Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议
--------------------------------------------------
1、使用 ip verfy unicast reverse-path 网络接口命令
--------------------------------------------------
这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。
在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。
------------------------------------------------------
2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址
------------------------------------------------------
参考以下例子:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
----------------------------------------------------
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文
----------------------------------------------------
参考以下例子:
{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip {客户端网络} {客户端网络掩码} any
access-list 190 deny ip any any [log]
interface {内部网络接口} {网络接口号}
ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip {客户端网络} {客户端网络掩码} any
access-list 187 permit ip any any
access-list 188 permit ip {客户端网络} {客户端网络掩码} any
access-list 188 deny ip any any
interface {外部网络接口} {网络接口号}
ip access-group 187 in
ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
-------------------------------------------------------
4、使用CAR(Control Access Rate)限制ICMP数据包流量速率
-------------------------------------------------------
参考以下例子:
interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
请参阅IOS Essential Features <http://www.cisco.com/public/cons/isp/documents/IOSEssentialsPDF.zip>获取更详细资料。
------------------------
5、设置SYN数据包流量速率
------------------------
interface {int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在实现应用中需要进行必要的修改,替换:
45000000为最大连接带宽
1000000为SYN flood流量速率的30%到50%之间的数值。
burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。
注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用"show interfaces rate-limit"命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。
警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。
另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。
-----------------------------------
6、搜集证据并联系网络安全部门或机构
-----------------------------------
如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。
< 完 >
------------------------------------------------------------
更多的技术资料,请参阅以下文档:
Characterizing and Tracing Packet Floods Using Cisco Routers
<http://www.cisco.com/warp/public/707/22.html>
Improving Security on Cisco Routers
<http://www.cisco.com/warp/public/707/21.html>
------------------------------------------------------------
| mzd73 回复于:2002-11-05 00:04:37 |
| 关于 DDoS 攻击事件的探讨 一、前言: 在 89 年 2 月 9 日,美国几个著名的商业网站(例如 Yahoo、eBay、 CNN、Amazon、buy.com)等等,遭受骇客以「分布式阻断攻击」 (Distributed Denial of Service Attacks),与以往攻击事件不同的 是,本次攻击事件并没有网站遭到入侵,资料也没有遭到窜改或是破坏。 其方法是利用程序在瞬间产生大量的网络封包,以瘫痪对方之网络及主机 ,使得正常的使用者无法获得主机及时的服务。这种 DDoS 攻击方式就像 是同某家公司的电话总机同一时间被同一个人(或是同一批人)不停的拨 进电话,占据有限的电话线路,导致其它正常使用者没办法接通的道理是 一样的。 这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视,因 为一来现在许多公司高度倚赖电子商务以及网络服务,二来这些攻击来自 世界各地的假造 IP 地址,造成追查幕后真正凶手的难度极高。如果今日 不研究出有效的防止或追查措施,则日后此类事件将层出不穷。 二、攻击工具 本次攻击事件主要使用 Trinoo 以及 TFN/TFN2K 等两种类型,关于这些 工具的简介,请参阅 TW-CERT 的网址(http://www.cert.org.tw/)。对 于这些攻击工具本身固然要了解,然而这些工具的发展尚处于萌芽阶段, 重要的并不是这些工具攻击的手法,而是其「分布式攻击的作法」。此外 ,这些工具经过有心人的修改已经出现了 Windows 上的版本,如果日后 这些工具以病毒的方式传播,则日后再发生分布式攻击事件的话,其威力 将难以想象。 三、防治办法(一):防止假造地址(IP Sooofing) 在一般的网络攻击事件中,骇客通常会假造封包的来源地址(source IP) ,以增加追查的难度,然而要防止假造的 source IP 却需要各地区网的 配合,尤其是具有高速网络连结的单位(例如学校、政府机关或民间网络 公司),或是区网内使用者复杂的单位(例如 ISP)。 如果各地区网的管理人员能够从 Router 上滤掉不应该出现在该区网的 source IP,则可以防止区网内的人员送出假造 source IP 的封包。当然 这些捣蛋鬼还是可以送出伪造成区网内的其它 source IP 的封包,但毕 竟范围小得多,他们也会心有顾忌。 此外,如果区网 Router 禁止送出非区网内的 source IP,则此区网也比 较不会成为骇客入侵当作跳板的机会,这样也相对的增进区网的安全性。 当然在 Router 上设限会影响 Router 的效能,所以如果要在每一个子区 网内都做这些设定可能要看硬件是否能负荷,但是至少在各区网的总出口 Router 上应该要做这些设定。防止假造 source IP 是所有网域网管的责 任,并不是一己之力可轻易达成的。 以下简介一些基本的想法: 1. Router 应该只允许「source IP 」属于区网的 IP 出去 这样可以防止区网内使用者送出(大范围)source IP 的封包。 2. Router 应该只允许「source IP」『不属于』区网 IP 进入 因为如果封包的 source IP 是区网内 IP 的话,怎幺可能是从外部网 路发出的,这样可以防止外来的封包假装是区网内的 IP 企图穿透防 火墙。 3. Router 应该丢弃不应该出现在公开网络上的 source IP 例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 这几个常见的 IP 地址都属于区域性的私有 IP,不可能(也不应该) 透过 Router 在公开网络上跑来跑去。此外,也应该要阻挡「目的 IP 」是 *.*.*.0 以及 *.*.*.255 的封包,因为这些 Network Address IP 跟 Broadcast Address IP 都是只会出现在子网域内部,而没必要 让外来人士存取这些 IP,这样可以避免 Smurf Attack 之类的攻击。 4. 使用 Router 的特殊功能 有些 Router 本身有内建类似的功能,例如 Cisco Router 的 CEF ( Cisco Express Forwarding),可以针对封包 source IP 跟 Routing Table 做比较并加以过滤。 四、防治办法(二):监控异常流量或安装 IDS 在防御攻击方面,区网内部可以安装具有网络入侵侦测功能的软件 (Intrusion Detection System)并定期更新其资料文件,如此可侦测已知 的 DDoS 攻击程序是否已入侵区网中的机器,或是是否有其它的攻击正在 进行。 另外,由于目前的 DDoS 是以 SYN/ICMP flooding 的方式攻击,如果能 利用 Router 上的流量限制功能(例如 Cisco 的 Committed Access Rate)来限制 SYN/ICMP 封包所能占有的最高频宽,则可以减轻遭受类似 攻击的影响程度。不过在对任何协议做流量限制之前,最好能先评估一般 的正常流量为何,以避免限制的太严格,反而影响正常运作。 此外,地区网管也要时常监控网络流量,注意是否有异常流量的发生,若 无法解决可询问相关厂商或是寻求 CERT 协助。 五、结语 (节录自本中心主任陈年兴博士对于 DDoS 攻击事件的综合评析) 在此ㄧ事件中,我们要呼吁所有网际网络上主机系统的管理者,都要非常 正视网络安全事件的重要性。千万不可认为自己所管的主机上并没有存放 重要资料,就认为无所谓, 殊不知本身虽无重要信息外流的危险或损失 ,但是却可能造成有心者攻击其它网络上重要服务主机的ㄧ个跳板。而这 种情形对网际网络上整体安全性来说,是一个非常大的威胁。网际网络创 造了ㄧ个地球村(Global Community),此ㄧ事件提醒大家,为了整体网 路的安全,地球村的每一位公民都应当要善尽维护网络安全的ㄧ份心力与 责任。 |
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/
