服务器 频道

AIX 中关於 DDoS 攻击事件的探讨

    以下简介一些基本的想法:

    1. Router 应该只允许「source IP 」属於区网的 IP 出去

    这样可以防止区网内使用者送出(大围)source IP 的封包。

    2. Router 应该只允许「source IP」『不属於』区网 IP 进入

    因为如果封包的 source IP 是区网内 IP 的话,怎麽可能是从外部网路发出的,这样可以防止外来的封包假装是区网内的 IP 企图穿透防火墙。

    3. Router 应该丢弃不应该出现在公开网路上的 source IP

    例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这几个常见的 IP 位址都属於区域性的私有 IP,不可能(也不应该)透过 Router 在公开网路上跑来跑去。此外,也应该要阻挡「目的 IP」是 *.*.*.0 以及 *.*.*.255 的封包,因为这些 Network Address IP 跟Broadcast Address IP 都是只会出现在子网域内部,而没必要让外来人士存取这些 IP,这样可以避免 Smurf Attack 之类的攻击。

    4. 使用 Router 的特殊功能

    有些 Router 本身有内建类似的功能,例如 Cisco Router 的 CEF( Cisco Express Forwarding),可以针对封包 source IP 跟Routing Table 做比较并加以过滤。

    四、防治办法(二):监控异常流量或安装 IDS

    在防攻击方面,区网内部可以安装具有网路入侵侦测功能的软体(Intrusion Detection System)并定期更新其资料档,如此可侦测已知的 DDoS 攻击程式是否已入侵区网中的机器,或是是否有其他的攻击正在进行。

    另外,由於目前的 DDoS 是以 SYN/ICMP flooding 的方式攻击,如果能利用 Router 上的流量限制功能(例如 Cisco 的 Committed Access Rate)来限制 SYN/ICMP 封包所能占有的最高频宽,则可以减轻遭受类似攻击的影响程度。不过在对任何协定做流量限制之前,最好能先评估一般的正常流量为何,以避免限制的太严格,反而影响正常运作。

    此外,地区网管也要时常监控网路流量,注意是否有异常流量的发生,若无法解决可询问相关厂商或是寻求 CERT 协助。

    五、结语

    (节录自本中心主任陈年兴博士对於 DDoS 攻击事件的综合评析)在此ㄧ事件中,我们要呼所有网际网路上主机系统的管理者,都要非常正视网路安全事件的重要性。千万不可认为自己所管的主机上并没有存放重要资料,就认为无所谓, 殊不知本身虽无重要资讯外流的危险或损失,但是却可能造成有心者攻击其他网路上重要服务主机的ㄧ个跳板。而这种情形对网际网路上整体安全性来说,是一个非常大的威胁。网际网路创造了ㄧ个地球村(Global Community),此ㄧ事件提醒大家,为了整体网路的安全,地球村的每一位公民都应当要善尽维护网路安全的ㄧ份心力与责任。


 

0
相关文章