用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改
iptables - [RI] chain rule num rule-specification[option]
用iptables - RI 通过规则的顺序指定
iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]
iptables -[NX] chain
用 -NX 指定链
iptables -P chain target[options]
指定链的默认目标
iptables -E old-chain-name new-chain-name
-E 旧的链名 新的链名
用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。
TARGETS
防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的 链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如 果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
TABLES
当前有三个表(哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块,这时若模块没有加载,(系统)将尝试(为该表)加载适合的模块。这些表如下: filter,这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWORD(处理通过的包)和OUTPUT(处理本地生成的包)。nat, 这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:PREROUTING (修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改准备出去的包)。mangle 这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路由之前进入的包)和OUTPUT(修改路由之前本地的包)。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。
COMMANDS
这些选项指定执行明确的动作:若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源(地址)或者/与 目的(地址)转换为多个地址时,这条规则会加到所有可能的地址(组合)后面。
-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。
-R -replace
从选中的链中取代一条规则。如果源(地址)或者/与 目的(地址)被转换为多地址,该命令会失败。规则序号从1开始。
-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以,如果规则序号为1,规则会被插入链的头部。这也是不指定规则序号时的默认方式。
-L -list
显示所选链的所有规则。如果没有选择链,所有链将被显示。也可以和z选项一起使用,这时链会被自动列出和归零。精确输出受其它所给参数影响。
-F -flush
清空所选链。这等于把所有规则一个个的删除。
--Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用,在清空前察看计数器,请参见前文。
-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。
-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用,如果被引用,在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数,这条命令将试着删除每个非内建的链。
-P -policy
设置链的目标规则。
-E -rename-chain
根据用户给出的名字对指定链进行重命名,这仅仅是修饰,对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则,而且内建链和用户自定义链都不能是规则的目标。
-h Help.
帮助。给出当前命令语法非常简短的说明。
PARAMETERS
参数
以下参数构成规则详述,如用于add、delete、replace、append 和 check命令。
-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部,也可以是数值,代表这些协议中的某一个。当然也可以使用在 /etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议,而且这是缺省时的选项。在和check命令结合时,all可以不被使用。
-s -source [!] address[/mask]
指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左边"1"的个数,因 此,mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。
-d --destination [!] address[/mask]
指定目标地址,要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。
-j --jump target
-j 目标跳转
指定规则的目标;也就是说,如果包匹配应当做什么。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展 (参见下面的EXTENSIONS)。如果规则的这个选项被忽略,那么匹配的过程不会对包产生影响,不过规则的计数器会增加。
-i -in-interface [!] [name]
i -进入的(网络)接口 [!][名称]
这是包经由该接口接收的可选的入口名称,包通过该接口接收(在链INPUT、FORWORD和PREROUTING中进入的包)。当在接口名前使用"!" 说明后,指的是相反的名称。如果接口名后面加上"+",则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为"+",那么将匹配任意接 口。
-o --out-interface [!][name]
-o --输出接口[名称]
这是包经由该接口送出的可选的出口名称,包通过该口输出(在链FORWARD、OUTPUT和POSTROUTING中送出的包)。当在接口名前使 用"!" 说明后,指的是相反的名称。如果接口名后面加上"+",则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略,会假设为"+",那么将匹配所有任意 接口。
[!] -f, --fragment
[!] -f --分片
这意味着在分片的包中,规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的),这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前,表示相反的意思。
OTHER OPTIONS
其他选项
还可以指定下列附加选项:
-v --verbose
-v --详细
详细输出。这个选项让list命令显示接口地址、规则选项(如果有)和TOS(Type of Service)掩码。包和字节计数器也将被显示,分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍(不过请参 看-x标志改变它),对于添加,插入,删除和替换命令,这会使一个或多个规则的相关详细信息被打印。
-n --numeric
-n --数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。
-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值,代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。
--line-numbers
当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。
MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包,而且他们大多数都可以通过在前面加上!来表示相反的意思。
tcp
当 --protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项:
--source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口:端口也可以指定包含的(端口)范围。如果首端口号被忽略,默认是"0",如果末端口号被忽略,默认是"65535",如果第二个端口号大于第一个,那么它们会被交换。这个选项可以使用 --sport的别名。
--destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。
--tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记,一个用逗号分开的列表,第二个参数是用逗号分开的标记表,是必须被设置的。标记如下:SYN ACK FIN RST URG PSH ALL NONE。因此这条命令:iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。
[!] --syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求;例如,大量的这种包进入一个接口发生堵塞时会阻止 进入的TCP连接,而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"标记,表示相反的意思。
--tcp-option [!] number
匹配设置了TCP选项的。
udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项:
--source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。
--destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。
icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项:
--icmp-type [!] typename
这个选项允许指定ICMP类型,可以是一个数值型的ICMP类型,或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。
mac
--mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。
limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)
--limit rate
最大平均匹配速率:可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位,默认是3/hour。
--limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5
multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。
--source-port [port[, port]]
如果源端口是其中一个给定端口则匹配
--destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配
--port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配(就可以在下面设置为使用MARK标记)。
--mark value [/mask]
匹配那些无符号标记值的包(如果指定mask,在比较之前会给掩码加上逻辑的标记)。
owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链,而且即使这样一些包(如ICMP ping应答)还可能没有所有者,因此永远不会匹配。
--uid-owner userid
如果给出有效的user id,那么匹配它的进程产生的包。
--gid-owner groupid
如果给出有效的group id,那么匹配它的进程产生的包。
--sid-owner seessionid
根据给出的会话组匹配该进程产生的包。
state
此模块,当与连接跟踪结合使用时,允许访问包的连接跟踪状态。
--state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW 表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。
unclean
此模块没有可选项,不过它试着匹配那些奇怪的、不常见的包。处在实验中。
tos
此模块匹配IP包首部的8位tos(服务类型)字段(也就是说,包含在优先位中)。
--tos tos
这个参数可以是一个标准名称,(用iptables -m tos -h 察看该列表),或者数值。
TARGET EXTENSIONS
iptables可以使用扩展目标模块:以下都包含在标准版中。
LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后,linux内核会通过printk()打印一些关于全部匹配包的信息(诸如IP包头字段等)。
--log-level level
记录级别(数字或参看 syslog.conf(5))。
--log-prefix prefix
在纪录信息前加上特定的前缀:最多14个字母长,用来和记录中其他信息区别。
--log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。
--log-tcp-options
记录来自TCP包头部的选项。
--log-ip-options
记录来自IP包头部的选项。
MARK
用来设置包的netfilter标记值。只适用于mangle表。
--set-mark mark
REJECT
作为对匹配的包的响应,返回一个错误的包:其他情况下和DROP相同。
此目标只适用于INPUT、FORWARD和OUTPUT链,和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性:
--reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、 icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited,该类型会返回相应的ICMP错误信息(默认是port-unreachable)。选项 echo-reply也是允许的;它只能用于指定ICMP ping包的规则中,生成ping的回应。最后,选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则,只匹配TCP协议:将回 应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。
--set-tos tos
你可以使用一个数值型的TOS 值,或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标,可用于转换IP首部字段中的源地址和目标地址,再传送该包,并只适用于INPUT、FORWARD和OUTPUT链,以及只调用它们的用户自定义链。
SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址(此连接以后所有的包都会被影响),停止对规则的检查,它包含选项:
--to-source <ipaddr>[-<ipaddr>][:port-port]
可以指定一个单一的新的IP地址,一个IP地址范围,也可以附加一个端口范围(只能在指定-p tcp 或者-p udp的规则里)。如果未指定端口范围,源端口中512以下的(端口)会被安置为其他的512以下的端口;512到1024之间的端口会被安置为1024 以下的,其他端口会被安置为1024或以上。如果可能,端口不会被修改。
--to-destiontion <ipaddr>[-<ipaddr>][:port-port]
可以指定一个单一的新的IP地址,一个IP地址范围,也可以附加一个端口范围(只能在指定-p tcp 或者-p udp的规则里)。如果未指定端口范围,目标端口不会被修改。
MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP(拨号)连接:如果你拥有静态IP地址,你要用SNAT。伪装相当于给包发出时所经过接 口的IP地址设置一个映像,当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址(以后所有建立的连接都将关闭)。它有一个选项:
--to-ports <port>[-port>]
指定使用的源端口范围,覆盖默认的SNAT源地址选择(见上面)。这个选项只适用于指定了-p tcp或者-p udp的规则。
REDIRECT
只适用于nat表的PREROUTING和OUTPUT链,和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身(本地生成的包被安置为地址127.0.0.1)。它包含一个选项:
--to-ports <port>[<port>]
指定使用的目的端口或端口范围:不指定的话,目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。
DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误:退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2,其他错误返回代码为1。
BUGS
臭虫
Check is not implemented (yet).
检查还未完成。
COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个;以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口;-o引用输出接口,两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时,iptables是一个纯粹的包过滤 器。这能大大减少以前对IP伪装和包过滤结合使用的混淆,所以以下选项作了不同的处理:
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链
iptables实例
#!/bin/sh
#--------------------------------------------
#
# 外接口eth0,开放 vpn ssh
# 内接口eth1,绑定 dhcp dns squid
# 向内部服务器转发 ftp smtp www pop3
# 支持透明代理
#
# 胖头鱼:pangty@ta139.com
#
#--------------------------------------------
EXT_IF="eth0"
INT_IF="eth1"
EXT_IP="" #公网IP
INT_IP="" #内接口IP
SERVER_IP="" #内部服务器IP
# pptpd_vpn_service ssh
TRUSTED_LOCAL_TCP_PORT="1723 22"
TRUSTED_LOCAL_UDP_PORT="22"
# ftp-data ftp smtp http pop3
FWD_TCP_PORT="20 21 25 80 110"
FWD_UDP_PORT="20 21 25 80 110"
# load any special modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_irc
# turn on ip forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# setting up ip spoofing protection
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
# delete any existing chains
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
# setting up default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#---------------------- filter ---------------------
# allow ping from internet
iptables -A INPUT -i $EXT_IF -p icmp -j ACCEPT
# enable local traffic
#------------------------------------------------------------------------
# iptables -A INPUT ! -i $EXT_IF -m state --state NEW -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# iptables -A FORWARD ! -i $EXT_IF -m state --state NEW -j ACCEPT
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#------------------------------------------------------------------------
iptables -N allowed
iptables -A allowed ! -i $EXT_IF -m state --state NEW -j ACCEPT
iptables -A allowed -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j allowed
iptables -A FORWARD -j allowed
for PORT in $TRUSTED_LOCAL_TCP_PORT; do
iptables -A INPUT -i $EXT_IF -p tcp --dport $PORT -m state --state NEW -j
ACCEPT
done
for PORT in $TRUSTED_LOCAL_UDP_PORT; do
iptables -A INPUT -i $EXT_IF -p udp --dport $PORT -m state --state NEW -j
ACCEPT
done
#---------------------- nat ---------------------
# port forwarding
for PORT in $FWD_TCP_PORT; do
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $SERVER_IP
-p tcp --dport $PORT -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -d $EXT_IP
-p tcp --dport $PORT -j DNAT --to-destination $SERVER_IP
iptables -t nat -A POSTROUTING -d $SERVER_IP
