拒絕服務(wù)攻擊是一種遍布全球的系統(tǒng)漏洞,黑客們正醉心于對它的研究,而無數(shù)的網(wǎng)絡(luò)用戶將成為這種攻擊的受害者。Tribe Flood Network, tfn2k, smurf, targa…還有許多的程序都在被不斷的開發(fā)出來。這些程序想瘟疫一樣在網(wǎng)絡(luò)中散布開來,使得我們的村落更為薄弱,我們不得不找出一套簡單易用的安全解決方案來應(yīng)付黑暗中的攻擊。
由于我們防范手段的加強,拒絕服務(wù)攻擊手法也在不斷的發(fā)展。 Tribe Flood Network (tfn) 和tfn2k引入了一個新概念:分布式。這些程序可以使得分散在互連網(wǎng)各處的機器共同完成對一臺主機攻擊的操作,從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾臺主控制機操作進行多種類型的攻擊,如UDP flood, SYN flood等。
操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的缺陷在不斷地被發(fā)現(xiàn)并被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這一點,我們應(yīng)當(dāng)使用下面的兩步來盡量阻止網(wǎng)絡(luò)攻擊保護我們的網(wǎng)絡(luò):盡可能的修正已經(jīng)發(fā)現(xiàn)的問題和系統(tǒng)漏洞。識別,跟蹤或禁止這些令人討厭的機器或網(wǎng)絡(luò)對我們的訪問。
我們先來關(guān)注第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機,特別是使用拒絕服務(wù)攻擊的機器。因為這些機器隱藏了他們自己的地址,而冒用被攻擊者的地址。攻擊者使用了數(shù)以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這么簡單,而他只不過又提供了一個形象的界面。假如您遭到了分布式的拒絕服務(wù)攻擊,實在是很難處理。
有一些簡單的手法來防止拒絕服務(wù)式的攻擊。最為常用的一種當(dāng)然是時刻關(guān)注安全信息以期待最好的方法出現(xiàn)。管理員應(yīng)當(dāng)訂閱安全信息報告,實時的關(guān)注所有安全問題的發(fā)展。:) 第二步是應(yīng)用包過濾的技術(shù),主要是過濾對外開放的端口。這些手段主要是防止假冒地址的攻擊,使得外部機器無法假冒內(nèi)部機器的地址來對內(nèi)部機器發(fā)動攻擊。
對于應(yīng)該使用向內(nèi)的包過濾還是使用向外的包過濾一直存在著爭論。RFC 2267建議在全球范圍的互連網(wǎng)上使用向內(nèi)過濾的機制,但是這樣會帶來很多的麻煩,在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩,但是已經(jīng)滿載的骨干路由器上會受到明顯的威脅。另一方面,ISP如果使用向外的包過濾措施會把過載的流量轉(zhuǎn)移到一些不太忙的設(shè)備上。 ISP也不關(guān)心消費者是否在他們的邊界路由器上使用這種技術(shù)。當(dāng)然,這種過濾技術(shù)也并不是萬無一失的,這依賴于管理人員采用的過濾機制。
1.ICMP防護措施
ICMP最初開發(fā)出來是為了"幫助"網(wǎng)絡(luò),經(jīng)常被廣域網(wǎng)管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用,沒有遵守RFC 792原先制訂的標(biāo)準(zhǔn),要執(zhí)行一定的策略可以讓它變得安全一些。
入站的ICMP時間標(biāo)記(Timestamp)和信息請求(Information Request)數(shù)據(jù)包會得到響應(yīng),帶有非法或壞參數(shù)的偽造數(shù)據(jù)包也能產(chǎn)生ICMP參數(shù)問題數(shù)據(jù)包,從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當(dāng)保護。
