基于主机的DDoS防御

基于主机的DDoS防御

作者：林 颖

来源：《电脑知识与技术》2010年第09期

摘要:分布式拒绝服务DDoS是一种常见的、攻击性强的网络攻击,网络中的任何主机都有可能成为攻击的对象。就这种现状,对DDoS的攻击原理、类型和现象进行了分析,提出了一些基于主机本身的DDoS防御方法。

关键词:校园网;网络安全;分布式拒绝服务;主机防御;日志

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2121-02 The Defense of DDoS Based on Host LIN Ying

(Network, Education & Technique Center of Wuyi University, Wuyishan 354300, China) Abstract: Distributed Denial of Service (DDoS) is a common and aggressive cyber attack, which can attack any host in the network. In order to solve the problem, this paper analyzes the principle, the types and the phenomenon of the attack, and finally puts forward some host-based means of defense. Key words:campus network; network security; distributed denial of service; host defense; log 网络给人们带来了快速、便捷的生活,人们的生活越来越离不开网络。同时随着网络的迅猛发展,网络中的攻击日益增多,网络安全问题也日益受到人们的重视。

在众多的网络攻击中,DDoS(Distributed Denial of Service分布式拒绝服务)攻击是一种常见的、危害极大的网络攻击方式,因此如何防范DDoS攻击也成为了人们高度关注的网络安全问题之一。

目前,校园网络中基本都会配置防火墙等网络安全工具,这些工具可以对DDoS攻击起到一定的防范作用,但都还不能完全绝对地防范DDoS攻击,为此我们还应加强校园网中计算机自身的防御能力,以减少遭到DDoS攻击的可能。本文就基于主机的DDoS防御问题进行了探讨。 1 DDoS攻击的原理

DDoS是在网络中通过数目众多的分布式攻击源进行协同操作,同时进行大量的拒绝服务(DoS)攻击,从而达到让攻击目标瘫痪的一种攻击方式[1]。

龙源期刊网 http://www.qikan.com.cn

一般情况下,一个DDoS攻击体系主要包括攻击者、主控端、傀儡机和攻击对象四个部分。它是攻击者利用网络中的一些计算机防护能力较差或者存在系统漏洞,非法入侵并控制它们,使之成为主控端或傀儡机,进而通过主控端操纵大量傀儡机,让这些傀儡机在其命令下对攻击对象发起攻击。

常见的DDoS攻击有SYN/ACK Flood、smurf、Land-based等。

SYN/ACK Flood 攻击:这是经典最有效的DDoS 攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP 和源端口的SYN 或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务[2]。

smurf攻击:该攻击是利用一个虚假IP源地址(即要攻击的主机地址),向受害网络的广播地址发送一个ICMP应答请求的包,当受害网络中的所有主机都对广播包的请求进行回应时,这些包就会涌向被攻击的主机,从而最终导致攻击目标的资源被耗尽。

Land-based:该攻击是攻击者利用IP伪装技术将数据包的源地址和目的地址均设为攻击目标的地址并发给攻击目标。当这种包发向攻击目标时,攻击目标会因为试图与自己建立连接而陷入死循环状态,最终造成系统性能严重降低。 2 主机遭到DDoS攻击的常见现象

如何判断计算机是否受到了DDoS攻击呢?如果网络中的主机出现以下这些现象就应该引起注意:

1) 计算机系统的性能突然严重降低,CPU的使用率高达90%以上,系统运行缓慢甚至出现蓝屏停止工作等。

2) 当服务器的访问量骤增,比平常正常运行时的最大流量高出十几甚至上百倍。 3) 当服务器上出现的数据包很多不是服务器所提供服务连接的一部分,例如FTP服务器上出现的数据包不是指向FTP端口而是其它的端口。

4) 服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少。 5) 服务器提供的某一服务总是失败。

6) 检查日志文件,发现日志文件有漏洞或日志时间出现变更。 3 基于主机的DDoS防御方法

龙源期刊网 http://www.qikan.com.cn

我们知道,DDoS攻击的出现可能会对校园网产生很大危害,所以在校园网中进行DDoS防御显得相当重要。

校园网中除了在路由器、防火墙等工具中设置防御,还应在主机上设置自身的防御,这是因为网络中计算机可能成为DDoS攻击中的主控端、傀儡机或攻击对象之一。我们不仅要在服务器上进行DDoS防御,而且要在个人计算机上也进行DDoS防御,以提高每台单机防御DDoS的能力。如果校园网中的每台主机防御能力都提高了,那么整个校园网的防御能力也自然会在原有的基础上有所提高。

