直到攻击停止,Verio 的路由丢弃了将近十亿(1,072,519,399)的恶意SYN/ACK 数据包。
我是在认识我到没有抓到第二波非BGP 的数据包后才联系Verio ,从而得知这个数据的。我想要重新装备我们的防御系统,好让我们继续遭受攻击,这样才能抓到那些我先前没有收集到的
资料,但当我这样做的时候,攻击已停止了。
反射攻击的防御及预防
通过Internet 进行交流的电脑一般都能够被分为两类:客户端及服务端。这两个角色能够随着环境转换(例如一个网页服务器可能会是个邮件服务器的客户端),但是大部分的TCP 连接都意味着一个客户端和服务端的关系。客户端一般会从一个高数位的端口发起连接到服务端上处于监听状态的底数位端口上。
因为任何反射的SYN/ACK 数据包必须要弹到一个TCP 服务器上,并且因为几乎任何的服务端口都在1 到1023 这个范围之内,阻拦任何在服务端口范围之内入站的数据包会防止大部分的攻击造成的阻塞。但是这样做有产生一些问题…..
保护服务器
首先,这次对grc.com 的攻击包含了从端口4001 和6668 来的SYN/ACK 数据包。所以,假如从这些端口发出的数据太多的话,这些特别的高数位服务端口也需要被阻拦。在阻拦高数位端口的入站数据包存在一个问题,那就是一些合法的客户端的端口所发生的数据可能也会被我们配置的filter 给拦截掉。
第二个问题是假如我们只是简单的拦截任何从1024 以下端口发送的数据的话,那么像当一个在blanket filter 后的服务器作为客户端的话,他将无法和其他服务器进行交流。就像我们刚才举的例子相同,当一个网页服务器作为一个SMTP 服务器的客户端时,这个情况就会变的很复杂。因为远程SMTP 服务器的数据包会试图从SMTP 服务器的25 号端口返回,这时他就会被我们配置的反反射攻击的filter 给拦截掉。为了解决这个问题,我们需要在配置文档里配置例外端口,这样才能够让合法数据包正常通过。
保护客户端
这里有一些坏消息。客户端主机,例如那些典型的终端用户,将无法被保护。因为多数的客户端在大部分时间里都是连接到远程的服务器端上的,这些服务器端很可能会被利用来攻击这些无辜的客户端。
译者注:
国内的网管可能都冒了一身的冷汗,以前的分布式拒绝服务式攻击能够算是可见不可及。毕竟那是需要几百台受控的肉鸡才能实现的,可现在这个技术能够利用任何不存在安全漏洞的主机来进行攻击,后果能够想象。原作者上面所说的利用filter 来拦截数据包只是暂时之策,服务器不用来提供服务更有什么用?所以真正的解决办法还是要从基础的配置做起,这种攻击不是使用半连接来挂掉主机,所以对付以前那种传统的SYN Flood 的方法可能无法在这里行通。到现在为止,通过利用防火墙来阻挡那些序列号不对的数据包恐怕是最好的方法了。希望网络安全界的人士能尽快研究出更好的解决方法。
