)絡(luò)上設(shè)置入口過濾����,以防止假信息包進入網(wǎng)絡(luò)(而把它們留在Internet上)��。這將防止攻擊者偽裝IP地址����,從而易于追蹤��。
Ø 網(wǎng)絡(luò)流量過濾
過濾掉網(wǎng)絡(luò)不需要的流量總是不會錯的�����。這還能防止DoS攻擊�,但為了達(dá)到效果,這些過濾器應(yīng)盡量設(shè)置在網(wǎng)絡(luò)上游��。
Ø 網(wǎng)絡(luò)流量速率限制 一些路由器有流量速率的最高限制��。
這些限制條款將加強帶寬策略����,并允許一個給定類型的網(wǎng)絡(luò)流量匹配有限的帶寬����。這一措施也能預(yù)先緩解正在進行的攻擊,同時����,這些過濾器應(yīng)盡量設(shè)置在網(wǎng)絡(luò)上游(盡可能靠近攻擊者);
Ø 入侵檢測系統(tǒng)和主機監(jiān)聽工具
IDS能警告網(wǎng)絡(luò)管理員攻擊的發(fā)生時間��,以及攻擊者使用的攻擊工具����,這將能協(xié)助阻止攻擊����。主機監(jiān)聽工具能警告管理員系統(tǒng)中是否出現(xiàn)DoS工具
Ø 單點傳送RPF
這是CEF用于檢查在接口收到的數(shù)據(jù)包的另一特性。如果源IP地址CEF表上不具有與指向接收數(shù)據(jù)包時的接口一致的路由的話��,路由器就會丟掉這個數(shù)據(jù)包����。丟棄RPF的妙處在于,它阻止了所有偽裝源IP地址的攻擊�。
針對DDOS預(yù)防措施
看了上面的實際案例我們也了解到,許多DDoS攻擊都很難應(yīng)對�����,因為搞破壞的主機所發(fā)出的請求都是完全合法��、符合標(biāo)準(zhǔn)的�,只是數(shù)量太大�����。借助恰當(dāng)?shù)腁CL�����,我們可以阻斷ICMP echo請求��。但是�����,如果有自己的自治系統(tǒng)����,就應(yīng)該允許從因特網(wǎng)上ping你�����。不能ping通會使ISP或技術(shù)支持團隊(如果有的話)喪失某些故障排解能力��。也可能碰到具有Cisco TCP截獲功能的SYN洪流:
Router(config)#ip tcp intercept list 101
Router(config)#ip tcp intercept max-incomplete high 3500
Router(config)#ip tcp intercept max-incomplete low 3000
Router(config)#ip tcp intercept one-minute high 2500
Router(config)#ip tcp intercept one-minute low 2000
Router(config)#access-list 101 permit any any
如果能采用基于上下文的訪問控制(Context Based Access Control���,CBAC)�����,則可以用其超時和閾值設(shè)置應(yīng)對SYN洪流和UDP垃圾洪流����。例如:
Router(config)# ip inspect tcp synwait-time 20
Router(config)# ip inspect tcp idle-time 60
Router(config)# ip inspect udp idle-time 20
Router(config)# ip inspect max-incomplete high 400
Router(config)# ip inspect max-incomplete low 300
Router(config)# ip inspect one-minute high 600
Router(config)# ip inspect one-minute low 500
Router(config)# ip inspect tcp max-incomplete host 300 block-time 0
警告:建議不要同時使用TCP截獲和CBAC防御功能��,因為這可能導(dǎo)致路由器過載���。
打開Cisco快速轉(zhuǎn)發(fā)(Cisco Express Forwarding����,CEF)功能可幫助路由器防御數(shù)據(jù)包為隨機源地址的洪流��?�?梢詫φ{(diào)度程序做些設(shè)置�,避免在洪流的沖擊下路由器的CPU完全過載:
Router(config)#scheduler allocate 3000 1000
在做了這樣的配置之后,IOS會用3s的時間處理網(wǎng)絡(luò)接口中斷請求�����,之后用1s執(zhí)行其他任務(wù)�����。對于較早的系統(tǒng),可能必須使用命令scheduler interval《milliseconds》��。
四��、總結(jié)
無論是出于報復(fù)����、敲詐勒索、發(fā)起更大規(guī)模攻擊���,DoS或DDoS攻擊都是一種不容輕視的威脅���。非同一般的DoS攻擊通常是某種不完整的漏洞利用—使系統(tǒng)服務(wù)崩潰,而不是將控制權(quán)交給攻擊者����。防范這種攻擊的辦法是及時打上來自廠商的補丁,或者對于Cisco系統(tǒng)���,及時將操作系統(tǒng)升級到更新版本���。同時,要關(guān)閉有漏洞的服務(wù)�,或者至少要用訪問控制列表限制訪問。常規(guī)的DoS攻擊���,特別是DDoS攻擊�����,經(jīng)常不是那么有章法���,也更難防范。如果整個帶寬都被蹩腳的ping洪流所耗盡��,我們所能做的就很有限了��。最后����,必須與ISP和權(quán)力部門協(xié)作,盡可能從源頭上阻止攻擊�����。要用不同供應(yīng)商、不同AS路徑并支持負(fù)載均衡功能的不止一條到因特網(wǎng)的連接���,但這與應(yīng)對消耗高帶寬的常規(guī)DoS/DDoS洪流的要求還相差很遠(yuǎn)�����。我們總是可以用CAR或NBAR來拋棄數(shù)據(jù)包或限制發(fā)動進攻的網(wǎng)絡(luò)流速度���,減輕路由器CPU的負(fù)擔(dān),減少對緩沖區(qū)和路由器之后的主機的占用��。
文章來源:
浙公網(wǎng)安備 33010802012068號