服务器是特别的主机,它的防御与个人计算机有所不同,接下来我们就来看看在服务器和个人计算机上进行DDoS攻击防御的一些措施。

1) 积极关注信息,及时发现系统漏洞,对系统进行补丁。

DDoS攻击是利用计算机系统本身防御能力差或存在漏洞发起攻击,由此可见,受到攻击的很大因素是系统防御能力差或存在漏洞,给攻击者提供了可乘之机,因此及时对系统漏洞进行修补是我们防范DDoS的第一步。

2) 入侵者一般是通过扫描端口,找到漏洞进而攻击计算机,所以在计算机上关闭不使用的、危险的端口是十分必要的。

关闭端口前,我们应该先确定在计算机上有哪些端口是开放的。打开命令窗口,输入netstat –na命令,就可以看到计算机当前有哪些端口是开放的(如图1)。之后我们根据需要关闭计算机上的不同端口。

如果是服务器,我们还可以在服务器上关闭不需要的端口, 如:服务器只提供Web服务,那么我们只需要开放其80端口。如果不确定服务对应的端口号,可以通过记事本打

开%windir%\\system32\\drivers\\etc\\services来查看相关服务及其对应的端口,再根据需要进行关闭。

那么如何关闭端口呢?以windowsXP为例,我们可以利用系统本身提供的功能进行关闭。打开“控制面板”中的“本地连接”的“属性”对话框,双击“Internet协议(TCP/IP)”在弹出的对话框中单击“高级(v)”按钮,在弹出的“高级TCP/IP设置”对话框中选择“选项”选项卡(如图2),再单击“属性”按钮,打开“TCP/IP筛选”对话框(如图3),在对应的端口类型上选择“只允许”后“添加”所需的端口后,单击确定,重启后即可。

当然我们还可以应用一些软件和路由器来关闭端口,这里就不一一说明了。 3) 关闭server服务和远程登录服务。

龙源期刊网 http://www.qikan.com.cn

安装了Windows2000、Xp等操作系统系统的计算机中都存在着IPC$。IPC$(Internet Process Connection)是共享“命名管道”的资源,也有人称其为网际进程连接,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用[3]。

telnet服务是提供远程登录服务,用户通过此服务远程访问计算机进行相关操作。 开放IPC$和telnet服务在为管理员管理计算机提供方便的同时也给攻击者提供了机会,攻击者利用这些服务访问计算机从而进行攻击,所以我们可以通过关闭IPC$和telnet服务来提高计算机的安全性。

打开“控制面板”—>“管理工具”—>“服务”,找到server和telnet服务,分别单击右键,选择“停止”即可。其中server服务停止后,IPC$也被关闭了,但由于server服务本身还涉及到其他服务,因此如果是服务器,在关闭此服务前要判断是否会影响服务器工作。

4) 定时检查日志文件,建立相应的日志分析系统,对主机的日志进行分析,以便及早发现入侵行为加以防范。

主机的日志有很多,如安全日志、系统日志、应用程序日志等。如果是服务器,根据它所提供的服务有其对应的日志文件,如FTP日志、WWW日志等。由于日志文件会记录下系统的所有操作,从日志中我们可以及时发现异常现象。当系统被攻击时, 通过分析日志可以找出当前的系统漏洞, 确定网络安全中的薄弱环节, 分析和定位可能出现的攻击, 从而采取相应的措施加强网络控制[4],所以对日志进行分析系统对防范DDoS攻击也是十分必要的。日志数据非常多,仅靠人工分析是不现实的,这时我们可以借助日志分析工具如Faststs Analyzer、Logs2Intrusions v.1.0、AWStats等等。

要使用日志分析工具,首先要提供日志文件,每个系统都有其日志存放的位置,以windows XP为例,常见的一些日志存放在以下位置:

安全日志文件:%systemroot%\\system32\\config\\SecEvent.EVT 系统日志文件:%systemroot%\\system32\\config\\SysEvent.EVT 应用程序日志文件:%systemroot%\\system32\\config\\AppEvent.EVT ……

FTP日志文件:%systemroot%\\system32\\LogFiles\\MSFTPSVC1 4 结束语

龙源期刊网 http://www.qikan.com.cn

DDoS(分布式拒绝服务)攻击严重影响着校园网的安全稳定运行,为了改善这种状况,提出了加强校园网中各主机自身对DDoS的防御能力,从而提高全网的整体防御能力。随着网络的发展,新的DDoS攻击方式不断出现,只有不断地进行研究,才能更加有效地进行DDoS防御。 参考文献:

[1] 韩竹,范磊,李建华.基于源端检测的DDoS防御机制[J].计算机工程,2007,33(19). [2] 马鸿雁.防范DDoS[J].电脑知识与技术,2009,5(3).

[3] 曹英存,张伟峰.限制Windows服务器IPC$的远程默认共享策略[J].和田师范专科学校学报,2006,26.

[4] 吴教育,卢宁.陈一天.日志文件的集中管理和分析[J].电脑开发与应用,2004,17.