以秘密形式從主方到客戶方發(fā)布命令的一種通用方法,就是使用ICMP Echo應(yīng)答數(shù)據(jù)包作為載波。 回聲應(yīng)答本身不能回答,一般不會被防火墻阻塞。
首先,我們必須根據(jù)出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器,但出站的ICMP回聲應(yīng)該被限制只支持個人或單個服務(wù)器/ICMP代理(首選)。
如果我們限制ICMP回聲到一個外部IP地址(通過代理),則我們的ICMP回聲應(yīng)答只能進入我們網(wǎng)絡(luò)中預(yù)先定義的主機。
重定向通常可以在路由器之間找到,而不是在主機之間。防火墻規(guī)則應(yīng)該加以調(diào)整,使得這些類型的ICMP只被允許在需要信息的網(wǎng)際連接所涉及的路由器之間進行。
建議所有對外的傳輸都經(jīng)過代理,對內(nèi)的ICMP傳輸回到代理地址的時候要經(jīng)過防火墻。這至少限制了ICMP超時數(shù)據(jù)包進入一個內(nèi)部地址,但它可能阻塞超時數(shù)據(jù)包。
當(dāng)ICMP數(shù)據(jù)包以不正確的參數(shù)發(fā)送時,會導(dǎo)致數(shù)據(jù)包被丟棄,這時就會發(fā)出ICMP參數(shù)出錯數(shù)據(jù)包。主機或路由器丟棄發(fā)送的數(shù)據(jù)包,并向發(fā)送者回送參數(shù)ICMP出錯數(shù)據(jù)包,指出壞的參數(shù)。
總的來說,只有公開地址的服務(wù)器(比如Web、電子郵件和FTP服務(wù)器)、防火墻、聯(lián)入因特網(wǎng)的路由器有真正的理由使用ICMP與外面的世界對話。如果調(diào)整適當(dāng),實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。
2. SYN Flood防范
SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DdoS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。對于SYN Flood攻擊,目前尚沒有很好的監(jiān)測和防御方法,不過如果系統(tǒng)管理員熟悉攻擊方法和系統(tǒng)架構(gòu),通過一系列的設(shè)定,也能從一定程度上降低被攻擊系統(tǒng)的負荷,減輕負面的影響。
一般來說,如果一個系統(tǒng)(或主機)負荷突然升高甚至失去響應(yīng),使用Netstat 命令能看到大量SYN_RCVD的半連接(數(shù)量>500或占總連接數(shù)的10%以上),可以認定,這個系統(tǒng)(或主機)遭到了SYN Flood攻擊。遭到SYN Flood攻擊后,首先要做的是取證,通過Netstat –n –p tcp >resault.txt記錄目前所有TCP連接狀態(tài)是必要的,如果有嗅探器,或者TcpDump之類的工具,記錄TCP SYN報文的所有細節(jié)也有助于以后追查和防御,需要記錄的字段有:源地址、IP首部中的標(biāo)識、TCP首部中的序列號、TTL值等,這些信息雖然很可能是攻擊者偽造的,但是用來分析攻擊者的心理狀態(tài)和攻擊程序也不無幫助。特別是TTL值,如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同,我們往往能推斷出攻擊者與我們之間的路由器距離,至少也可以通過過濾特定TTL值的報文降低被攻擊系統(tǒng)的負荷(在這種情況下TTL值與攻擊報文不同的用戶就可以恢復(fù)正常訪問)。從防御角度來說,有幾種簡單的解決方法:
2.1縮短SYN Timeout時間:由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù),這個值=SYN攻擊的頻度 x SYN Timeout,所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間,例如設(shè)置為20秒以下(過低的SYN Timeout設(shè)置可能會影響客戶的正常訪問),可以成倍的降低服務(wù)器的負荷。
