您的位置：浩海代码网 » 建站经验 » 当网站遭遇DDOS攻击的解决方案及展望

当网站遭遇DDOS攻击的解决方案及展望(2)

建站经验 2011-03-02 07:01:16 作者: 浩海代码网阅读() 评论字号：大中小订阅

　　二、事件分析

　　我的Web服务器发生了什么?很有可能攻击，那么受到什么样的攻击呢?从这一攻击是对回显端口看，即是端口7，不断发送小的UDP数据包来实现。攻击看似发自两个策源地，可能是两个攻击者同时使用不同的工具。在任何情况下，超负荷的数据流都会拖垮Web服务器。然而攻击地址源不确定，不知道是攻击源本身是分布的，还是同一个地址伪装出许多不同的IP地址，这个问题比较难判断。假如源地址不是伪装的，是真实地址，则可以咨询ARIN I美国Internet号码注册处，从它的“whois”数据库查出这个入侵1P地址属于哪个网络。接下来只需联系那个网络的管理员就可以得到进一步的信息。

　　那么假如源地址是伪装的，追踪这个攻击者就麻烦得多。若使用的是Cisco路由器，则还需查询NetFlow高速缓存。NetFlow是Cisco快速转发(CEF)交换框架的特性之一。为了追踪这个伪装的地址，必须查询每个路由器上的NetFlow缓存，才能确定流量进入了哪个接口，然后通过这些路由器一次一个接口地往回一路追踪，直至找到那个IP地址源。然而这样做是非常难的，因为在Web Server和攻击者的发起pc之间可能经由许多路由器，而且属于不同的组织。另外，必须在攻击正在进行时做这些分析。

　　经过分析之后，将防火墙日志和路由器日志里的信息关联起来，发现了一些有趣的相似性，如表黑色标记处。攻击的目标显然是Web服务器192.68.0.175，端口为UDP 7，即回显端口。这看起来很像拒绝服务攻击(但还不能确定，因为攻击的分布很随意)。地址看起来多多少少是随意而分散的，只有一个源地址是固定不变的，其源端口号也没变。这很有趣。接着又将注意力集中到路由器日志上。

　　立刻发现，攻击发生时路由器日志上有大量的64字节的数据包，而此时Web服务器日志上没有任何问题。他还发现，案发时路由器日志里还有大量的“UDP-other”数据包，而Web服务器日志也一切正常。这种现象与基于UDP的拒绝服务攻击的假设还是很相符的。

　　攻击者正是用许多小的UDP数据包对Web服务器的回显(echo 7)端口进行洪泛式攻击，因此他们的下一步任务就是阻止这一行为。首先，我们在路由器上堵截攻击。快速地为路由器设置了一个过滤规则。因为源地址的来源很随机，他们认为很难用限制某个地址或某一块范围的地址来阻止攻击，因此决定禁止所有发给192.168.0.175的UDP包。这种做法会使服务器丧失某些功能，如DNS，但至少能让Web服务器正常工作。

　　路由器最初的临时DOS访问控制链表(ACL)

　　access-list 121 remark Temporary block DoS attack on web server 192.168.0.175

　　access-list 105 deny udp any host 192.168.0.175

　　access-list 105 permit ip any any

　　这样的做法为Web服务器减轻了负担，但攻击仍能到达web，在一定程度上降低了网络性能。那么下一步工作是联系上游带宽提供商，想请他们暂时限制所有在他的网站端口7上的UDP入流量。这样做会显著降低网络上到服务器的流量。

　　三、针对DOS预防措施

　　对于预防及缓解这种带宽相关的DoS攻击并没有什么灵丹妙药。本质上，这是一种“粗管子打败细管子”的攻击。攻击者能“指使”更多带宽，有时甚至是巨大的带宽，就能击溃带宽不够的网络。在这种情况下，预防和缓解应相辅相成。

　　有许多方法可以使攻击更难发生，或者在攻击发生时减小其影响，具体如下：

　　Ø 网络入口过滤

　　网络服务提供商应在他的下游网络上设置入口过滤，以防止假信息包进入网络(而把它们留在Internet上)。这将防止攻击者伪装IP地址，从而易于追踪。

　　Ø 网络流量过滤

本文地址:http://122.114.238.25/article-1276.html

标签：

阅读| 评论| 举报

谈网站站内分析的必要性以及要诀

医院网站推广工作的阶段性总结

当网站遭遇DDOS攻击的解决方案及展望(2)

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接

浩海代码网 php 代码网 php代码 seo优化 php源码 php教程 mysql php代码网 Codeigniter

当网站遭遇DDOS攻击的解决方案及展望(2)

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接