转自CU论坛 “关于ddos攻击之syn flood 的防护技术简略分析”

txwwy

关于ddos攻击之syn flood 的防护技术简略分析

ddos攻击有很多种  其目的无非是想造成 某种资源耗尽  造成正常服务无法继续

我不知 尔所指的MAC地址池 是否是说arp高速缓存(也就是ip地址到以太网地址的映射表)  也不排除这个表被填满存在拒绝服务的可能

但mac是以太网的东西 xx 你说的ddos是从以太网发起的？
所有到的攻击包 其最后的以太网原地址应该为 最后一站以太网路由的地址  

大多数拒绝服务 是因以下原因造成的

网络带宽耗尽 (这个不多讲了)  

操作系统限定的某种资源被用尽 (这个是系统内核级的资源)
以bsd为例  mbuf(伯克利网络储存缓冲) 或者pcb(协议控制块) 耗尽都会造成拒绝服务

还有就是因为应用层的程序需要消耗大量资源 导致cpu或者内存无法负载
比方说 某个cgi(包括asp php 等...)程序 被反复多人次的访问


至于防范办法我也不一一详述  但是既然qtqt(linux 我是这样防护了Ddos的，请精华 作者)这xx提到 syn cookies  syn proxy 想必  他所说的 是就 syn flood 所说的...

我再提一下syn flood   这是当今网上最流行的一种dos手段  之所以流行 是因为它可以 以小博大  且防范较为困难

之所以可以以小搏大  因为其攻击原理 是造成服务器 大量tcp 连接处于半开状态  pcb 协议控制块分配后 释放不掉 导致pcb资源枯竭 正常服务无法进行

防范较为困难 因为服务器收到的 所有synflood攻击数据包  无真实ip 所以传统防火墙  无法对其进行有效防范

依我个人观点syn proxy 是针对 各种synflood 及其变种最为通用的 一种防范手段  
我所指的syn proxy 并不是 特指 openbsd 的syn proxy ( 老实说openbsd的syn proxy 够糟的了)  而是指的 这种办法 原理上可行 (具体技术参考http://cr.yp.to/syncookies.html 其实syn cookies syn proxy 原理上是接近的)

缺点是 开销比较大  特别是网络带宽 消耗比较大   比方说有10m的虚假syn syn proxy 就要回应10m的syn ack

市面上的优秀代表商业产品是 众达天网   

还有一些syn flood 的 防范技术 我也介绍一下  比方说 特征过滤技术  和 利用超时重传机制 识别 syn flood   ( 带宽限制 和 随即丢弃 我不把它算作防范技术 因为挺白痴的  但这被 netscreen 和ipx普遍采用 )

过滤技术  就是针对 特定syn 攻击 软件 发出的 虚假syn 数据包的 某种特征 (这种特征是相对于 合法正常syn包 所说的) 或者发送数据包的某种规律 对其进行过滤

这种技术的优点是 开销最小
缺点是 可能误杀正常连接为代价  而且并不是所有syn flood攻击都有特征

优秀代表产品是 绿盟黑洞( 据说黑洞用了很多种办法 绝对不止过滤技术这一种 这里之所以说到 黑洞 是因为他过滤做得不错 )

最后介绍一下 利用超时重传机制 辨别真假连接的办法

防火墙收到 任何地址任何端口 发来的 第一次syn 请求 都将端口、地址和接收时间纪录并将这个syn 数据包丢弃   特定时间内 防火墙 再次收到这个地址发来的端口一致并且未超时的数据包  那么就将其转发给 服务器  并认为这次连接是真实的

这种防范技术的 优点是 实现简单 代价和效果较为折中
缺点是  很容易针对这种防范机制 设计新的 攻击软件  其优秀代表作品是 金盾

[ 本帖最后由 txwwy 于 2006-1-20 00:24 编辑 ]