信息来源:北美网络安全工程师论坛
Question by wuwu119
引用:
现IDC内有两台主机遭受大量的syn flood攻击,源地址很多可能都是伪造的,在路由器和pix都做了策略,主机是win2000也修改了注册表。路由器上启用了syn限速和tcp拦截(这个到底有用没有),现效果都不明显。有什么好的策略嘛?
另问CISCO的tcp拦截功能能够过滤掉伪造的源ip吗?
A:StoneZzz
引用:
可以开启CISCO路由器的intercept模式,依靠路由器的性能来抵抗,就看你的路由器支持不了。Intercept模式下,TCP连接请求达到目标主机之前,路由器拦截所有TCP请求,并代表服务器建立客户机的连接,并代表客户机建立与服务器的连接,当两个连接都成功实现,路由器就将两个连接进行透明的合并。
命令:
开启intercept模式
ip tcp intercept list access-list-number
ip tcp intercept max-incomplete high number 1100
在开始删除连接之前能够存在的half-open连接的最大数目
ip tcp intercept max-incomplete low number 900
在停止删除halp-open连接之前能够存在的最小halp-open连接数目
ip tcp intercept one-minute high number 1100
在开始删除连接之前,每分钟能够存在的最大halp-open连接数目
ip tcp intercept one-minute low number 900
在停止删除连接之前,每分钟能够存在的最小halp-open连接数目
A:martin
引用:
wuwu兄,
我个人认为TCP intercept的效果不会明显, 如果网络流量特别大的话。 而且还会
影响你的路由器转发其他网络流量时的性能, 因为TCP Intercept很费CPU和内存资
源。
在你自己的网络上作防范, 对付DOS攻击的方法毕竟有限,
最好的办法, CNSEA认为, 应该联系你的ISP, 这些攻击的网络源地址是伪造的,
但如果不是非常非常分布式的攻击, 也就是说, 不是全国范围内, 各个省市都
有的过万台主机向你发DOS网络流量, ISP应该可以追踪到这些DOS网络流量的源头,
没准儿也就是几台带宽大一些的主机被HACK了, 被用来向你攻击。
照理来说ISP应该会帮你们的, 因为他们的网络的位置是使他们防备针对他们的客
户的DOS攻击的最好工具。
让你的ISP反向查一下这些网络流量的来源, 如果ISP 的网络不复杂, 也许几个路
由器就查到了。 在让ISP通知向你发DOS攻击的那个网络的网络网管, 让他来查查
被感染的主机, 把它们修好, 这样就解决问题了。
通常解决DOS攻击的方法都是这样的, 要在网络上的大家协同合作, 一人有难, 大
家帮忙。 当初我想帮国内的ISP建立网络运行工程师联盟就是这个初衷。
A:StoneZzz
引用:
不过,找ISP的话,就更复杂了,别说跨过,跨省就很麻烦。
对于TCP的FLOOD,伪造地址,其实防范是比较容易的,我觉得还是找绿盟之类厂商,试用防DOS产品。哈哈,暂时抵抗一下就好。
A:networker
引用:
传统路由器一般不会有太多的CPU余量用来处理3层以上的数据格式。如果寻求帮助效果不好,或者ISP解决问题需要很长时间(这种情况在国内发生的可能性极大),不妨试一下应用交换机,有时也被叫做内容交换机,他们通常支持的SESSION数在百万数量级,而且TCP的延迟绑定是它的基本功能之一。缺点是比较贵,好象没有成熟的国产品牌。
A:Martin
引用:
StoneZzz 写到:
不过,找ISP的话,就更复杂了,别说跨过,跨省就很麻烦。
对于TCP的FLOOD,伪造地址,其实防范是比较容易的,我觉得还是找绿盟之类厂商,试用防DOS产品。哈哈,暂时抵抗一下就好。
看样子还是体制上的问题。 按照商业上的道理来说, 企业网是ISP的客户, 是ISP的
衣食父母。 如果企业网有难, ISP应该是义不容辞的。
但如果ISP是大爷的话, 那就难了。 在国内还是要讲国内的道理。 看样子我还没
有跟上国内的情况, 见笑了。
A:wind_color123
引用:
networker 写到:
传统路由器一般不会有太多的CPU余量用来处理3层以上的数据格式。如果寻求帮助效果不好,或者ISP解决问题需要很长时间(这种情况在国内发生的可能性极大),不妨试一下应用交换机,有时也被叫做内容交换机,他们通常支持的SESSION数在百万数量级,而且TCP的延迟绑定是它的基本功能之一。缺点是比较贵,好象没有成熟的国产品牌。
应该不是一个最优的方案, 受一次攻击就换个设备,网管要被炒掉了...
A:wuwu119
引用:
因为这不是我的客户我也没有去现场看。被攻击的就是西部某才成立isp的IDC。从路由器流量分析来看不是来自本市的攻击,如果查其它isp的话应该很难,我也不知道我以前同事他们最后的解决办法是什么。感觉国内很多isp安全措施很差,没有什么应急响应措施和业务连续性计划,一旦发生问题就手忙脚乱了。连网管的机器都有很多是肉鸡,也没有专门负责安全的人。
这个idc为了节约没有上cisco的ccs,问题的关键是带宽被耗尽了正常用户访问很困难。chinacissp的兄弟推荐了绿盟的黑洞,不知道这里有人用过没有,价格有点高。
刚才又有一个武汉的朋友说他们的客户被ddos了,这个isp也太浑了用两台pix做出口。pix不死才怪
A:Martin
引用:
ISP之间如果不互相帮助的话, 解决起来是比较困难。
但如果知道攻击的网络流量是从那个上家的ISP过来的, 打个招呼应该还是可以的。
毕竟大家的BGP应该是一起配的吧。 而且如果DDOS的流量太过分, 可以对这个上
家发个小小的警告, 是你的网络在让别人DDOS我, 如果你不管, 我就可能把你的
网络联系断掉。
不管是请谁来作黑洞, 黑洞也是要找到DDOS的源头的, 当找到DDOS的源头后, 就
可以配置一个黑洞的路由, 把IP目标地址是你的被攻击主机的那些网络流量都弄到
NULL的网络接口去。
如果找不到DDOS的源头, 在自己的网络的出入口作黑洞很困难, 因为你黑洞了后,
正常的用户也访问不到你的主机了。
但如果ISP有超过两个以上的网络出入口, 而DDOS得网络流量是从一个网络出入口
进来的, 那可以在ISP里面加一些路由的配置, 在DDOS进入的那个网络出入口把IP目
标地址是被攻击的主机地址的那些网络流量都丢掉。 这样虽然损失了一些客户,
但至少还保证你的主机免受了攻击。
国外有一些DDOS的产品, 象riverhead 或 Arbor。 可 以 动 态 的 插 入 一 些 黑 洞 路 由 到 你 的 路 由器上。
我看在ISP的网络安全方面国内还是有一些机会的。
不知道WUWU兄可以不可以介绍一下国内ISP的现状, 我还以为只有中国电信和联通
可以作ISP, 国内作ISP的门槛和资质是什么?
这个应该是企业网了, 我猜。 企业网防DDOS, 没有ISP的帮助, 只有被动挨打的份。
北美的ISP, 如果客户被DDOS了, 是一定要帮的, 而且还看谁的反应速度快。 也涌现出了一些实用的新技术。 看样子CNSEA可以考虑出版一些什么材料, 系统的讲一下ISP的网络安全实用技术。
................
后面就是讨论政府和交换联系方式了 冰血封情就不转了