2.2設(shè)置SYN Cookie:就是給每一個請求連接的IP地址分配一個Cookie,如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文,就認定是受到了攻擊,以后從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYN Flood攻擊,縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效,SYN Cookie更依賴于對方使用真實的IP地址,如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報文,同時利用SOCK_RAW隨機改寫IP報文中的源地址,以上的方法將毫無用武之地。
2.3負反饋策略:參考一些流行的操作系統(tǒng),如Windows2000的SYN攻擊保護機制:正常情況下,OS對TCP連接的一些重要參數(shù)有一個常規(guī)的設(shè)置: SYN Timeout時間、SYN-ACK的重試次數(shù)、SYN報文從路由器到系統(tǒng)再到Winsock的延時等等。這個常規(guī)設(shè)置針對系統(tǒng)優(yōu)化,可以給用戶提供方便快捷的服務(wù);一旦服務(wù)器受到攻擊,SYN Half link 的數(shù)量超過系統(tǒng)中TCP活動 Half Connction最大連接數(shù)的設(shè)置,系統(tǒng)將會認為自己受到了SYN Flood攻擊,并將根據(jù)攻擊的判斷情況作出反應(yīng):減短SYN Timeout時間、減少SYN-ACK的重試次數(shù)、自動對緩沖區(qū)中的報文進行延時等等措施,力圖將攻擊危害減到最低。如果攻擊繼續(xù),超過了系統(tǒng)允許的最大Half Connection 值,系統(tǒng)已經(jīng)不能提供正常的服務(wù)了,為了保證系統(tǒng)不崩潰,可以將任何超出最大Half Connection 值范圍的SYN報文隨機丟棄,保證系統(tǒng)的穩(wěn)定性。
所以,可以事先測試或者預(yù)測該主機在峰值時期的Half Connction 的活動數(shù)量上限,以其作為參考設(shè)定TCP活動 Half Connction最大連接數(shù)的值,然后再以該值的倍數(shù)(不要超過2)作為TCP最大Half Connection值,這樣可以通過負反饋的手段在一定程度上阻止SYN攻擊。
2.4退讓策略:退讓策略是基于SYN Flood攻擊代碼的一個缺陷,我們重新來分析一下SYN Flood攻擊者的流程:SYN Flood程序有兩種攻擊方式,基于IP的和基于域名的,前者是攻擊者自己進行域名解析并將IP地址傳遞給攻擊程序,后者是攻擊程序自動進行域名解析,但是它們有一點是相同的,就是一旦攻擊開始,將不會再進行域名解析,我們的切入點正是這里:假設(shè)一臺服務(wù)器在受到SYN Flood攻擊后迅速更換自己的IP地址,那么攻擊者仍在不斷攻擊的只是一個空的IP地址,并沒有任何主機,而防御方只要將DNS解析更改到新的IP地址就能在很短的時間內(nèi)(取決于DNS的刷新時間)恢復(fù)用戶通過域名進行的正常訪問。為了迷惑攻擊者,我們甚至可以放置一臺“犧牲”服務(wù)器讓攻擊者滿足于攻擊的“效果”(由于DNS緩沖的原因,只要攻擊者的瀏覽器不重起,他訪問的仍然是原先的IP地址)。
2.5分布式DNS負載均衡:在眾多的負載均衡架構(gòu)中,基于DNS解析的負載均衡本身就擁有對SYN Flood的免疫力,基于DNS解析的負載均衡能將用戶的請求分配到不同IP的服務(wù)器主機上,攻擊者攻擊的永遠只是其中一臺服務(wù)器,一來這樣增加了攻擊者的成本,二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡(DNS請求不同于SYN攻擊,是需要返回數(shù)據(jù)的,所以很難進行IP偽裝)。
2.6防火墻Qos:對于防火墻來說,防御SYN Flood攻擊的方法取決于防火墻工作的基本原理,一般說來,防火墻可以工作在TCP層之上或IP層之下,工作在TCP層之上的防火墻稱為網(wǎng)關(guān)型防火墻,網(wǎng)關(guān)型防火墻布局中,客戶機與服務(wù)器之間并沒有真正的TCP連接,客戶機與服務(wù)器之間的所有數(shù)據(jù)交換都是通過防火墻代理的,外部的DNS解析也同樣指向防火墻,所以如果網(wǎng)站被攻擊,真正受到攻擊的是防火墻,這種防火墻的優(yōu)點是穩(wěn)定性好,抗打擊能力強,但是因為所有的TCP報文都需要經(jīng)過防火墻轉(zhuǎn)發(fā),所以效率比較低由于客戶機并不直接與服務(wù)器建立連接,在TCP連接沒有完成時防火墻不會去向后臺的服務(wù)器建立新的TCP連接,所以攻擊者無法越過防火墻直接攻擊后臺服務(wù)器,只要防火墻本身做的足夠強壯,這種架構(gòu)可以抵抗相當(dāng)強度的SYN Flood攻擊。但是由于防火墻實際建立的TCP連接數(shù)為用戶連接數(shù)的兩倍(防火墻兩端都需要建立TCP連接),同時又代理了所有的來自客戶端的TCP請求和數(shù)據(jù)傳送,在系統(tǒng)訪問量較大時,防火墻自身的負荷會比較高,所以這種架構(gòu)并不能適用于大型網(wǎng)站。(我感覺,對于這樣的防火墻架構(gòu),使用TCP_STATE攻擊估計會相當(dāng)有效:)
工作在IP層或IP層之下的稱為路由型防火墻,其工作原理有所不同:客戶機直接與服務(wù)器進行TCP連接,防火墻起的是路由器的作用,它截獲所有通過的包并進行過濾,通過過濾的包被轉(zhuǎn)發(fā)給服務(wù)器,外部的DNS解析也直接指向服務(wù)器,這種防火墻的優(yōu)點是效率高,可以適應(yīng)100Mbps-1Gbps的流量,但是這種防火墻如果配置不當(dāng),不僅可以讓攻擊者越過防火墻直接攻擊內(nèi)部服務(wù)器,甚至有可能放大攻擊的強度,導(dǎo)致整個系統(tǒng)崩潰。
在這兩種基本模型之外,有一種新的防火墻模型,它集中了兩種防火墻的優(yōu)勢,這種防火墻的工作原理如下所示:
第一階段,客戶機請求與防火墻建立連接:
第二階段,防火墻偽裝成客戶機與后臺的服務(wù)器建立連接
第三階段,之后所有從客戶機來的TCP報文防火墻都直接轉(zhuǎn)發(fā)給后臺的服務(wù)器
這種結(jié)構(gòu)吸取了上兩種防火墻的優(yōu)點,既能完全控制所有的SYN報文,又不需要對所有的TCP數(shù)據(jù)報文進行代理,是一種兩全其美的方法。近來,國外和國內(nèi)的一些防火墻廠商開始研究帶寬控制技術(shù),如果能真正做到嚴格控制、分配帶寬,就能很大程度上防御絕大多數(shù)的SYN攻擊。
3.Smurf防范的幾種方法
阻塞Smurf攻擊的源頭:Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請求。用戶可以使用路由路的訪問保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址,以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。
阻塞Smurf的反彈站點:用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求,這們可以防止這些分組到達自己的網(wǎng)絡(luò)。如果不能阻塞所有入站echo請求,用戶就需要讓自己的路由器把網(wǎng)絡(luò)廣播地址映射成為LAN廣播地址。制止了這個映射過程,自己的系統(tǒng)就不會再收到這些echo請求。
阻止Smurf平臺:為防止系統(tǒng)成為 smurf攻擊的平臺,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能并不需要。 如果攻擊者要成功地利用你成為攻擊平臺,你的路由器必須要允許信息包以不是從你的內(nèi)網(wǎng)中產(chǎn)生的源地址離開網(wǎng)絡(luò)。配置路由器,讓它將不是由你的內(nèi)網(wǎng)中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網(wǎng)絡(luò)出口過濾器功能。