-p tcp --dport $PORT -j SNAT --to-source $INT_IP
done
for PORT in $FWD_UDP_PORT; do
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $SERVER_IP
-p udp --dport $PORT -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -d $EXT_IP
-p udp --dport $PORT -j DNAT --to-destination $SERVER_IP
iptables -t nat -A POSTROUTING -d $SERVER_IP
-p udp --dport $PORT -j SNAT --to-source $INT_IP
done
# Transparent Proxy
iptables -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j REDIRECT --to-
port 3128
# SNAT or MASQUERADE
#------------------------------------------------------------------------
# iptables -t nat -A POSTROUTING -o $EXT_IF -j SNAT --to-source $EXT_IP
#------------------------------------------------------------------------
iptables -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
# THE END
iptables的启动脚本文件/etc/rc.d/init.d/iptables在每次启动时都要使用/etc/sysconfig/iptables提供的规则进行规则恢复,并可以使用如下命令保存规则:
2、自定义脚本的启动
用户可以在自定义脚本中直接用iptables命令编写一个规则集,并在启动时执行这个脚本。设用户自定义脚本文件名为/etc/fw/rules,则可以在启动脚本/etc/rc.d/rc.local中加入代码:if[-x/etc/fw/rules];then /etc/fw/rules; fi;即可在每次启动时执行该脚本。
注:如果使用此种方式,建议使用ntsysv命令关闭系统的iptables守护进程。
控制台的密码设置相关信息保存在
HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\VirusScan Enterprise\CurrentVersion
下的UIP、UIPMode、UIPpages这三个子键里。
UIP为具体的密码内文;
mode为加密状况,0为锁定、1则相反;
pages就对应的是相关的页面锁定范围。
UIP就是MD5加密过的密码。
直接清除掉UIP键值里的值,再回到卖咖啡那里,就不需要密码了。
一、前言
DoS(Denial of Service 拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法,如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源,例如:网络带宽、内存和磁盘空间、CPU使用率等等。通常,网络层的拒绝服务攻击利用了网络协议的漏洞,或者抢占网络或者设备有限的处理能力,造成网络或者服务的瘫痪,而DDoS攻击又可以躲过目前常见的网络安全设备的防护,诸如防火墙、入侵监测系统等,这就使得对拒绝服务攻击的防治,成为了一个令管理员非常头痛的问题。
传统的攻击都是通过对业务系统的渗透,非法获得信息来完成,而DDoS攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的Internet服务。
由于防护手段较少同时发起DDoS攻击也越来越容易,所以DDoS的威胁也在逐步增大,它们的攻击目标不仅仅局限在Web服务器或是网络边界设备等单一的目标,网络本身也渐渐成为DDoS攻击的牺牲品。许多网络基础设施,诸如汇聚层/核心层的路由器和交换机、运营商的域名服务系统(DNS)都不同程度的遭受到了DDoS攻击的侵害。2002年10月,一次大规模黑客攻击的前兆就是十三台根域名服务器中的八台遭受到“野蛮”的DDoS攻击,从而影响了整个Internet的通讯。
随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。
正是由于DDoS攻击非常难于防御,以及其危害严重,所以如何有效的应对DDoS攻击就成为 Internent使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击,必须采用专门的机制,对攻击进行有效检测,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。
本文内容将包含如下部分:
.. DDoS威胁的发展趋势以及攻击案例介绍
.. 为什么传统安全设备无法防御DDoS攻击
.. 对DDoS攻击防护所必须考虑的一些因素
.. 绿盟科技的抗拒绝服务攻击整体解决方案
二 DDoS的威胁愈演愈烈
DDoS攻击一般通过Internet上那些“僵尸”系统完成,由于大量个人电脑联入 Internet,且防护措施非常少,所以极易被黑客利用,通过植入某些代码,这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时,只需要同时向这些将僵尸机发送某些命令,就可以由这些“僵尸”机器完成攻击。随着Botnet的发展,DDoS造成的攻击流量的规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗。
2.1 攻击影响
成功的DDoS攻击所带来的损失是巨大的。DDoS攻击之下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于DDoS攻击造成的。
2.2 攻击分析
那么DDoS攻击究竟如何工作呢?通常而言,网络数据包利用TCP/IP协议在Internet传输,这些数据包本身是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载;或者数据包利用了某些协议的缺陷,人为的不完整或畸形,就会造成网络设备或服务器服务正常处理,迅速消耗了系统资源,造成服务拒绝,这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DDoS攻击,比如利用基于特征库模式匹配的IDS系统,就很难从合法包中区分出非法包。加之许多DDoS 攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于异常模式监控的工具的识别。
一般而言,DDoS攻击主要分为以下两种类型:
带宽型攻击——这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。
流量型攻击最通常的形式是flooding方式,这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机,甚至,有些攻击还利用源地址伪造技术来绕过检测系统的监控。
应用型攻击——这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理处理正常访问请求的目的,比如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。
2.3 发展趋势
DDoS攻击有两个发展趋势:其一是黑客不断采用更加复杂的欺骗技术,用于躲避各类防护设备检测;其二是DDoS攻击更多地采用了合法协议构造攻击,比如利用某些游戏服务的验证协议等。这些技术的使用造成DDoS攻击更加隐蔽,也更具有破坏性。尤其是那些利用了合法应用协议和服务的DDoS攻击,非常难于识别和防护,而采用传统包过滤或限流量机制的防护设备只能更好的帮助攻击者完成DDoS攻击。
三 DDoS防护的必要性
任何需要通过网络提供服务的业务系统,不论是处于经济原因还是其他方面,都应该对DDoS攻击防护的投资进行考虑。大型企业、政府组织以及服务提供商都需要保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,保证其业务系统运行的连续性。虽然DDoS防护需要增加运营成本,但是从投资回报率上进行分析,可以发现这部分的投资是值得的。
企业/政府网络——对于企业或政府的网络系统,一般提供内部业务系统或网站的Internet出口,虽然不会涉及大量的Internet用户的访问,但是如果遭到DDoS攻击,仍然会带来巨大的损失。对于企业而言,DDoS攻击意味着业务系统不能正常对外提供服务,势必影响企业正常的生产;政府网络的出口如果遭到攻击,将会带来重大的政治影响,这些损失都是可以通过部署DDoS防护系统进行规避的。
电子商务网站——电子商务网站经常是黑客实施DDoS攻击的对象,其在DDoS防护方面的投资非常有必要。如果一个电子商务网站遭受了DDoS攻击,则在系统无法提供正常服务的时间内,由此引起的交易量下降、广告损失、品牌损失、网站恢复的代价等等,都应该作为其经济损失计算在内,甚至目前有些黑客还利用DDoS攻击对网站进行敲诈勒索,这些都给网站的正常运营带来极大的影响,而DDoS防护措施就可以在很大程度上减小这些损失;另一方面,这些防护措施又避免了遭受攻击的网站购买额外的带宽或是设备,节省了大量重复投资,为客户带来了更好的投资回报率。
电信运营商——对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。所以,有效的DDoS防护措施对于保证网络服务质量有着重要意义。
另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。
四 当前防护手段的不足
虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于涉及之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模 DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。
4.1 手工防护
一般而言手工方式防护DDoS主要通过两种形式:
系统优化——主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护,当黑客提高攻击的流量时,这种防护方法就无计可施了。
网络追查——遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是 ISP、IDC等,目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的,那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者,即使已经确定了攻击源头,进而对其流量进行阻断,也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在,所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。
4.2 退让策略
为了抵抗DDoS 攻击,客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高攻击流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。
