wildlee网络攻击之防御思想

时间：2010-11-26 来源：wildlee

WILDLEE防网络攻击思想　　原创:wildlee

在这个网络世界中,基于OSI这个模型通信标准并附于通信线路|各种设备|网络协议,建造了计算机网络.在此也定义了”网络”.当我们的个人pc接入这个网络,通过”网络”,可以到达网络世界的任何一个角落.其实网络建设思想离不开我们的生活,网络型同城市间的公路一般,某个地方为了安全,可能会阻止某些的交通工具(汽车,拖拉机,山轮)进入.在通信网络中与现实如此,不是一个数据包想到哪就到哪,为了安全防火墙应用而生.

网络攻击技术

网络攻击群体

1.单用户大量发送源IP地址为假的攻击包,因为现在的网络通信设备不对数据包的源地址做检测,只查看目标IP进行转发,如果对源IP做检测,将影响转发数据速度,成为网络的瓶颈.其实我当时一直有个问题想不明白,如何发送一个源IP地址为假的包送入的公网,这才有可能造成欺骗,国内用户大部分部位于NAT之后,对于出入的数据包都做了源IP与端口的转换,对于假源地址是无法流出的.如果有一个公网的IP是不是可以呢?在此感谢simon与文斌兄的交流与测试,在没有防火墙的参于下,有着公网ip的主机是可以发送假源地址的数据包的.

2.拥有着大量肉鸡的骇客,依靠强硬的编程技术用来打造免杀木马,将拿到手的肉鸡组织成僵尸网络.可造成DDOS/RDDOS攻击,威力无穷.其中DRDOS是更好的利用了TCP三次握手特性,让攻击变的更加难以防范.当然任何技术有时并不单一出现,可能是多种技术的结合体.

网络攻击防御

对于攻击防御技术,在学术界与工程界有着多种技术,各有千秋.通过查阅学说总结下现有的一些技术思想与应用.

1.通过被攻击端对DDOS检测,通过策略匹配和算法分析,识别各种协议|流量|连接等,建立数据模型,以此检测攻击.缺点是算法很难代理也很高,还会有漏网之鱼.

2.从出口网关或路由器检测:其思想是进行源地址检测,禁止非内部IP源地址流出网络,进行阻止IP源地址攻击欺骗.如果是来自于真实的攻击源,对于攻击源的查找相对容易很多.但问题也很大,这样将降低网络数据包进出口路由器或网关可能成为瓶颈,其次当有来自于僵尸网络的攻击时还是无法低档.

3.基于终端的检测防御技术:在pc终端通过网络编程禁止发送源IP为假的数据包.并能实时检测数据流与服务应用,对于可疑的流量进行限制并提醒用户.有待实现难呵呵!!

4.基于流量检测技术:正常访问情况下IP白名单与正常情况下访问高峰的IP白名单集合.当发生DDOS攻击时,产生异常流量高峰,拒绝非白名单IP.检测较笼统,可能拒绝正常用户的访问.

5.基于TLL值检测技术:因为所以的数据包在经过路由时,其TLL值会发生改变,如果统计出来所有正常访问IP到达目标网络的TTL值,对于假源IP通过TLL值判断将做出有效过滤.缺点很显示.

6.还有一种技术是验证源地址,通过技术手段,但是对于大流量无法做到好的防范.

7.传统的防御技术,就是加强网络带宽,使用高性能设备,加强TCP/IP协议栈.采用群集连接技术|双机热备|负载均衡|等技术.

WILDLEE防网络攻击思想

前两天简单看了下IDS技术(入侵检测技术),用这种技术可以深度分析每个数据包的特征,有点像杀毒软件,但是它不是用来匹配病毒特征的,是用来匹配一些入侵脚本与被攻击入侵特征,如果检测到入侵攻击行为,则与防火墙连手,中断此连接并做日志记录来保证安全.该行为称之与防火墙联动.这个我们以后详细深入.现在网络攻击泛滥,对于网络的可连接性,但连接缺乏认证,对于攻击我们一直处于被动模式防范.如果有人工智能的参于,估计机器没有那么智慧吧!该想法就是数据库与防火墙联动.当网络工作于正常模式下,提供正常访问服务.当防火墙检测到异常访问流量洪水般到来,则启动与数据库联动,此时中断所有外部syn连接与异常连接,用户如果如访问其内部服务(vpn|ftp|email…),需要向防火墙提交自己的IP.原理是访问其内部WEB服务器,WEB产生图形效验码让用户辨别输入,并选择需用的服务项(vpn|ftp|email…),然后对通过图形效验的用户,生成用户访问IP与需要的端口提交于数据库,防火墙从数据库提取数据,并生成相应在ip与端口过滤策略.

标签分类：