防止Smurf攻擊目標(biāo)站點:除非用戶的ISP愿意提供幫助,否則用戶自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然用戶可以在自己的網(wǎng)絡(luò)設(shè)備中阻塞這種傳輸,但對于防止Smurf吞噬所有的WAN帶寬已經(jīng)太晚了。但至少用戶可以把Smurf的影響限制在外圍設(shè)備上。通過使用動態(tài)分組過濾技術(shù),或者使用防火墻,用戶可以阻止這些分組進入自己的網(wǎng)絡(luò)。防火墻的狀態(tài)表很清楚這些攻擊會話不是本地網(wǎng)絡(luò)中發(fā)出的(狀態(tài)表記錄中沒有最初的echo請求記錄),因些它會象對待其它欺騙性攻擊行為那樣把這樣信息丟棄。
4.UDP Flood防范
以前文提到的trinoo為例,分析如下:
在master程序與代理程序的所有通訊中,trinoo都使用了UDP協(xié)議。入侵檢測軟件能夠?qū)ふ沂褂肬DP協(xié)議的數(shù)據(jù)流(類型17)。
Trinoo master程序的監(jiān)聽端口是27655,攻擊者一般借助telnet通過TCP連接到master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP (類型6)并連接到端口27655的數(shù)據(jù)流。
所有從master程序到代理程序的通訊都包含字符串"l44",并且被引導(dǎo)到代理的UDP 端口27444。入侵檢測軟件檢查到UDP 端口27444的連接,如果有包含字符串l44的信息包被發(fā)送過去,那么接受這個信息包的計算機可能就是DDoS代理。
Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發(fā)送的,因此它可以被“嗅探”到并被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本http://staff.washington.edu/dittrich/misc/trinoo.analysis,要準(zhǔn)確地驗證出trinoo代理的存在是很可能的。
一旦一個代理被準(zhǔn)確地識別出來,trinoo網(wǎng)絡(luò)就可以安裝如下步驟被拆除:
在代理daemon上使用"strings"命令,將master的IP地址暴露出來。
與所有作為trinoo master的機器管理者聯(lián)系,通知它們這一事件。
在master計算機上,識別含有代理IP地址列表的文件(默認名"..."),得到這些計算機的IP地址列表。
向代理發(fā)送一個偽造"trinoo"命令來禁止代理。通過crontab 文件(在UNIX系統(tǒng)中)的一個條目,代理可以有規(guī)律地重新啟動, 因此,代理計算機需要一遍一遍地被關(guān)閉,直到代理系統(tǒng)的管理者修復(fù)了crontab文件為止。
檢查master程序的活動TCP連接,這能顯示攻擊者與trinoo master程序之間存在的實時連接。
如果網(wǎng)絡(luò)正在遭受trinoo攻擊,那么系統(tǒng)就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標(biāo)主機上的任意端口發(fā)送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。
在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。
5.使用DNS來跟蹤匿名攻擊
從一個網(wǎng)管的觀點來看,防范的目標(biāo)并不是僅僅阻止拒絕服務(wù)攻擊,而是要追究到攻擊的發(fā)起原因及操作者。當(dāng)網(wǎng)絡(luò)中有人使用假冒了源地址的工具(如tfn2k)時,我們雖然沒有現(xiàn)成的工具來確認它的合法性,但我們可以通過使用DNS來對其進行分析:
假如攻擊者選定了目標(biāo)www.ttttt.com,他必須首先發(fā)送一個DNS請求來解析這個域名,通常那些攻擊工具工具會自己執(zhí)行這一步,調(diào)用gethostbyname()函數(shù)或者相應(yīng)的應(yīng)用程序接口,也就是說,在攻擊事件發(fā)生前的DNS請求會提供給我們一個相關(guān)列表,我們可以利用它來定位攻擊者。
使用現(xiàn)成工具或者手工讀取DNS請求日志,來讀取DNS可疑的請求列表都是切實可行的,然而,它有三個主要的缺點:
攻擊者一般會以本地的DNS為出發(fā)點來對地址進行解析查詢,因此我們查到的DNS請求的發(fā)起者有可能不是攻擊者本身,而是他所請求的本地DNS服務(wù)器。盡管這樣,如果攻擊者隱藏在一個擁有本地DNS的組織內(nèi),我們就可以把該組織作為查詢的起點。
攻擊者有可能已經(jīng)知道攻擊目標(biāo)的IP地址,或者通過其他手段(host, ping)知道了目標(biāo)的IP地址,亦或是攻擊者在查詢到IP地址后很長一段時間才開始攻擊,這樣我們就無法從DNS請求的時間段上來判斷攻擊者(或他們的本地服務(wù)器)。
DNS對不同的域名都有一個卻省的存活時間,因此攻擊者可以使用存儲在DNS緩存中的信息來解析域名。為了更好做出詳細的解析記錄,您可以把DNS卻省的TTL時間縮小,但這樣會導(dǎo)致DNS更多的去查詢所以會加重網(wǎng)絡(luò)帶寬的使用。
6.主機防范
所有對因特網(wǎng)提供公開服務(wù)的主機都應(yīng)該加以限制。下面建議的策略可以保護暴露在因特網(wǎng)上的主機。
將所有公開服務(wù)器與DMZ隔離
提供的每種服務(wù)都應(yīng)該有自己的服務(wù)器。
如果使用Linux(建議這樣做),你就可以使用一個或幾個"緩沖溢出/堆棧執(zhí)行"補丁或增強來防止絕大多數(shù)(如果不能全部)本地或遠程緩沖溢出,以避免這些溢出危及根的安全。強烈建議將Solar Designer的補丁包括在附加的安全特征中。
使用SRP(Secure Remote Password 安全遠程口令)代替SSH。
限制只有內(nèi)部地址才能訪問支持SRP的telnet和FTP守護程序,強調(diào)只有支持SRP的客戶端才可以與這些程序?qū)υ挕H绻惚仨殲楣_訪問運行常規(guī)的FTP(比如匿名FTP),可以在另一個端口運行SRP FTP。
使用可信任的路徑。根用戶擁有的二進制執(zhí)行程序應(yīng)該放置的目錄的所有權(quán)應(yīng)該是根,不能讓全部用戶或組都有寫權(quán)限。如果有必要的話,為了強制這樣做,你可以改變內(nèi)核。
使用內(nèi)置防火墻功能。通過打開防火墻規(guī)則,可以經(jīng)常利用內(nèi)核狀態(tài)表。
使用一些防端口掃描措施。這可以使用Linux的后臺程序功能或通過修改內(nèi)核實現(xiàn)。
使用Tripwire 和相同作用的軟件來幫助發(fā)覺對重要文件的修改。
7.電子郵件炸彈防護
對于保護電子件的安全來說,了解一下電子郵件的發(fā)送過程是很有必要的。它的過程是這樣的,當(dāng)有用戶將郵件寫好之后首先連接到郵件服務(wù)器上,當(dāng)郵件服務(wù)器有響應(yīng)時便會啟動郵件工具,調(diào)用路由(這里指的是郵件的路由)程序Sendmail進行郵件路由,根據(jù)郵件所附的接收地址中指定的接收主機,比如: a@163.net里的163.net,與位于主機163.net電子郵件后臺守護程序建立25端口的TCP連接,建立后雙方按照SMTP協(xié)議進行交互第進,從而完成郵件的投遞工作,接收方電子郵件接收郵件后,再根據(jù)接收用戶名稱,放置在系統(tǒng)的郵件目錄里,如/usr/電子郵件目錄的semxa文件中。接收用戶同樣使用郵件工具獲取和閱讀這些已投遞的郵件。如果投遞失敗的話,這些郵件將重新返回到發(fā)送方。實際上電子郵件的發(fā)送過程要比這里所說的更為復(fù)雜些,在過程里將會涉及很多的配置文件。在現(xiàn)在的SMTP協(xié)議是一個基于文本的協(xié)議,理解和實現(xiàn)都相對比較簡單些,你可以使用telnet直接登陸到郵件服務(wù)器的25端口(由LANA授權(quán)分配給SMTP協(xié)議)進行交互。
保護電子信箱郵件的信息安全最有效的辦法就是使用加密的簽名技術(shù),像PGP來驗證郵件,通過驗證可以保護到信息是從正確的地方發(fā)來的,而且在傳送過程中不被修改。但是這就不是個人用戶所能達到的了,因為PGP比較復(fù)雜。
就電子郵件炸彈而言,保護還是可以做得很好的。因為它的復(fù)雜性不是很高,多的僅僅是垃圾郵件而已。你可以使用到http://semxa.kstar.com/hacking/echom201.zip E-mail Chomper(砍信機)來保護自己。但是目前就國內(nèi)用戶而言,大多用戶所使用的都是免費的郵箱,像yeah.net、163.net、263.net等,即便是有人炸頂多也是留在郵件服務(wù)器上了,危害基本上是沒有的。如果是用pop3接的話,可以用Outlook或Foxmail等pop的收信工具來接收的mail,大多用戶使用的是windows的Outlook Express,可以在“工具-收件箱助理”中設(shè)置過濾。對于各種利用電子郵件而傳播的Email蠕蟲病毒和對未知的Emai蠕蟲病毒你可以使用防電子郵件病毒軟件來防護。
另外,郵件系統(tǒng)管理員可以使用“黑名單”來過濾一些垃圾信件。對于不同的郵件系統(tǒng),大都可以在網(wǎng)絡(luò)上找到最新的黑名單程序或者列表。
8.使用ngrep工具來處理tfn2k攻擊
根據(jù)使用DNS來跟蹤tfn2k駐留程序的原理,現(xiàn)在已經(jīng)出現(xiàn)了稱為ngrep的實用工具。經(jīng)過修改的ngrep可以監(jiān)聽大約五種類型的tfn2k拒絕服務(wù)攻擊(targa3, SYN flood, UDP flood, ICMP flood 和 smurf),它還有一個循環(huán)使用的緩存用來記錄DNS和ICMP請求。如果ngrep發(fā)覺有攻擊行為的話,它會將其緩存中的內(nèi)容打印出來并繼續(xù)記錄ICMP回應(yīng)請求。假如攻擊者通過ping目標(biāo)主機的手段來鉚定攻擊目標(biāo)的話,在攻擊過程中或之后記錄ICMP的回應(yīng)請求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使用其他的服務(wù)來核實其攻擊的效果(例如web),所以對其他的標(biāo)準(zhǔn)服務(wù)也應(yīng)當(dāng)有盡量詳細的日志記錄。
還應(yīng)當(dāng)注意,ngrep采用的是監(jiān)聽網(wǎng)絡(luò)的手段,因此,ngrep無法在交換式的環(huán)境中使用。但是經(jīng)過修改的ngrep可以不必和你的DNS在同一個網(wǎng)段中,但是他必須位于一個可以監(jiān)聽到所有DNS請求的位置。經(jīng)過修改的ngrep也不關(guān)心目標(biāo)地址,您可以把它放置在DMZ網(wǎng)段,使它能夠檢查橫貫該網(wǎng)絡(luò)的tfn2k攻擊。從理論上講,它也可以很好的檢測出對外的tfn2k攻擊。
在ICMP flood事件中,ICMP回應(yīng)請求的報告中將不包括做為tfn2k flood一部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊類型(TARGA, UDP, SYN, ICMP等)。混合式的攻擊在缺省情況下表現(xiàn)為ICMP攻擊,除非你屏蔽了向內(nèi)的ICMP回應(yīng)請求,這樣它就表現(xiàn)為UDP或SYN攻擊。這些攻擊的結(jié)果都是基本類似的。
9.有關(guān)入侵檢測系統(tǒng)的建議
由于許多用來擊敗基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的方法對絕大多數(shù)商業(yè)入侵檢測系統(tǒng)產(chǎn)品仍然是有效的,因此建議入侵檢測系統(tǒng)應(yīng)該至少有能重組或發(fā)覺碎片的自尋址數(shù)據(jù)包。下面是部分要注意的事項:
確信包括了現(xiàn)有的所有規(guī)則,包括一些針對分布式拒絕服務(wù)攻擊的新規(guī)則。如果遵循了ICMP建議項,許多ICMP會被阻塞,入侵檢測系統(tǒng)觸發(fā)器存在許多機會。任何通常情況下要被阻塞的入站或出站的ICMP數(shù)據(jù)包可以被觸發(fā)。 "任何"被你用防火墻分離的網(wǎng)絡(luò)傳輸都可能是一個潛在的IDS觸發(fā)器。
如果你的入侵檢測系統(tǒng)支持探測長時間周期的攻擊,確信沒有把允許通過防火墻的被信任主機排除在外。這也包括虛擬專用網(wǎng)。 如果你能訓(xùn)練每個使用ping的用戶在ping主機時使用小數(shù)據(jù)包,就可能設(shè)置入侵檢測系統(tǒng)尋找超29字節(jié)的Echo和Echo應(yīng)答數(shù)據(jù)包。
