iT邦幫忙

0

網頁遭受攻擊

今天下午收到監測網頁存活的警示訊息,發現不正常的流量塞滿了位於代管機房的網頁主機頻寬,而且方向是由外部到內部的request流量,判斷應該是DDoS攻擊,雖然有租用防火牆阻隔,不過因為防火牆外的頻寬被塞滿,所以伺服器本身安全無虞,但仍無法提供對外的正常服務。要求ISP針對異常連線的IP進行封鎖,卻推三阻四?好說歹說、千拜萬託,但對方就是只想推銷他們的PROXY服務,月租二萬元,似乎只提得出這一個解決方案,有點發災難財的感覺,觀感不是很好,乾脆遷回來自行管理!請問諸如此類的問題各位先進是否有好的方案因應?大約需要的花費如何?像此類的攻擊如果我變更主機的公有IP位址並同步調整DNS解析是否會有功用呢? 感謝各位…

看更多先前的討論...收起先前的討論...
鐵殼心 iT邦高手 1 級 ‧ 2008-05-10 01:18:34 檢舉
Skite大果然是博學多聞 引經據典
不愧為 IT邦 的傳奇
魯大 iT邦高手 1 級 ‧ 2008-05-10 19:28:37 檢舉
同意tecksin大的說法
同時也感謝其他大大的分享
Ruei iT邦研究生 1 級 ‧ 2008-05-12 23:04:18 檢舉
這篇的每一個解答都富有營養價值 xd
skite iT邦大師 5 級 ‧ 2008-05-13 12:23:43 檢舉
iThome的這篇報導有詳細介紹巴哈姆特遭DDoS攻擊的始末,以及專家建議的處理方法:
http://www.ithome.com.tw/itadm/article.php?c=48757
funkent iT邦高手 1 級 ‧ 2008-05-15 23:37:02 檢舉
其實連來灌水都可以吸收到知識
44
skite
iT邦大師 5 級 ‧ 2008-05-10 01:10:05
最佳解答
48
不明

若是您的http server是apache
可以運用mod_evasive再加上mod_limitipconn
來減輕ddos的衝擊

參考一下這兩篇
http://www.linuxsir.org/main/node/244
http://blog.segaa.net/blog.php/1/post/3/871

如果需要協助,也可以互相討論

46
funkent
iT邦高手 1 級 ‧ 2008-05-10 08:49:16

儘管網路安全專家都在著力開發抗DoS攻擊的辦法,但收效不大,因為DoS攻擊利用了TCP協議本身的弱點。在交換機上進行設置,並安裝專門的DoS識別和預防工具,能最大限度地減少DoS攻擊造成的損失。
利用三層交換建立全面的網路安全體系,其基礎必須是以三層交換和路由為核心的智慧型網路,有完善的三層以上的安全策略管理工具。

局域網層

在局域網層上,可採取很多預防措施。例如,儘管完全消除IP分組假冒現象幾乎不可能,但網管可構建篩檢程式,如果資料帶有內部網的信源位址,則通過限制資料登錄流量,有效降低內部假冒IP攻擊。篩檢程式還可限制外部IP分組流,防止假冒IP的DoS攻擊被當作中間系統。

其他方法還有:關閉或限制特定服務,如限定UDP服務只允許於內部網中用於網路診斷目的。

但是,這些限制措施可能給合法應用(如採用UDP作為傳輸機制的RealAudio)帶來負面影響。

網路傳輸層

以下對網路傳輸層的控制可對以上不足進行補充。

獨立於層的線速服務品質(QoS)和訪問控制

帶有可配置智慧軟體、獨立於層的QoS和訪問控制功能的線速多層交換機的出現,改善了網路傳輸設備保護資料流程完整性的能力。

在傳統路由器中,認證機制(如濾除帶有內部位址的假冒分組)要求流量到達路由器邊緣,並與特定訪問控制列表中的標準相符。但維護訪問控制列表不僅耗時,而且極大增加了路由器開銷。

相比之下,線速多層交換機可靈活實現各種基於策略的訪問控制。

這種獨立於層的訪問控制能力把安全決策與網路結構決策完全分開,使網管員在有效部署了DoS預防措施的同時,不必採用次優的路由或交換拓撲。結果,網管員和服務供應商能把整個城域網、資料中心或企業網環境中基於策略的控制標準無縫地集成起來,而不管它採用的是複雜的基於路由器的核心服務,還是相對簡單的第二層交換。此外,線速處理資料認證可在後臺執行,基本沒有性能延遲。

可定制的過濾和“信任鄰居”機制

智慧多層訪問控制的另一優點是,能簡便地實現定制過濾操作,如根據特定標準定制對系統回應的控制粒度。多層交換可把分組推送到指定的最大帶寬限制的特定QoS配置檔上,而不是對可能是DoS攻擊的組制訂簡單的“通過”或“丟棄”決策。這種方式,既可防止DoS攻擊,也可降低丟棄合法資料包的危險。

另一個優點是能定制路由訪問策略,支援具體系統之間的“信任鄰居”關係,防止未經授權使用內部路由。

定制網路登錄配置

網路登錄採用惟一的用戶名和口令,在用戶獲准進入前認證身份。網路登錄由用戶的流覽器把動態主機配置協定(DHCP)遞交到交換機上,交換機捕獲用戶身份,向RADIUS伺服器發送請求,進行身份認證,只有在認證之後,交換機才允許該用戶發出的分組流量流經網路。

46
fillano
iT邦超人 1 級 ‧ 2008-05-10 09:45:05

不知道你的網路拓樸,不過如果頻寬塞爆了,那就一點辦法也沒有。用isp的proxy的確比較能解決問題,因為他們的proxy會檔在你的線路之前,或許可以幫你過濾掉一些流量。如果對方用的是smurf攻擊,我想isp搞不好已經幫你擋掉一些,因為流量很誇張,甚至可能影響租用他線路的機器。首要還是想辦法用入侵偵測軟體先辨認對方的攻擊方法,然後再來想對策。調整tcp/ip網路的參數,用防火牆規則擋住太頻繁的封包等等。

換ip通常dns要一天才能完全生效(看各個上你網站的機器所使用的dns更新頻率而定,還有各個dns的級聯關係也會影響更新速度,上游的dns一小時更新一次,再上游的也一小時更新一次,那上上游的資訊要兩小時才能更新。所以更新dns時,isp會跟你說24小時才會生效),有一點緩不濟急。

如果你只有一台機器代管,沒有多餘的機櫃空間擺多餘的設備,額外租用機櫃空間的費用高於租用isp的proxy,那似乎沒有多少解決方案,也只好跟他租了。

以上的意見是針對攻擊封包已經用完你的頻寬的狀況,就技術上能用的方法真的不多。另外的方法,就是跟isp盧,就看你盧的功力了。

18
davistai
iT邦大師 1 級 ‧ 2008-05-21 23:36:47

這種趁火打劫的ISP應該公佈一下以供參考,如果利害衡量(錢與網站)公司之下,一時之間無較優的作法,也只好先將就ISP的解法,否則真的就是拉回來自己管. 當然,要是ISP的方法無效,就跟它求償損失!

我要發表回答

立即登入回答