网管必备：防范黑客几种分布式的攻击

拒绝服务攻击是一种遍布全球的系统漏洞，黑客们正醉心于对它的研究，而无数的网络用户将成为这种攻击的受害者。Tribe　Flood　Network,　tfn2k,　smurf,　targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来，使得我们的村落更为薄弱，我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击。

　　由于我们防范手段的加强，拒绝服务攻击手法也在不断的发展。 Tribe　Flood　Network　(tfn)　和tfn2k引入了一个新概念：分布式。这些程序可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击，如UDP　flood,　SYN　flood等。

　　操作系统和网络设备的缺陷在不断地被发现并被黑客所利用来进行恶意的攻击。如果我们清楚的认识到了这一点，我们应当使用下面的两步来尽量阻止网络攻击保护我们的网络:

　　尽可能的修正已经发现的问题和系统漏洞。

　　识别，跟踪或禁止这些令人讨厌的机器或网络对我们的访问。

　　我们先来关注第二点我们面临的主要问题是如何识别那些恶意攻击的主机，特别是使用拒绝服务攻击的机器。因为这些机器隐藏了他们自己的地址，而冒用被攻击者的地址。攻击者使用了数以千记的恶意伪造包来使我们的主机受到攻击。"tfn2k"的原理就象上面讲的这么简单，而他只不过又提供了一个形象的界面。假如您遭到了分布式的拒绝服务攻击，实在是很难处理。

　　有一些简单的手法来防止拒绝服务式的攻击。最为常用的一种当然是时刻关注安全信息以期待的方法出现。管理员应当订阅安全信息报告，实时的关注所有安全问题的发展。：） 第二步是应用滤的技术，主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击，使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。

　　对于应该使用向内的滤还是使用向外的滤一直存在着争论。RFC 2267建议在全球范围的互连网上使用向内过滤的机制，但是这样会带来很多的麻烦，在中等级别的路由器上使用访问控制列表不会带来太大的麻烦，但是已经满载的骨干路由器上会受到明显的威胁。另一方面，ISP如果使用向外的滤措施会把过载的流量转移到一些不太忙的设备上。ISP也不关心消费者是否在他们的边界路由器上使用这种技术。当然，这种过滤技术也并不是万无一失的，这依赖于管理人员采用的过滤机制。

　　1．ICMP防护措施

　　ICMP最初开发出来是为了"帮助"网络，经常被广域网管理员用作诊断工具。但今天各种各样的不充分的ICMP被滥用，没有遵守RFC 792原先制订的标准，要执行一定的策略可以让它变得安全一些。

　　入站的ICMP时间标记（Timestamp）和信息请求(Information Request)数据包会得到响应，带有非法或坏参数的伪造数据包也能产生ICMP参数问题数据包，从而允许另外一种形式的主机搜寻。这仍使得站点没有得到适当保护。

　　以秘密形式从主方到客户方发布命令的一种通用方法，就是使用ICMP Echo应答数据包作为载波。 回声应答本身不能回答，一般不会被防火墙阻塞。

　　首先，我们必须根据出站和入站处理整个的"ICMP限制"问题。ICMP回声很容易验证远程机器，但出站的ICMP回声应该被限制只支持个人或单个服务器/ICMP代理（首选）。

　　如果我们限制ICMP回声到一个外部IP地址（通过代理），则我们的ICMP回声应答只能进入我们网络中预先定义的主机。

　　重定向通常可以在路由器之间找到，而不是在主机之间。防火墙规则应该加以调整，使得这些类型的ICMP只被允许在需要信息的网际连接所涉及的路由器之间进行。

　　建议所有对外的传输都经过代理，对内的ICMP传输回到代理地址的时候要经过防火墙。这至少限制了ICMP超时数据包进入一个内部地址，但它可能阻塞超时数据包。

　　当ICMP数据包以不正确的参数发送时，会导致数据包被丢弃，这时就会发出ICMP参数出错数据包。主机或路由器丢弃发送的数据包，并向发送者回送参数ICMP出错数据包，指出坏的参数。

　　总的来说，只有公开地址的服务器（比如Web、电子邮件和FTP服务器）、防火墙、联入因特网的路由器有真正的理由使用ICMP与外面的世界对话。如果调整适当，实际上所有使用进站和出站ICMP的隐密通讯通道都会被中止。

　　2. SYN Flood防范

　　SYN Flood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。对于SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟悉攻击方法和系统架构，通过一系列的设定，也能从一定程度上降低被攻击系统的负荷，减轻负面的影响。

　　一般来说，如果一个系统（或主机）负荷突然升高甚至失去响应，使用Netstat 命令能看到大量SYN_RCVD的半连接（数量>500或占总连接数的10%以上），可以认定，这个系统（或主机）遭到了SYN Flood攻击。遭到SYN Flood攻击后，首先要做的是取证，通过Netstat –n –p tcp >resault.txt记录目前所有TCP连接状态是必要的，如果有嗅探器，或者TcpDump之类的工具，记录TCP SYN报文的所有细节也有助于以后追查和防御，需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，这些信息虽然很可能是攻击者伪造的，但是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，我们往往能推断出攻击者与我们之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）。从防御角度来说，有几种简单的解决方法：

　　2.1缩短SYN Timeout时间:由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

　　2.2设置SYN Cookie:就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

　　2.3负反馈策略:参考一些流行的操作系统，如Windows2000的SYN攻击保护机制：正常情况下，OS对TCP连接的一些重要参数有一个常规的设置： SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化，可以给用户提供方便快捷的服务；一旦服务器受到攻击，SYN Half link 的数量超过系统中TCP活动 Half Connction连接数的设置，系统将会认为自己受到了SYN Flood攻击，并将根据攻击的判断情况作出反应：减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施，力图将攻击危害减到最低。如果攻击继续，超过了系统允许的Half Connection 值，系统已经不能提供正常的服务了，为了保证系统不崩溃，可以将任何超出Half Connection 值范围的SYN报文随机丢弃，保证系统的稳定性。