安全建议文档
——DOS攻击介绍与防御
文档索引
文档编号:30SAN‐HZ‐SC‐GOV‐BZ‐20071211‐001
文档分类:建议文档
提交日期
提交方 杭州三零盛安信息安全系统有限公司
提交日期 2007-12-11
版本信息
日期 版本 撰写者 审核者 描述
2007-12-11V1.0 郑赳
所有权声明
文档里的资料版权归杭州三零盛安信息安全系统有限公司("三零盛安")所有。未经杭州三零盛安信息安全系统有限公司事先书面允许,不得复制或散发任何部分的内容。任何团体或个人未经批准,擅自观看文档将被认为获取了杭州三零盛安信息安全系统有限公司的私有信息而遭受法律的制裁。
目录
DOS攻击介绍与防御 (3)
一、 DOS 攻击介绍 (3)
二、 常见DOS攻击特点 (3)
三、 常见DOS攻击防御 (3)
四、 主动防御方法介绍和测试 (4)
1、 QOS流量限速防御介绍 (4)
2、 ACL过虑防御介绍 (6)
3、 主机防御介绍 (9)
五、 DOS攻击检查方法 (10)
1、使用sniffer等工具抓包分析 (10)
2、通过cisco命令show ip cach flow查看流量 (10)
3、通过查看NAT设备SESSION (11)
DOS攻击介绍与防御
一、 D OS 攻击介绍
DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos操作系统了。好象在5∙1的时候闹过这样的笑话。拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即让目标机器停止提供服务或资源访问。
DOS攻击主要是通过发送大量的数据包,从而占用带宽或者占满NAT设备的session。从而导致不能上网,打不开网页等。
二、 常见DOS攻击特点
常见的DOS攻击通常利用IP包头的四个参数,即源地址、目的地址、源端口、目的端口。我是根据4个参数不同来分类。
1.伪造源地址攻击
2.伪造目的地址攻击
3.固定源端口攻击
4.固定目的端口攻击
当然这几种攻击方法都可以组合应用,甚至可以组合成“4个参数”的都随即变化的攻击,对于这样的攻击防御是比较困难的。
基于以上的特点,要想完全防御DOS攻击,基本是不可能的。至少目前是没有好的办法来防御。
三、 常见DOS攻击防御
根据以上分类,我分别说明防御方法。
1.伪造源地址攻击
这种攻击方法是最常见的,也是所有DOS攻击里最厉害,防御难度最大的一种。
但是可以通过ACL做源地址限制来防御,但是因为网络接入环境比较复杂,工作量
都比较大,对于大的网络实现起来非常困难。
2.伪造目的地址攻击
这种攻击防御也比较困难,只能通过QOS限制流量来防御。可以通过QOS限制每个接入交换机端口的上传速率(input)为2M,甚至更低,可以根据实际情况来定。
但是这样是牺牲速率来实现的,这样会影响不同端口之间的文件传输。但是不会影响下载速度。
3.固定源端口攻击
这种攻击可以通过ACL过虑源端口号来防御,但是这样防御非常被动,只能根据经验,通过ACL把常见病毒端口过虑。
4.固定目的端口攻击
这种攻击可以通过ACL过虑源端口号来防御,但是这样防御非常被动,只能根据经验,通过ACL把常见病毒端口过虑。
四、 主动防御方法介绍和测试
1、Q OS流量限速防御介绍
可以主动防御上面所有DOS攻击,但是会牺牲带宽。只能把DOS攻击影响减至最小。要求所有接入设备都可管理、支持QOS,而且需要在每个接入端口上下发QOS。工作量比较大。
真实测试结果
未使用QOS:
名称: 参数
文件大小: 63.3M
上传传输时间 6.36秒
包的数量 48714
端口速率 162p/s 230553b/s
FTP显示上传速率 8463k/s
FTP显示下载速率 5733K/S
使用QOS,并把上传速率限制到640K:
名称: 参数
文件大小: 63.3M
上传传输时间 14分27秒
包的数量 47097
端口速率 54p/s 79931b/s FTP显示上传速率 74.9k/s
FTP显示下载速率 4865K/S
使用QOS,并把上传速率限制到4480K:
名称: 参数
文件大小: 63.3M
上传传输时间: 2分43秒
包的数量: 47447 129373b/s 端口速率 85P/s
FTP显示上传速率 512.9k/s
FTP显示下载速率 5311K/S
配置说明
Quidview 3900和5600系列
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则
[H3C-acl-adv-3000] rule 1 permit ip source 129.110.0.0 0.0.255.255
3.进入GigabitEthernet1/0/1端口
[H3C-acl-adv-3000]int GigabitEthernet1/0/1
4.对GigabitEthernet1/0/1口的流量进行流量限制,限制进来流量(input)的平均速
率为640kbps,对超出规格的报文全部丢弃(Drop)。
[H3C-GigabitEthernet1/0/1] traffic-limit inbound ip-group 3000 640 exceed drop Quidview 6500系列
interface Ethernet4/0/25
qos
traffic‐limit inbound ip‐group 3000 rule 0 system‐index 366 1 exceed drop(限制1M)
2、A CL过虑防御介绍
对伪造源IP地址的攻击能起到非常好的效果,基本能抵御所有的攻击。但是要求所有接入设备都可管理,而且要求在每个接入设备端口上下发ACL。工作量比较大,维护困难。
华为常见病毒防御策略
acl number 3001
rule 0 deny tcp source‐port eq 3127
rule 1 deny tcp source‐port eq 1025
rule 2 deny tcp source‐port eq 5554
rule 3 deny tcp source‐port eq 9996
rule 4 deny tcp source‐port eq 1068
rule 5 deny tcp source‐port eq 135
rule 6 deny udp source‐port eq 135
rule 7 deny tcp source‐port eq 137
rule 8 deny udp source‐port eq netbios‐ns
rule 9 deny tcp source‐port eq 138
rule 10 deny udp source‐port eq netbios‐dgm
rule 11 deny tcp source‐port eq 139
rule 12 deny udp source‐port eq netbios‐ssn
rule 13 deny tcp source‐port eq 593
rule 14 deny tcp source‐port eq 4444
