网络安全应急响应:拒绝服务类攻击抑制

admin 2022年11月19日03:03:11应急响应评论9 views3477字阅读11分35秒阅读模式
微信公众号:计算机与网络安全


1、SYN和ICMP拒绝服务攻击抑制和根除

(1)SYN(UDP)-FLOOD拒绝服务攻击抑制及根除

Syn-Flood拒绝服务攻击抑制

Syn-Flood 攻击一般都为恶意的攻击,攻击目标可能是服务器,也可能是网段。以下是在运行CISCO IOS软件的边界路由器上,通过访问列表进行抑制、TCP截获进行抑制的方法内容。

1)通过访问列表进行抑制方法

定义访问控制列表号为 106 的 ACL,允许其他任意 IP 地址的 TCP 数据分组达到192.168.0.0网段的机器,其余没有在这条件内的数据全部丢弃,从而使网络中只有在定义范围内容的数据分组,避免多余数据分组占用了路由器的负载。然后把所定义好的 ACL 绑定到做要syn-flood抑制端口上(如例子中的外接设备端口eth0/2)。

Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in

2)通过TCP截获进行抑制方法(此方式会占用路由器一定负载)

TCP截取特性通过截取和验证TCP连接请求的合法性来防止Syn-Flood攻击。在定义截取107列表中,只允许TCP数据从任意地址到达192.168.0.0网络的机器,以及禁止所有符合范围内的所有数据分组。最后把列表绑定到网络接口eth0上。

Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in

Syn-Flood拒绝服务攻击根除

对于SYN(UDP)-FLOOD攻击,没有根本的解决方法,只能抑制其攻击效果。

(2) ICMP-FLOOD拒绝服务攻击抑制及根除

ICMP-Flood拒绝服务攻击抑制

以下是禁止ICMP协议中类、限制ICMP数据分组流量速率方法内容。

1)方法1

对于进入ICMP数据分组,禁止ICMP协议当中的ECHO、Redirect、Maskrequest。对于流出的ICMP数据分组,允许不中ECHO、ParameterProblem、Packettoobig。

! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log

2)方法2

使用CAR(ControlAccessRate)限制ICMP数据分组流量速率。

例子:interface s1/1

rate-limit output access-group 2020 128000 8000 9000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply

通过对 ICMP 数据分组的流量限制,达到对 ICMP-FLOOD 控制。命令中提及的有限制带宽为128 000 bit/s,对于一个连接普通突发速率8 000 B/s(即64 000 bit/s),最大突发9 000 B/(s 即72 000 bit/s)如在这个范围内,进行的操作是transmi(t 传输),如果超出(Exceed-action),进行的操作是drop(丢弃),最主要参数是128 000 bit/s,限制带宽,后2个数值是限制每个连接的突发带宽,保证不会导致整个链路性能下降很多。

ICMP-Flood拒绝服务攻击根除

对于ICMP-FLOOD拒绝服务攻击的根除,可以在边界路由上禁止ICMP。

2、系统漏洞拒绝服务抑制

(1)WIN系统漏洞拒绝服务攻击抑制及根除

Windows系统漏洞拒绝服务攻击抑制

下面给出如何在Windows环境下修改注册表,抑制DoS攻击。

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

同时打开的TCP连接数,这里可以根据情况进行控制。"TcpNumConnections"=该参数控制TCP报头表的大小限制。在有大量RAM的机器上,增加该设置可以提高SYN攻击期间的响应性能。

"TcpMaxSendFree"=

Windows系统漏洞拒绝服务攻击根除

对于Windows操作系统方面的拒绝服务漏洞,只需把相关补丁打上就可以根除该种攻击了。

(2)UNIX系统漏洞拒绝服务攻击抑制及根除

Unix系统漏洞拒绝服务攻击抑制

关闭不必要的系统服务,在/etc/inetd.conf中注释掉所有不必要的服务。

堆栈缓冲溢出攻击防护设置

在/etc/system里加上如下语句,禁止缓冲溢出:

echo "set noexec_user_stack=1" >> /etc/system
echo "set noexec_user_stack_log=1" >> /etc/system

Unix系统漏洞拒绝服务攻击根除

对于Unix操作系统方面的拒绝服务漏洞,只需把相关补丁打上就可以根除该种攻击了。

(3)网络设备IOS系统漏洞拒绝服务攻击抑制

Cisco IOS IPv4报文处理拒绝服务攻击漏洞

1)详细描述

Cisco IOS是一种网络操作系统,它运用于大多数的Cisco网络设备中,发现IOS 12.3以下版本中存在一个拒绝服务攻击漏洞,该漏洞影响所有运行了 IOS 12.3 以下版本并且处理IPv4报文的Cisco设备。Cisco路由器缺省配置为允许接收和处理IPv4报文,当按照一个特殊顺序往路由器某接口上发送 IPv4 的报文时,会导致路由器错误地将该接口的输入队列标识为已满状态,这样该接口会停止接收处理一切数据分组,包括路由协议报文和 ARP 报文。不同于以往的DoS攻击,这个攻击不会触发任何警报,路由器也不会自动重载,必须手动重启路由器才能恢复正常功能。如果攻击者重复对路由器所有的端口进行攻击,将导致整个路由器瘫痪。

2)解决方案

可以按照CISCO的建议升级IOS。或者采用下面临时解决办法。

在路由器上通过访问控制列表(ACL)过滤协议为53,55,77的流量。

定义 ACL

access-list 101 deny  53 any any
access-list 101 deny  55 any any
access-list 101 deny  77 any any
access-list 101 permit ip any any

然后在所有的接口上使用上述ACL

interface eth 0
ip access-group 101 in



- The end -

网络安全资料列表

原文始发于微信公众号(计算机与网络安全):网络安全应急响应:拒绝服务类攻击抑制

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月19日03:03:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全应急响应:拒绝服务类攻击抑制 http://cn-sec.com/archives/1417053.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: