来源: 黑客攻击心理分析
根据黑客攻击心理学分析,通常黑客攻击的目标是一个明确的Web 服务器,目的通常是让其无法正常访问。通常黑客在实施一次攻击之前会先进行小规模试探性攻击,例如制造几分钟的大量SYN数据包并观察目标网站的访问是否受到了预期的影响。只有黑客看到此类试探性攻击有效后,才会制造后续的大规模攻击。而按IDC之前的惯例来处理此类攻击的方法通常是,将受害主机断开网线并将其地址列入防火墙或者黑洞路由。而此措施正好帮助黑客实现了他的攻击目的,显然黑客不会因此停手,而通常情况下黑客会为了巩固攻击结果而加大火力或者持续火力来攻击。这并不是我们所希望看到的。 事实证明我们迫切需要一种防护方式让黑客看起来他的攻击对于目标主机是无效的,使其放弃攻击或改用其他网站渗透攻击(对IDC不造成影响的)等,而不是帮助黑客实现他的攻击目的。—— 这就是我们将要引入的新安全防护概念
注意:当我们的网络遭遇拒绝服务攻击时请不要进行如下操作:
将受害主机断开网线,或者限制其通过带宽,因为根据网络交换机原理当发往目标主机的数据包不可达时,交换机会将此数据包尝试投递到交换机的每一个端口上去寻找目标地址,而真正的目标主机已经被我们拔掉了网线或者限制了通过带宽,那么次操作显然会加重交换机负载,并且将攻击流量在交换机内部复制了N倍(N等于同一VLAN下的交换机端口数)。
正确处理方式如下:
在上层路由器中将受害主机地址列入一个具有数据包过滤功能的路由器,如果不具备此类设备可以考虑将其列入一个黑洞路由。
黑客最常见的攻击方式大体为 拒绝服务 ( DDoS ) 和 ARP欺骗。对IDC资源产生影响的常见拒绝服务可分为 大流量攻击 和 大量并发连接攻击 。 下面我们针对这三种攻击进行如下分析:
大量并发连结数攻击:
此类攻击对于具备硬件或软件防火墙的网络最有效。每个防火墙都有一个会话(Session)数值代表其可以处理的同时并发连接数的指标。其攻击的原理就是制造的伪造源地址的TCP SYN握手请求发往目标主机,而目标主机在受到此请求后还会向其伪造的源地址回应一个数据包,这样对于防火墙来说就构成了一个会话。而由于每个数据包都是来自并回应到伪造地址的,因此除了等待会话超时否则它永远不会被主动关闭。那么不管这个防火墙具备多大的处理能力,也很快会被耗尽资源,其结果将导致受此防火墙保护的整个网络将瘫痪,而不仅是一台目标主机。
大流量攻击:
当黑客制造了一定的并发连但对目标网络和防火墙没有构成威胁的时候,他们通常还会想到继续加大火力,而因此就产生了大流量攻击。而能黑客并不能精确计算出当他们制造了10Mbps DDoS流量后最终到达受害主机会被放大多少倍。这可能是由于我们IDC的网络结构帮助了黑客。 例如:
- 受害主机会回应伪造的数据包, 使流量被放大了一倍
- 我们的网络采用了Truck聚合技术,由于每个数据包要被封包,而每个数据包本身都很小,因此流量被放大了大约10%-15%。
- 由于目标主机负载问题产生的丢包,虽然丢了一个数据包,但其数据包会被广播到交换机的各个端口,因此流量被放大了N倍。
虽然制造洪水攻击并不是很复杂,但不可否认黑客制造1Gbps的流量也是需要一定成本的。因此如果没有我们的不良配置,以及在攻击刚刚发生时候的即时相应通常会让黑客放弃继续增加以至于上Gbps流量的想法。
ARP欺骗攻击:
我们抵御住了外部攻击,黑客显然不能直接瘫痪我们的网络,单是黑客通常会选择先从另外一个脆弱的主机入手。然后再向同一个C网段的其他主机或者路由器发送ARP欺骗数据包。相比制造大量流量这样可以最低成本的打道攻击目的。由于数据包来自内往的交换机下,因此我们购买的防火墙显然不能发挥作用。而防范此类攻击我们应该做的事情是侦听。利用交换机的镜像端口功能,将所有流量复制到一个侦听端口上,然后通过OSI 7层拆包技术来侦听所有过往的ARP包。然后再探测出一张MAC – IP的拓扑表,就可以迅速找到被利用的主机了。
Tags: SYN洪水攻击,
分类:服务器
阅读:
评论: