Archive for 五月, 2009


在以下几个方面防范DDoS

    1、主机上防范

     使用网络和主机扫描工具检测脆弱性  DDoS能够成功的关键是在Internet上寻找到大量安全防御措施薄弱的计算机。因此,经常使用安全检测工具检测网络和主机,找出目前存在的安全隐患并给出相应的应对措施,可以减少甚至避免主机被黑客利用成为傀儡机的可能性。安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件。安全扫描工具应该随着攻击方式的演变而升级。

    采用NIDS和嗅探器  当系统收到未知地址的可疑流量时,NIDS(Network Intrusion Detection Systems,网络入侵检测系统)会发出报警信号, 提醒系统管理员及时采取应对措施,如切断连接或反向跟踪等。NIDS的安全策略或规则应该是最新的,并包含当前最新攻击技术的特征描述。

    嗅探器(sniffer)可用来在网络级识别网络攻击行为并成为NIDS原始检测信息的来源。例如,当黑客修改IP 包的数据部分,使其包含某些隐蔽信息,嗅探器就可以探测到这些信息并将此信息提供给有关人员进行分析, 成为采取阻断、分流恶意流量或追查黑客的依据。

    及时更新系统补丁  现有的操作系统都有很多漏洞,这很容易让黑客找到后门,所以及时下载和更新系统补丁也是抵御黑客很重要的一点。

    2、网络设备上防范

    单机上防御主要是减少被作为傀儡机的可能,在路由器上采取防范措施才是抵御DDoS的关键,这里以Cisco路由器为例分析一下阻止攻击的方法:

    检查每一个经过路由器的数据包  在路由器的CEF(Cisco Express Forwarding)表里,某数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为a.b.c.d的数据包,如果CEF路由表中没有为IP地址a.b.c.d提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。

    设置SYN数据包流量速率  许多DDoS攻击采用SYN洪水攻击的形式,所以有必要在路由器上限制SYN数据包流量速率。采用这种方法时必须在进行测量时确保网络的正常工作以避免出现较大误差。

  •     rate-limit output access-group 153 45000000 100000 100000 conform-action
  •     transmit exceed-action drop
  •     rate-limit output access-group 152 1000000 100000 100000 conform-action
  •     transmit exceed-action drop
  •     access-list 152 permit tcp any host eq www
  •     access-list 153 permit tcp any host eq www established

    在边界路由器上部署策略  网络管理员可以在边界路由器上部署过滤策略如下:

    ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。

    ISP端边界路由器的访问控制列表:

  •     access-list 190 permit ip 客户端网络 客户端网络掩码 any
  •     access-list 190 deny ip any any [log]
  •     interface 内部网络接口 网络接口号
  •     ip access-group 190 in

    客户端边界路由器的访问控制列表:

  •     access-list 187 deny ip 客户端网络 客户端网络掩码 any
  •     access-list 187 permit ip any any
  •     access-list 188 permit ip 客户端网络 客户端网络掩码 any
  •     access-list 188 deny ip any any
  •     interface 外部网络接口 网络接口号
  •     ip access-group 187 in
  •     ip access-group 188 out

    使用CAR限制ICMP数据包流量速率  CAR(Control Access Rate),可以用来限制包的流量速率,是实现QoS(Quality of Service,服务质量)一种工具。可以用它来限制ICMP包来防止DDoS。

  •     rate-limit output access-group 2020 3000000 512000 786000 conform-action
  •     transmit exceed-action drop
  •     access-list 2020 permit icmp any any echo-reply

    用ACL过滤RFC 1918中列出的所有地址  ACL(Acess Control List,访问控制列表),是路由器过滤特定目标地址、源地址、协议的包的工具,可以用它来过滤掉RFC 1918中列出的所有地址,即私有IP地址(10.0.0.0/8,172.16.0.0/12, 192.168.0.0/16)。

  •     ip access-group 101 in
  •     access-list 101 deny ip 10.0.0.0 0.255.255.255 any
  •     access-list 101 deny ip 192.168.0.0 0.0.255.255 any
  •     access-list 101 deny ip 172.16.0.0 0.15.255.255 any
  •     access-list 101 permit ip any any

    搜集证据  可以为路由器建立log server,建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:

  •     tcpdump -i interface -s 1500 -w capture_file
  •     snoop -d interface -o capture_file -s 1500
廣告

童谣一首

  一等公民是公仆,子子孙孙享清福;

  二等公民搞承包,吃喝嫖赌全报销;

  三等公民当个体,骗了老张骗小李;

  四等公民坐机关,抽了塔山品毛尖;

  五等公民大盖帽,吃穷被告吃原告;

  六等公民手术刀,划开肚皮取红包;

  七等公民交警队,马路旁边吃社会;

  八等公民是律师,发财全靠打官司;

  九等公民是园丁,鱿鱼海参分不清;

