文.吳惠麟
原題名:開源防火牆搭配優質外掛,封殺攻擊連線來源,自建Netfilter-Recent,抵禦拒絕服務攻擊
| 自從2000年全球駭客串連於中國農曆新年期間發動「拒絕服務攻擊」(Denial of Service,DoS)的「中國新年攻擊」事件一舉癱瘓各大著名的商務網站如eBay,Yahoo等發生後,拒絕服務攻擊手法即一戰成名。 | |||||||
 | |||||||
| 由於DoS此類攻擊技術的門檻較低,僅需足夠的硬體及網路上隨手可得的攻擊程式,因此相 關的攻擊事件層出不窮,也常使網管人員頭痛不已。本期筆者將使用netfilter架構中的recent模組來偵測並阻斷拒絕服務攻擊,以防止此類的攻 擊。希望能達到下列的功能,而本解決方案所需的套件如下表所示:
●可記錄嘗試拒絕服務攻擊或暴力攻擊的惡意來源IP。 ●可即時阻斷正在攻擊的來源。 ●提供一個網頁介面的管理,可方便管理者查看惡意來源IP。
TearDrop攻擊則是利用IP封包重組的漏洞。假造含有不正確位移值的封包,當這些封包到達目的主機後,可能會在重組的過程,因為無法處理不正確的位 移值,而可能造成一些系統當機。如下圖示,在Linux系統下可利用ifconfig指令來查詢MTU資訊,而每個片段會是1500。
倘若arp表格中沒有10.4.1.10相關的紀錄,則會發出arp廣播,詢問是否有10.4.1.10主機,如果10.4.1.10存在,則會回應 arp Response封包,內含IP與MAC對應的資料,告知本身的MAC位址。而後,來源端會將10.4.1.10及所屬的MAC位址寫入arp表格,流程 如下圖示。
而ARP攻擊(ARP Spoofing)即是由一個攻擊主機不斷的發出偽造的ARP Response封包,內含被攻擊者主機IP及攻擊者主機的MAC位址,如下圖示。
若上圖中其他主機欲連線至被攻擊端主機時接收ARP Response,如果接收到攻擊端所發出的ARP Response封包,便會將該錯誤的ARP資訊寫入自己的ARP Table內,之後若要連線到被攻擊端主機,即會將封包送往攻擊端的主機,因為ARP Table記錄被攻擊端主機的MAC為攻擊端主機的MAC,此種攻擊方式稱為ARP欺騙,其可能會造成下列的後果: 由上述說明得知,如果正牌之被攻擊主機回應的ARP Response速度比攻擊者所發出的ARP Response速度還要快,則其他主機所接收到的ARP Response封包是正確的(此種攻擊則未必能成功)。 此外,利用設定靜態ARP表格(將重要的主機如Gateway以靜態設定方式設定ARP)也可使ARP攻擊失效。 在Windows系統下,使用「arp -s [ip] [MAC]」指令即可在ARP表格中新建一筆紀錄,因此一般的資安建議,均會要求使用者用靜態的ARP設定來設定重要主機的MAC紀錄,以避免此類的攻擊。
(更多精采文章詳見網管人第54期) |
