当前位置:趣学网 →常识电脑 → 电脑学习 → 网络知识→拒绝服务入侵机制及处理办法(一)

拒绝服务入侵机制及处理办法(一)

12-26 22:55:56 浏览次数:437次栏目：网络知识

标签：电脑网络知识,网络基础知识,计算机网络知识,http://www.quxue6.com 拒绝服务入侵机制及处理办法(一),
　　另一方面，ISP如果使用向外的包过滤措施会把过载的流量转移到一些不太忙的设备上。　ISP也不关心消费者是否在他们的边界路由器上使用这种技术。当然，这种过滤技术也并不是万无一失的，这依赖于管理人员采用的过滤机制。
　　使用DNS来跟踪匿名攻击
　　也许大家仍旧保存着侥幸心理，认为这些互连网上给我们带来无数麻烦DoS漏洞或许随着路由器包过滤，网络协议升级到IPv6或者随时的远程响应等手段变得越来越不重要。但从一个具有责任感的网管的观点来看，我们的目标并不是仅仅阻止拒绝服务攻击，而是要追究到攻击的发起原因及操作者。
　　当网络中有人使用假冒了源地址的工具（如tfn2k）时，我们虽然没有现成的工具来确认它的合法性，但我们可以通过使用DNS来对其进行分析：
　　假如攻击者选定了目标www.ttttt.com，他必须首先发送一个DNS请求来解析这个域名，通常那些攻击工具工具会自己执行这一步，调用gethostbyname()函数或者相应的应用程序接口，也就是说，在攻击事件发生前的DNS请求会提供给我们一个相关列表，我们可以利用它来定位攻击者。
　　使用现成工具或者手工读取DNS请求日志，来读取DNS可疑的请求列表都是切实可行的，然而，它有三个主要的缺点：
　　·　攻击者一般会以本地的DNS为出发点来对地址进行解析查询，因此我们查到的DNS请求的发起者有可能不是攻击者本身，而是他所请求的本地DNS服务器。尽管这样，如果攻击者隐藏在一个拥有本地DNS的组织内，我们就可以把该组织作为查询的起点。
　　·　攻击者有可能已经知道攻击目标的IP地址，或者通过其他手段（host,　ping）知道了目标的IP地址，亦或是攻击者在查询到IP地址后很长一段时间才开始攻击，这样我们就无法从DNS请求的时间段上来判断攻击者（或他们的本地服务器）。
　　·　DNS对不同的域名都有一个却省的存活时间，因此攻击者可以使用存储在DNS缓存中的信息来解析域名。为了更好做出详细的解析记录，您可以把DNS却省的TTL时间缩小，但这样会导致DNS更多的去查询所以会加重网络带宽的使用。
　　在许多情况下，只要您拥有足够的磁盘空间，记录所有的DNS请求并不是一种有害的做法。在BIND8.2中做记录的话，可以在named.conf中假如下面的几行：
　　logging　{　
　　channel　requestlog　{　file　"dns.log";　};
　　category　queries　{　requestlog;　};　
　　};
　　使用ngrep来处理tfn2k攻击
　　根据使用DNS来跟踪tfn2k驻留程序的原理，现在已经出现了称为ngrep的实用工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3,　SYN　flood,　UDP　flood,　ICMP　flood　和　smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果（例如web），所以对其他的标准服务也应当有尽量详细的日志记录。
　　还应当注意，ngrep采用的是监听网络的手段，因此，ngrep无法在交换式的环境中使用。但是经过修改的ngrep可以不必和你的DNS在同一个网段中，但是他必须位于一个可以监听到所有DNS请求的位置。经过修改的ngrep也不关心目标地址，您可以把它放置在DMZ网段，使它能够检查横贯该网络的tfn2k攻击。从理论上讲，它也可以很好的检测出对外的tfn2k攻击。
　　在ICMP　flood事件中，ICMP回应请求的报告中将不包括做为tfn2k　flood一部分的ICMP包。Ngrep还可以报告检测出来的除smurf之外的攻击类型（TARGA,　UDP,　SYN,　ICMP等）。混合式的攻击在缺省情况下表现为ICMP攻击，除非你屏蔽了向内的ICMP回应请求，这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。
　　以下的代码在使用前应当更改一些参数。
　　#define　DNS_REQUEST_MAX　5000
　　#define　ICMP_REQUEST_MAX　1000
　　通知ngrep最大的请求跟踪数（在检测攻击之前）。传输较为繁忙的网站应当增加这一数值（网络流量较为繁忙的网站DNS的请求数最好在10，000，而ICMP请求为2000-3000）
　　#define　FLOOD_THRESHOLD　20
　　用在10秒中内有多少同一类型的攻击包来确认为真正的攻击。数目设计的越大，程序报受攻击的可能性就越小。假如您老是收到错误的警报，那么您应当增加一下这个数值。
　　#define　DNS_SERVER_IP　"10.0.0.8"
　　Ngrep通过监视DNS服务器的53端口的UDP包来跟踪向内的DNS请求（只有UDP）。因此，ngrep需要知道您的DNS服务器的IP地址。
　　我们的设备可能会有多个DNS服务器，但我们认为对一台DNS服务器的支持足以证明这项技术的能力。
　　#define　TTL_THRESHOLD　150
　　tfn2k　SYN　flood　攻击使用的　TTL值通常在200-255的范围内。估计到攻击者与目标主机之间不止50跳，因此我们可以只查找TTL时间高于150的包。假如您相信攻击者在50跳左右，那么您可以对TTL的限制进行一下更改。
　　如果/usr/local/include　和/usr/local/include/net目录在linux系统中不存在的话，安装会失败。加入您在安装时遇到了pcap.h　或　bpf.h的错误时你可以运行
　　mkdir　/usr/local/include;　mkdir　/usr/local/include/net然后重新运行make　install-incl。然后我们需要编译ngrep　。首先解包
　　tar　x www.quxue6.com vzf　ngrep-1.35.tar.gz
　　然后进行配置
　　cd　ngrep;　./configure
　　然后把ngrep.c复制到ngrep目录里。你可以覆盖也可以备份原始的ngrep.c文件。在这里，您应当回顾在修改过的ngrep.c里的配置，至少您应当把DNS_SERVER_IP更改为您所使用的DNS的地址。更改完毕后你就可以运行make，这样就建立了ngrep应用程序。
　　Modified　ngrep.c　source　code
　　/*********　TFN　detection　defines　*******************************/
　　/*　how　many　DNS　and　ICMP　requests　to　track　*/
　　#define　DNS_REQUEST_MAX　5000
　　#define　ICMP_REQUEST_MAX　1000
　　
　　/*　flood　threshold　is　matches　per　10　seconds　*/
　　#define　FLOOD_THRESHOLD　20
　　
　　/*　IP　of　your　DNS　server　*/
　　#define　DNS_SERVER_IP　"10.9.100.8"
　　
　　/*　TFN　syn　uses　ttl　between　200-255.　Assuming　less　than　50　hops,
　　flag　stuff　with　ttl　>　TTL_THRESHOLD　(other　critera　are　used　
　　as　well)　*/
　　#define　TTL_THRESHOLD　150
　　
　　/**************************************************************/
　　
　　#include　
　　#include　
　　#include　
　　#ifdef　LINUX
　　#include　
　　#endif
　　#if　defined(BSD)　||　defined(SOLARIS)
　　#include　
　　#include　
　　#include　
　　#include　
　　#include　
　　#include　
　　#include　
　　#endif
　　#if　defined(LINUX)　&&　!defined(HAVE_IF_ETHER_H)
　　h>
　　#include　　
　　#include　　
　　#include　"regex.h"
　　#include　"ngrep.h"
　　
　　static　char　rcsver[]　=　"$Revision:　1.35　$";
　　
　　int　snaplen　=　65535,　promisc　=　1,　to　=　1000;
　　int　show_empty　=　0,　show_hex　=　0,　quiet　=　0;
　　int　match_after　=　0,　keep_matching　=　0,　invert_match　=　0;
　　int　matches　=　0,　max_matches　=　0;
　　char　pc_err[PCAP_ERRBUF_SIZE],　*re_err;
　　
　　int　(*match_func)();
　　int　re_match_word　=　0,　re_ignore_case　=　0;
　　struct　re_pattern_buffer　pattern;
　　char　*regex,　*filter;
　　struct　bpf_program　pcapfilter;
　　struct　in_addr　net,　mask;
　　char　*dev　=　NULL;
　　int　link_offset;
　　pcap_t　*pd;
　　
　　/****************　TFN2K　detection　**********************************/
　　
　　unsigned　int　udp_flood_count=0,　syn_flood_count=0;
　　
　　unsigned　int　targa_flood_count=0,　icmp_flood_count=0;
　　unsigned　long　my_dns,　targ1,　targ2,　rfp1,　icmp_flood=1;
　　time_t　t;
　　
　　unsigned　long　dns_circbuff[DNS_REQUEST_MAX];

上一页 [1] [2] [3] [4] [5] 下一页

，拒绝服务入侵机制及处理办法(一)