9.2.9 拒绝服务攻击的防护

作者: 刘宝旭 蒋文保 王晓箴编著 出处:电子工业出版社博文视点 　2008-05-29 14:06　   砖    好    评论  条 　进入论坛

阅读提示：《黑客入侵的主动防御》第九章主要讲的是主动防御防护性能的模拟分析情况，本小节说的是拒绝服务攻击的防护。

9.2.9  拒绝服务攻击的防护

ICMP/SMURF攻击利用的是网络广播的原理来发送一个ICMP请求到大量的地址（通过广播地址或其他机制发送到整个网络中的机器），而包的源地址就是黑客要攻击的目标主机的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包，最终导致该网络的所有主机都对此ICMP应答请求做出答复，比ping of death洪水的流量高出一或两个数量级，从而导致网络阻塞，最终导致第三方雪崩。攻击效果示意图如图9-14所示。使用网络发送一个包而引出大量回应的方式也被叫做“放大器”，目前，仍有很多Web服务器具有这种漏洞。

图9-14  smuff攻击效果示意图

如图9-15所示，防范体系对smuff攻击的防护过程如下所述：

黑客使用smuff攻击软件通过Internet对被保护网络中的节点A进行攻击。

该攻击行为首先被防火墙检测到（防火墙策略配置不允许ICMP协议通过）。

防火墙将该攻击阻断。

防火墙向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台会及时将这次拒绝服务攻击的相关信息通知安全管理员，由安全管理员根据具体情况进行处理（如对该地址进行封锁等）。

若是其他拒绝服务攻击，如tfn2k、SYNflood等，会首先由IDS发现攻击行为，IDS将探测到的攻击行为通知体系管理平台（若情况紧急，IDS会直接通知防火墙，由防火墙和路由器配合，进行阻断），体系管理平台通知防火墙和路由器调整配置策略，阻断该攻击行为。防火墙向体系管理平台报告处理结果。体系管理平台将该处理结果存档并将处理结论反馈给IDS。若是分布式拒绝服务攻击，需要调动安全事件响应队伍进行紧急响应处理工作，防止造成不良后果。

图9-15  防范体系对smuff攻击的防护效果示意图

回书目   上一节   下一节