简单利用路由黑洞解决DDOS流量攻击

黑洞路由

黑洞路由,便是将所有无关路由吸入其中,使它们有来无回的路由,一般是admin主动建立的路由条目。
  提到黑洞路由就要提一下null0接口。
  null0口是个永不down的口,一般用于管理,详见null0的词条
  admin建立一个路由条目,将接到的某个源地址转向null0接口,这样对系统负载影响非常小。
  如果同样的功能用ACL(地址访问控制列表)实现,则流量增大时CPU利用率会明显增加。
  所以,设置黑洞路由一直是解决固定DOS攻击的最好办法。
  相当于洪水来临时,在洪水途经的路上附近挖一个不见底的巨大深坑,然后将洪水引入其中。
  黑洞路由最大的好处是充分利用了路由器的包转发能力,对系统负载影响非常小。
  在路由器中配置路由黑洞完全是出于安全因素,设有黑洞的路由会默默地抛弃掉数据包而不指明原因。
  一个黑洞路由器是指一个不支持PMTU且被配置为不发送“Destination Unreachable--目的不可达”回应消息的路由器。
  可以这样看:
  如果一个路由器不支持PMTU并且配置为不发送ICMP Destination Unreachable消息数据包,那么源主机可能发送一个永远得不到路由的大数据包。因为路由器没有给源主机发回应消息,主机不能确定PMTU就是问题的所在。但如果源主机端启用了PMTU,则源主机在重试几次大的MTU之后,如果还收不到路由器的应答,那源主机自动将PMTU设置为576bytes.
  在Windows 2000下PMTU启用设置是---HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
  EnablePMTUBHDetect REG_DWORD 0(默认禁用)或1(启用)
  在Windows XP下也可以试一下。
  (NOTE:PMTU--Path Maximum Transfer Unit是指当一个要发送的数据包的大小与当前路径中的最小的MTU值一样)

简单利用路由黑洞解决DDOS流量攻击 :

本文向大家介绍黑洞抗DoS/DDoS防火墙,可能好多人还不了解黑洞抗DoS/DDoS防火墙,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西

什么是DDOS

DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。

DoS/DDoS主要采用的是SYN FLOOD及其变种的攻击,现在新的比如CC的攻击也属于这个范畴但是CC更智能一些,它用的是多次读取同一个服务器存在的文件的方式,现有的DoS/DDoS防火墙和防火墙软件都是采用的防止SYN以及FLOOD的攻击没有做重复包的检测,所以导致了大多数防火墙对CC造成的DoS/DDoS攻击没效果;防火墙是基于内核的网桥式重复包检测、SYN FLOOD过滤、ARP过滤,这样即便你是伪造的包,但是因为防火墙没这个存在的ARP地址而导致这个是一个不合法的包从而被防火墙过滤掉,如果一个数据包想通过这个防火墙就必须符合以下的特点,一是已经存在的ARP这个可以被验证是正确的ARP,二是这个数据包不是重复的包(200NS以内),三是这个连接地址是存在的,四这个数据包的状态是持续的连接,如果不是持续的连接一样被过滤掉。

DoS/DDoS现在比较流行的一种方式是CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,导致玩家进入游戏界面选择和建立不了人物。其基本原理是:攻击发起主机(attacker host) 多次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务( Denial of Service ) 。这是一种很聪明的分布式拒绝服务攻击( Distributed Denial of Service ) 与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机,代理服务器充当了这个角色。

那么,机房采用的硬件防火墙能不能很好的防御DoS/DDoS攻击呢?

要研究这个问题,还是先来看看国内的机房都采用哪些硬件防火墙:其实目前国内抗DoS/DDoS防火墙比较知名的,同时信誉度和使用效果也比较好的应该是黑洞、金盾和Dosnipe的产品。一些其他的所谓“XX盾DoS/DDoS防火墙”多半是抄袭篡改或者完全就是没有实际效果只是用来骗钱的东西。

黑洞抗DoS/DDoS防火墙

黑洞抗DoS/DDoS防火墙是国内IDC中应用比较广泛的一款抗DoS/DDoS攻击产品,其技术比较成熟,而且防护效果显著,黑洞抗DoS/DDoS防火墙已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,黑洞性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器,百兆黑洞主要用于保护子网和服务器,使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率,核心算法由汇编实现,针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化,效率远高于目前流行的SYN Cookie和Random Drop等算法。

黑洞所带来的防护

◆自身安全:无IP地址,网络隐身。

◆能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS/DDoS攻击进行防护。

◆可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质、抑制网络蠕虫扩散。

◆可以防护DNS Query Flood,保护DNS服务器正常运行。

◆可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。

 

一、     简介:

 

当互联网上DDOS流量攻向我们的网络,连接上游ISP的链路将变得非常拥塞,为了减轻DDOS流量所带来影响,减轻链路带宽的拥塞,我们可以在上游ISP把这些DDOS攻击流量路由到黑洞里面,但实现的前提条件是上游ISP协商出一个BGP blackhole community

 

二、     思路:

 

如果运营商提供黑洞,有两个方面需要我们考虑:

1.  我们需要考虑什么样的情况下才把流量路由到黑洞里面?

首先想到的当然是流量监控与分析,如当某些IP或某些IP段流量达到一定程度,当某些IPPPS达到一定程度,我们可以认为发往这个(些)IP的流量是异常流量,是DDOS攻击流量。

2.  我们又如何把这些流量路由到黑洞里面呢?

l  DDOS攻击的主机(如:202.96.134.133/32)创建一个指向黑洞的主机路由,把这条路由打上一个特殊的BGP blackhole community(413465535)后通告到上游ISP,因此,上游ISP可以根据BGP blackhole community把攻击流量路由到黑洞。

l  DDOS攻击的是一段主机(如:202.96.134.0/24),我们可以创建一个指向黑洞的一段IP的路由,把这条路由打上一个特殊的BGP blackhole community(413465535)后通告到上游ISP,因此,上游ISP可以根据BGP blackhole community把攻击流量路由到黑洞。

l  当监控到流量恢复正常后,我们把这条(段)路由的BGP blackhole community标签除去。

 

三、     实施:

 

以下实施是在Cisco 路由器上实现的。

1.创建一条指向黑洞的路由,打上999的标签

Ip route 202.96.134.133 255.255.255.255 null0 tag 999

2.创建一个用来打上BGP blackhole communityroute-map

  Route-map blackhole permit 10

  Match tag 999

  Set community 413465535

  Route-map blackhole permit 20

  !

3.  BGP blackhole community通告到ISP

Router bgp 65535

Network 202.96.132.0 mask 255.255.255.0

Network 202.96.134.0 mask 255.255.255.0

Neighbor 202.96.134.1 remote-as 4134

Neighbor 202.96.134.1 remote-as active

Neighbor 202.96.134.1 route-map blackhole out

四、     总结:

该方法实施简单,当IP受到外界攻击,链路带宽拥塞时,不需要再电话或邮件通知ISP封锁受攻击的IP,当恢复时也不再需要ISP的配合,我们完全可以自已掌控。

缺点是还没有办法做到自动判断,下次考虑出自动判断的方法再将思路写出来,第一次原创,如果大家有什么好的意见,有什么看法,欢迎拍砖。

你可能感兴趣的:(服务器安全)