史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-09-30, 07:15 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 如何把無聊人士抓出來(關於SYN攻擊)

如何把無聊人士抓出來(關於SYN攻擊)
Q:
最近碰到件這樣的事情,我主管的一個網站放在萬網上,最近更換伺服器,被某些無論人士盯上了。附上一段萬網客戶信息。

客戶的問題信息
你方所說「仍然遭受來自218.64/218.19/218.20 三個網段的黑客攻擊」,請給我們一些黑客攻擊的記錄,如攻擊時間段、真實IP、攻擊方式等。 我們將在首頁進行警告,並儘快報告給當地的公安、電信部門進行查處。
--------------------------------------------------------------------------------
客戶的問題解決詳情 ..................
經過查詢,黑客攻擊是從4月9日夜間開始的,由於攻擊IP位址是假的,而且很分散,我們無法逐一遮閉,只能將218整個網段遮閉。
攻擊方式是DDOS拒絕服務攻擊,大量SYN 連接佔用TCP連接埠,造成正常用戶無法訪問。今天我先將218網段放開,發現只有218.64/218.19/218.20三個網段的攻擊,但是仍然是大量假IP位址,無法查到對方真實IP位址。
只能提供以上線索,供您參考。
大伙給出出主意,怎麼警告或者查到「無聊人士」呢?
勿灌水,這個禮拜都耗這上頭了。


A:
這個問題的確很讓人頭疼
最好的解決辦法也許還是加防火牆,當然,需要硬體防火牆,以偶的知識,覺得關於報文過濾的軟防火牆沒有作用,據說netscreen由專門的防這種握手包攻擊的選項,PIX偶不曉得行不行,也許它能通過限制連接數來達到一定的效果(我覺得懸)。
Q:
由沒有能告訴偶PIX可不可以做倒對SYN的flood預防?
A:
如果要查,基本上很難,因為是網路封包裡面是假的來源IP位址,你需要和電信以及公安部門聯繫,首先要在存在攻擊的時候及時通知電信部門,讓他們在路由設備上做檢查,逐段找出資料報的來源(根據源位址分析無效的情況),其次涉及法律的話還是需要公安部門配合的。

(偶個人的話:或許最好先備個報案,否則電信運營商是不會理你的,逐段查源頭相當麻煩,耗時間...假如你不是具體事實受重大傷害且是大人物)
解決這種問題的最好辦法就是:解決自己的漏洞問題,抓個包來分析,看他請求的是什麼? 最主要的還是人防 ....

其實所謂的pix or IDS 都是……

Q:
那麼網路.大家常說的......
一個想法:可以在服務端執行sniffer,如嗅探攻擊信息資料,查明對端是否開了代理服務,最方便的辦法是將他找個代理網站公佈(比較仁慈的辦法),這樣這個代理也就離死不遠了。如果對方是真實ip,你也可以來個對攻好了 (個人比較崇拜這種方式),現在網上的工具很多了,剩下的就是看你自己怎麼用了 ,我是比較喜歡給他種個senser,或開個後門。
警告一下就是了,國內的伺服器還是比較脆弱的,看你的情況也就是一些新手那裡來練手了,最主要的 還是解決自己的漏洞問題 ,限制死一點,他在你這裡掃瞄不到什麼也就沒事了。


A:
你說的!
sniffer對於假冒源位址的SYN攻擊沒有意義的,抓到的包是一大堆TCP握手包,源位址是假的,IP層的包封裡面幾乎沒有什麼可用信息。是伺服器總要提供服務,沒有漏洞的正常服務暴露在沒有專門保護的網路環境下,對這種攻擊也是沒辦法防禦的。

當然有一種可能是上面說到的分散的發起半開連接的源位址不是假冒的,而是被某個DOS工具控制的「肉雞」,這樣的話也許能比較快地查到源頭,否則的話,只能在路由設備上做日誌,看符合攻擊條件的包是從哪個鏈路過來的(因為這時網路層包封中的信息基本上是垃圾),一段段向上游找。
SYN是flood的DOS攻擊,以大量半建立的TCP連接導致本應正常提供的TCP服務無法對正常用戶的正常請求產生回應。

另外,呵呵,個人觀點,樓上的對攻方法在沒有確切的證據以及把握以前是不合適的,弄不好反過來被人告上窺人私密要上法庭。

Q:

由沒有大大能告訴偶PIX可不可以做倒對SYN的flood預防?