4.3 路由器
通过路由器,我们确实可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDoS攻击如果采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。
另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDoS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。
4.4 防火墙
防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDoS攻击的防护,在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。
首先是防火墙缺乏DDoS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet服务的设备提供了通路,如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些
检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。
防火墙的部署位置也影响了其防护DDoS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDoS攻击的目标,攻击者一旦发起DDoS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。
4.5 入侵检测
目前IDS系统是最广泛的攻击检测工具,但是在面临DDoS攻击时,IDS系统往往不能满足要求。
原因其一在于入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。
原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDoS对于网络服务的影响。
IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。
五 DDoS防护的基本要求
DDoS防护一般包含两个方面:其一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;其二,也是最为重要的,就是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。
完善的DDoS攻击防护应该从四个方面考虑:
.. 能够从背景流量中精确的区分攻击流量;
.. 降低攻击对服务的影响,而不仅仅是检测;
.. 能够支持在各类网络入口点进行部署,包括性能和体系架构等方面;
.. 系统具备很强的扩展性和良好的可靠性;
基于以上四点,抗拒绝服务攻击的设备应具有如下特性:
.. 通过集成的检测和阻断机制对DDoS攻击实时响应;
.. 采用基于行为模式的异常检测,从背景流量中识别攻击流量;
.. 提供针对海量DDoS攻击的防护能力;
.. 提供灵活的部署方式保护现有投资,避免单点故障或者增加额外投资;
.. 对攻击流量进行智能处理,保证最大程度的可靠性和最低限度的投资;
.. 降低对网络设备的依赖及对设备配置的修改;
.. 尽量采用标准协议进行通讯,保证最大程度的互操作性和可靠性;
六 绿盟科技抗拒绝服务系统
针对目前流行的DDoS攻击,包括未知的攻击形式,绿盟科技提供了自主研发的抗拒绝服务产品——黑洞(Collapsar)。通过及时发现背景流量中各种类型的攻击流量,黑洞可以迅速对攻击流量进行过滤或旁路,保证正常流量的通过。产品可以在多种网络环境下轻松部署,不仅能够避免单点故障的发生,同时也能保证网络的整体性能和可靠性。
6.1 产品功能
6.1.1 攻击检测和防护
“黑洞”系列抗拒绝服务产品应用了自主研发的抗拒绝服务攻击算法,对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。
6.1.2 海量DDoS防护
绿盟科技抗拒绝服务系统采用专用硬件架构,同时结合业界独创的攻击检测算法,所以能够针对海量DDoS 进行防护。由于系统支持旁路部署方式,可对DDoS攻击流量进行牵引,同时通过部署若干台黑洞设备形成集群,更加增强了系统抵御巨大规模的DDoS攻击的能力,保证了正常流量的顺畅通过。
6.1.3 强大的部署能力
由于客户类型不同,所以抗拒绝服务所面临的网络环境也非常复杂,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。绿盟科技的抗拒绝服务系统具备了多种环境下的部署能力,支持多种网络协议,诸如OSPF、 RIP、BGPv4、VRRP、VLAN等,加之其基于应用的负载均衡能力,帮助整个产品成为多种客户环境下抗拒绝服务攻击的首选。
6.1.4 丰富的管理功能
绿盟科技抗拒绝服务系统具备强大的设备管理能力,提供基于Web和串口的管理方式,支持本地或远程的升级。同时,其丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
6.2 核心原理
绿盟抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高。该方案的核心技术架构如图1所示。
图表 1 绿盟科技抗拒绝服务系统核心架构
攻击识别——绿盟Anti-DoS技术利用了多种技术手段对DDoS攻击是否发生进行有效的识别,除了采用先进的流量梯度算法对是否发生攻击进行判断外,还通过衡量承受能力的参照物的方式提高攻击发生判断的准确度。