  十等公民主人公,老老实实学雷锋。

    西天取经小组,悟空、八戒、沙僧、唐僧,师徒四人,唐僧能力最弱,与其他三人相比,可谓手无缚鸡之力,是被保护对象,却贵为四人中的领导核心。何故?
    从管理学角度来看,作为团队的核心,应该能够最大限度地发挥成员的特长,避免内耗,使1+1>2。因此,核心的个人能力未必胜过其他成员,甚至可能是最弱的,但他具有难以替代的协调能力和凝聚力,核心非唐僧莫属。作为领导人,应该有定力,坚守原则,处变不惊。这一点,唐僧做得非常到位。在面临年轻貌美的女妖精逼婚的情况下,唐僧不仅不为所动,还多次呵斥愿意为革命事业作出牺牲、勇于充当唐僧替身与妖精和亲的八戒退下,自己勇敢地站在第一线,把失身危险一个人扛。更重要的是,唐僧的目标非常明确,无论多苦,求得真经,无论艰难险阻,有此目标作为动力,永不言弃,是科学发展观的实践者。这一点,是另外三位所不具备的。选其他任何一位当核心,都可能半途而废。

    现在用排除法来看。除了唐僧,没有任何一位能让其他人听从,都会产生无休止的内耗。
    首先从级别上来看,除了唐僧,其他三位都曾在天上(相当于党中央)任职。八戒,天蓬元帅,正部级,因调戏上级领导嫦娥被劳教,内心经常不平衡,常通过打小报告、向女妖眉目传情排除抑郁,心理不健康;沙僧,卷帘将,正局级。原本跟随玉帝,前途无量,结果因渎职失去前程,悔得肠子都青了,内心失衡,因此,少言寡语,期望表现好点,重新回到领导身边工作,跟着领导吃香的喝辣的;孙悟空,号称齐天大圣,属国家领导人级别,但其实还不如政协主席,政协主席多少还可以参政议政,把一帮人组织起来听他讲话,过过嘴瘾,而悟空最多也就弄一群猴子训训话。悟空因谋反被判处无期徒刑,后改为500年有期徒刑。但不管怎么说,毕竟曾经“齐天”难为水,而且,悟空一直认为自己是国家领导人,沙僧和八戒的级别他根本看不上,把他们当成村级干部看待,令八戒郁闷得几次要求内退;沙僧因“失手打破玉玻璃,天神个个魂飞丧”的渎职行为被发配,没有争当核心的勇气。拿破仑说过,不想当核心的领导干部不是信得过的好干部。
    有罪之人,不以前职定高低。这样,无论选谁当核心,其他人都不会服气。那么,唐僧呢?不要以为唐僧好说话。选另外三个任何一个当核心,都意味着,唐僧跟随一个有前科的核心混,尽管去西天取经很高尚,但对于洁身自好,把名声看得和身子一样精贵的人而言,这绝对是一个污点。尤其是,如果八戒当核心,八戒利用职权跟女妖厮混,留唐僧在门外放风,简直就如同逼迫马英九拍艳门照,唐僧宁死也不会答应的。因此,唐僧不会接受任何一位当核心,除了他自己。
    这是从团体内部做的比较。

    再看看上级领导玉帝的意思。
    四人名为取经,实为帮玉帝清理门户。高级干部及其亲属在人间作福作威的事情早已民怨沸腾,严重影响社会稳定。反腐需要精炼的队伍。放下悟空、八戒、沙僧都是有前科之人不提,他们都是各种利益纷争中的活跃分子,牵涉派系斗争。
    现在逐个分析:悟空本领强,但看谁都比他级别低,弄得自己跟北京人似的,不谙人际关系,尤其不知道那些妖精和上级领导的亲属关系,动辄就一棍子打死,把玉帝及身边的高级领导可操作的空间封死了。因此,玉帝用悟空反贪,虽然可以促使手下的高级干部管好自己身边的人。但是,却不能用悟空当核心,他当核心不能对犯错的“领导身边的人”网开一面——那些大大小小的妖精几乎都是领导身边的人。
    而让唐僧做为核心,上级领导则可以通过他落情面,既威慑了那些大贪小贪,也稳定了干部队伍。并且,玉帝以此引蛇出洞,把那些利用“身边的人”在下面作福作威、掠夺百姓的人暴露出来,便于玉帝抓辫子打棍子,加强个人权威。玉帝如果用八戒、沙僧当核心,对不起,二位对上面的关系摸得太透,根本查不下去,并且,八戒还时不时想对女妖精投怀送抱,加入到腐败分子队伍,这种随时都愿意“献身”的精神不是组织上所喜欢的,太直接了。作为核心,偶尔喜欢一个娱乐圈的歌星还有情可原,如果到处弄出国母的传闻就有损组织形象——哪怕烂透了,表面形象也还是要做的。

    综上,用唐僧当核心,队伍最团结,内耗最小。同时,上级领导也可以通过他,找到回旋、通融的空间。于公于私,唐僧都是唯一人选。但是,西天取经一场空,反腐也没有动一个高级干部,甚至没一个有后台的妖精被惩处,都被主人领走了。受害民众也没有得到应有的补偿。缺少监督和民主氛围的天庭,依然腐败并快乐着。想当年,孙猴子高喊一声:“王侯将相,宁有种乎!”便揭竿而起,以一人之力几乎把天庭砸烂,下一个大闹天宫的不知是谁,但有一点可以肯定,被既得利益集团绑架和被腐败摧残得千疮百孔的天庭一定是更加不堪一击。