某公司网络系统受到DDoS攻击,其攻击流量高达60~70Mbps,攻击报文到达11万pps,如下图所示:
图一 攻击流量示意图
从上图可以看出,从Internet而来的流量(绿色)中只有很少部分流量是用户正常流量(篮线),篮线以上部分为DDoS攻击流量。如果对于带宽比较紧张的市公司来说,无疑会形成严重的网络拥塞,造成大面积的用户投诉。
攻击报文分析
针对图二的攻击流量,在所接网吧交换机进行端口镜像后抓包,下图为攻击包解析截图。
图二 攻击报文分析图
可以看出,此攻击为攻击机发送大量无标志位(标志位设置为全0,图中红框重点标出)的畸形tcp报文。用大量发包的方式来耗尽网吧服务器资源,导致网吧不能正常上网。
攻击防范措施
1.在遭遇DDoS攻击时,通常会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用,拒绝为合法用户提供接入。这样做的结果很明显,就是“因噎废食”,可以说是恰恰满足了黑客的心愿。
2.安装专业防火墙进行非法流量过滤
在上述攻击实例中,我们架设了防DDoS攻击设备进行非法流量的过滤,拓扑图如图三所示,起到了不错的效果,保护了网吧的正常营业,但是攻击流量一直流向到防火墙,占用城域网带宽严重。
图三 DDoS防火墙安装示意图
3.对于用户来说,正常业务的开展是最根本的利益所在。随着大家对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧。我们只能建议和呼吁:及早发现系统存在的攻击漏洞、及时安装系统补丁程序,以及不断提升网络安全策略,都是防范DDoS攻击的有效办法。
尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。