协议分析——针对不同协议的数据包,绿盟Anti-DoS技术采用了不同的处理方法,比如TCP协议就采用了反向探测算法、指纹识别算法;而UDP或ICMP协议往往采用指纹识别算法进行攻击分析。
主机识别——如果DoS攻击受保护网段中的一台主机的某些端口,那么绿盟Anti-DoS技术将会保证同网段内其他主机或受攻击主机的其他端口的正常访问不会受到DoS攻击;
概率统计——绿盟Anti-DoS技术通过流量梯度算法对攻击进行判断,如果发现攻击,则进一步对数据包的特征进行统计,其内容包括目标IP地址、端口、包长、包内特征字以及校验和等。
反向探测——针对TCP协议,绿盟Anti-DoS技术将会对数据包源地址和端口的正确性进行验证,同时还对流量在统计和分析的基础上提供针对性的反向探测。
指纹识别——作为一种通用算法,指纹识别和协议无关,绿盟Anti-DoS技术通过采样自学习模式,取数据包的某些固定位置进行比较,进而对背景流量和攻击流量进行有效的区分。
6.3 组件产品
绿盟抗拒绝服务方案由两类组件产品构成:
.. NSFocus Collapsar Defender (COLLAPSAR-D)
.. NSFocus Collapsar Probe (COLLAPSAR-P)
COLLPSAR DEFENDER——作为黑洞产品系列中的关键设备,Collapsar Defender提供了对DDoS攻击流量的防护能力,通过部署Collaspar-D设备,可以对网络中的DDoS攻击流量进行清除,同时保证正常流量的通过。
Collaspar-D设备可以通过串行、旁路两种方式部署在网络中,同时多台Collaspar-D设备可以形成集群,提高整个系统抵御海量DDoS攻击的能力。
Collapsar-D设备按照硬件平台的不同,可以划分为Collapsar-200D、 Collapsar-600D、Collapsar-1600D和Collapsar-2000D四个产品系列,同时在每种产品系列中还根据被保护系统的数量分为5IP,50IP和无限IP三种类型。
Collapsar-200D/600D/1600D这三种产品型号都是基于X86体系架构,Collapsar-2000D基于全新的NP架构,虽然体系架构不同,但相应产品在功能上保持一致,主要区别体现在性能方面。
Collapsar Probe——黑洞产品系列中还有一类设备,称之为Collapsar Probe,该设备主要应用于黑洞旁路部署方式下,需要和Collapsar-D设备配合工作。Collapsar-P设备可以通过网络设备支持的流量采集协议(如netflow协议)对网络中的DDoS攻击流量进行监控和告警,在发现DDoS攻击流量后, Collapsar-P设备可实时通知Collapsar-D设备,将相关可疑流量分流至Collapsar-D设备进行清除。
6.4 部署方式
无论中小企业,还是数据中心,或是运营商网络,绿盟科技都提供不同环境下的抗拒绝服务攻击系统。
1. 串行部署方式
针对少量服务器或出口带宽较小的网络,绿盟科技抗拒绝服务产品提供串行部署方式,通过Collapsar-D设备“串联”在网络入口端,对DDoS攻击进行检测、分析和阻断。,部署拓扑图如下所示:
图表 2 “黑洞”产品的串行部署方式
2. 旁路部署方式
针对IDC、ICP或关键业务系统,绿盟科技抗拒绝服务产品提供了旁路部署的方式。通常,Collapsar-P设备部署在网络任意位置,Collapsar-D设备“旁路”部署在网络入口下端。Collapsar-P设备主要对网络入口的流量提供监控功能,及时检测DDoS攻击的类型和来源。当发现DDoS攻击发生时,Collapsar-P设备会及时通知Collapsar-D设备,随后由Collapsar-D设备启动流量牵引机制,从路由器或交换机处分流可疑流量至Collapsar-D设备,在完成DDoS攻击的过滤后,Collapsar-D再将“干净”的流量注入网络中。
图表 3 “黑洞”产品的旁路部署方式
3. 集群部署方式
针对大型IDC、城域网或骨干网,当发生海量DDoS攻击时,绿盟科技抗拒绝服务产品还能够提供集群部署的方式。集群部署方式分为串联集群部署和旁路集群部署两种形式。分别如图四和图五所示:
在串联集群部署方式中,作为Master角色的Collapsar-D和其他若干台作为Slave角色的Collapsar-D设备“并联”在网络入口端。在攻击流量较小时,作为Master的Collapsar-D设备完成对DDoS攻击流量的异常检测和攻击清除的工作;当攻击流量增大时,Master角色设备会及时启动流量牵引机制,分流攻击流量至Slave角色设备,以均衡系统负载,保证整个网络的正常运行。
图表 4 串联集群部署方式
在旁路集群部署中,若干台Collapsar-D设备并联在网络中,在某台Collapsar-D设备接收到Collapsar-P设备的攻击告警后,会启动流量牵引机制,将可疑流量均衡分配到若干台Collapsar-D上进行流量过滤。
图表 5 旁路集群部署方式
七 结论
随着DDoS攻击工具不断的普遍和强大,Internet上的安全隐患越来越多,以及客户业务系统对网络依赖程度的增高,可以预见的是DDoS攻击事件数量会持续增长,而攻击规模也会更大,损失严重程度也会更高。由于这些攻击带来的损失增长,运营商、企业或是政府必须有所对策以保护其投资、利润和服务。
为了弥补目前安全设备(防火墙、入侵检测等)对DDoS攻击防护能力的不足,我们需要一种新的工具用于保护业务系统不受DDoS攻击的影响。这种工具不仅仅能够检测目前复杂的DDoS攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,必须具备更细粒度的攻击检测和分析机制。
绿盟科技的“黑洞”抗拒绝服务攻击产品提供了业界领先的DDoS防护能力,通过多种机制的分析检测机制以及灵活的部署方式,绿盟的产品和技术能够有效的阻断攻击,保证合法流量的正常传输,这对于保障业务系统的运行连续性和完整性有着极为重要的意义。