A:
PIX裡對這個功能的描述叫Flood Defender,是通過配置NAT或STATIC語句實現的,如:
pix(config)#static (inside,outside) 100.100.1.1 10.10.1.1 netmask 255.255.255.255 1000 1500

其中1000代表允許到10.10.1.1機器的最大連接數;1500代表允許到10.10.1.1機器的最大半開連接(half-open/embryonic)數。

早期版本的PIX對超過最大半開連接數的連接只是做簡單的drop處理,這其實在某種程度上也造成了另一種DoS攻擊。

新版本PIX對這種行為做了改進(指令還是一樣的)。在半開連接數超過閾值後,除非是半開連接數減至低於此閾值,否則PIX都會將這些半開連接攔截下來。

對每個SYN連接,PIX都會代表被訪問的伺服器發出一個空的SYN/ACK回應,與此同時PIX也保留此連接的相關狀態信息,然後丟棄資料包,再等待客戶端的ACK回應。如果ACK回應信息收到了,那麼客戶端的SYN資料包信息就被傳送給伺服器,TCP三方握手程序就在PIX和伺服器之間完成。

Q:
那段功能描述偶也看過的,偶的理解是PIX將原本針對host的SYN攻擊攬倒自己頭上了,如果DOS攻擊發起的連接數夠多,並且持續不斷,PIX本身就開始拒絕服務了(將「半開連接攔截下來」是什麼意思呢?)
,後面的host當然也沒辦法向外提供服務。而且,如果host後面是一個局內網的話,興許影響的還不只是一台主機。
偶覺得找幾個肉雞(特別現在那些疏於管理和防範的網咖),發起幾萬個連接應該不是什麼難事,PIX估計受不了。
熟悉netscreen的大大說說netscreen是怎麼幹的呢?
偶的一個外地朋友說netscreen的設定裡專門有這個選項的。
感謝各位的回復。現在問題在於我租用的伺服器是萬網的,不是伺服器就在身邊,所以你們所說我抓到攻擊假IP,然後再種肉雞,接著查下去:(
看了半天,看的頭都大了,SYN是什麼服務,能夠關掉嗎?我現在只想知道怎麼讓站點順利的執行起來,耗不起時間。

A:

最簡單的辦法,換IP吧。也許能躲掉一些不是盯著你的網站來的攻擊。
SYN不是服務名字,是指TCP包頭裡的標誌位。
如果對方攻擊強度不高的話,也許你可以改一下系統設定,把SYN超時時間設定的短一點。好像Windows改註冊表的,具體可以上網查一下,呵呵,unix的偶就不曉得樂。
如果對方死活就是跟你耗上了沒日沒夜的整,那你只有和ISP聯繫一下看看怎麼處理了。
Q:
minuteman,很不幸的是這些IP都是外地或附近地區的:(
A:
ISP——萬網的對待方式很簡單,遮閉IP段,要命的是如果我所在的學校如果訪問偶主管的學生站點都不流暢的話,這個站點還有什麼意義。
Q:
外地假是寬帶基本上是218網段,然後連我訪問都成問題,現在是叫他一定要開放幾個IP,要不我都連不了。
對方用肉雞,又不用他自己的電腦
A:
最好的辦法就是把伺服器關幾天,等那個人精神正常了,不再攻擊了,就萬事大吉了!
Q:
再次說明 SYN攻擊 到目前為止 尚沒有完美的防禦方案,除非你不用TCP/IP傳輸協定! 可能嗎? 呵呵

A:
你可以看看下文:參考................
Cisco路由器上如何防止DDoS

作者:mzd73 發表時間:2002/11/05 00:02am

Cisco路由器上防止分佈式拒絕服務(DDoS)攻擊的一些建議

--------------------------------------------------
1、使用 ip verfy unicast reverse-path 網路接頭指令
--------------------------------------------------

這個功能檢查每一個經過路由器的資料包。在路由器的CEF(Cisco Express Forwarding)表該資料包所到達網路接頭的所有路由項中,如果沒有該資料包源IP位址的路由,路由器將丟棄該資料包。例如,路由器接收到一個源IP位址為1.2.3.4的資料包,如果CEF路由表中沒有為IP位址1.2.3.4提供任何路由(即反向資料包傳輸時所需的路由),則路由器會丟棄它。
單一位址反向傳輸路徑轉發(Unicast Reverse Path Forwarding)在ISP(局端)實現阻止SMURF攻擊和其它關於IP位址偽裝的攻擊。這能夠保護網路和客戶免受來自網際網路其它地方的侵擾。使用Unicast RPF需要開啟路由器的"CEF swithing"或"CEF distributed switching"選項。不需要將輸入接頭配置為CEF交換(switching)。只要該路由器開啟了CEF功能,所有獨立的網路接頭都可以配置為其它交換(switching)模式。RPF(反向傳輸路徑轉發)屬於在一個網路接頭或子接頭上啟動的輸入端功能,處理路由器接收的資料包。
在路由器上開啟CEF功能是非常重要的,因為RPF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。

------------------------------------------------------
2、使用訪問控制列表(ACL)過濾RFC 1918中列出的所有位址
------------------------------------------------------
參考以下例子:

interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any

----------------------------------------------------
3、參照RFC 2267,使用訪問控制列表(ACL)過濾進出報文
----------------------------------------------------
參考以下例子:

{ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網路}

ISP端邊界路由器應該只接受源位址屬於客戶端網路的通信,而客戶端網路則應該只接受源位址未被客戶端網路過濾的通信。以下是ISP端邊界路由器的訪問控制列表(ACL)例子:

access-list 190 permit ip {客戶端網路} {客戶端網路掩碼} any
access-list 190 deny ip any any [log]

interface {內部網路接頭} {網路接頭號}
ip access-group 190 in

以下是客戶端邊界路由器的ACL例子:

access-list 187 deny ip {客戶端網路} {客戶端網路掩碼} any
access-list 187 permit ip any any

access-list 188 permit ip {客戶端網路} {客戶端網路掩碼} any
access-list 188 deny ip any any

interface {外部網路接頭} {網路接頭號}
ip access-group 187 in
ip access-group 188 out

如果開啟了CEF功能,通過使用單一位址反向路徑轉發(Unicast RPF),能夠充分地縮短訪問控制列表(ACL)的長度以提高路由器效能。為了支持Unicast RPF,只需在路由器完全開啟CEF;開啟這個功能的網路接頭並不需要是CEF交換接頭。

-------------------------------------------------------
4、使用CAR(Control Access Rate)限制ICMP資料包流量速率
-------------------------------------------------------
參考以下例子:

interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

請參閱IOS Essential Features <http://www.cisco.com/public/cons/isp...entialsPDF.zip>獲取更詳細資料。

------------------------
5、設定SYN資料包流量速率
------------------------

interface {int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop

access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established

在實現套用中需要進行必要的修改,替換:

45000000為最大連接帶寬
1000000為SYN flood流量速率的30%到50%之間的數值。
burst normal(正常突變)和 burst max(最大突變)兩個速率為正確的數值。

注意,如果突變速率設定超過30%,可能會丟失許多合法的SYN資料包。使用"show interfaces rate-limit"指令檢視該網路接頭的正常和過度速率,能夠說明 確定合適的突變速率。這個SYN速率限制數值設定標準是保證正常通信的基礎上盡可能地小。

警告:一般推薦在網路正常工作時測量SYN資料包流量速率,以此基準數值加以調整。必須在進行測量時確保網路的正常工作以避免出現較大誤差。

另外,建議考慮在可能成為SYN攻擊的主機上安裝IP Filter等IP過濾工具包。

-----------------------------------
6、搜集證據並聯繫網路安全部門或機構
-----------------------------------

如果可能,捕獲攻擊資料包用於分析。建議使用SUN工作站或Linux等高速電腦捕獲資料包。常用的資料包捕獲工具包括TCPDump和snoop等。基本語法為:

tcpdump -i interface -s 1500 -w capture_file

snoop -d interface -o capture_file -s 1500

本例中假定MTU大小為1500。如果MTU大於1500,則需要修改相應參數。將這些捕獲的資料包和日誌作為證據提供給有關網路安全部門或機構。

參看:
Cisco - Characterizing and Tracing Packet Floods Using Cisco Routers
http://www.cisco.com/warp/public/707/22.html
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:40 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1