DOS攻击介绍与防御

安全建议文档
——DOS攻击介绍与防御
文档索引
文档编号：30SAN‐HZ‐SC‐GOV‐BZ‐20071211‐001
文档分类：建议文档
提交日期
提交方 杭州三零盛安信息安全系统有限公司
提交日期 2007-12-11
版本信息
日期 版本 撰写者 审核者 描述
2007-12-11V1.0 郑赳
所有权声明
文档里的资料版权归杭州三零盛安信息安全系统有限公司（"三零盛安"）所有。

未经杭州三零盛安信息安全系统有限公司事先书面允许，不得复制或散发任何部分的内容。

任何团体或个人未经批准，擅自观看文档将被认为获取了杭州三零盛安信息安全系统有限公司的私有信息而遭受法律的制裁。

目录
DOS攻击介绍与防御 (3)
一、 DOS 攻击介绍 (3)
二、 常见DOS攻击特点 (3)
三、 常见DOS攻击防御 (3)
四、 主动防御方法介绍和测试 (4)
1、 QOS流量限速防御介绍 (4)
2、 ACL过虑防御介绍 (6)
3、 主机防御介绍 (9)
五、 DOS攻击检查方法 (10)
1、使用sniffer等工具抓包分析 (10)
2、通过cisco命令show ip cach flow查看流量 (10)
3、通过查看NAT设备SESSION (11)
DOS攻击介绍与防御
一、 D OS 攻击介绍
DOS：即Denial Of Service，拒绝服务的缩写，可不能认为是微软的dos操作系统了。

好象在5∙1的时候闹过这样的笑话。

拒绝服务，就相当于必胜客在客满的时候不再让人进去一样，呵呵，你想吃馅饼，就必须在门口等吧。

DOS攻击即让目标机器停止提供服务或资源访问。

DOS攻击主要是通过发送大量的数据包，从而占用带宽或者占满NAT设备的session。

从而导致不能上网，打不开网页等。

二、 常见DOS攻击特点
常见的DOS攻击通常利用IP包头的四个参数，即源地址、目的地址、源端口、目的端口。

我是根据4个参数不同来分类。

1．伪造源地址攻击
2．伪造目的地址攻击
3．固定源端口攻击
4．固定目的端口攻击
当然这几种攻击方法都可以组合应用，甚至可以组合成“4个参数”的都随即变化的攻击，对于这样的攻击防御是比较困难的。

基于以上的特点，要想完全防御DOS攻击，基本是不可能的。

至少目前是没有好的办法来防御。

三、 常见DOS攻击防御
根据以上分类，我分别说明防御方法。

1．伪造源地址攻击
这种攻击方法是最常见的，也是所有DOS攻击里最厉害，防御难度最大的一种。

但是可以通过ACL做源地址限制来防御，但是因为网络接入环境比较复杂，工作量
都比较大，对于大的网络实现起来非常困难。

2．伪造目的地址攻击
这种攻击防御也比较困难，只能通过QOS限制流量来防御。

可以通过QOS限制每个接入交换机端口的上传速率（input）为2M，甚至更低，可以根据实际情况来定。

但是这样是牺牲速率来实现的，这样会影响不同端口之间的文件传输。

但是不会影响下载速度。

3．固定源端口攻击
这种攻击可以通过ACL过虑源端口号来防御，但是这样防御非常被动，只能根据经验，通过ACL把常见病毒端口过虑。

4．固定目的端口攻击
这种攻击可以通过ACL过虑源端口号来防御，但是这样防御非常被动，只能根据经验，通过ACL把常见病毒端口过虑。

四、 主动防御方法介绍和测试
1、Q OS流量限速防御介绍
可以主动防御上面所有DOS攻击，但是会牺牲带宽。

只能把DOS攻击影响减至最小。

要求所有接入设备都可管理、支持QOS，而且需要在每个接入端口上下发QOS。

工作量比较大。

真实测试结果
未使用QOS：
名称： 参数
文件大小： 63.3M
上传传输时间 6.36秒
包的数量 48714
端口速率 162p/s 230553b/s
FTP显示上传速率 8463k/s
FTP显示下载速率 5733K/S
使用QOS，并把上传速率限制到640K：
名称： 参数
文件大小： 63.3M
上传传输时间 14分27秒
包的数量 47097
端口速率 54p/s 79931b/s FTP显示上传速率 74.9k/s
FTP显示下载速率 4865K/S
使用QOS，并把上传速率限制到4480K：
名称： 参数
文件大小： 63.3M
上传传输时间： 2分43秒
包的数量： 47447 129373b/s 端口速率 85P/s
FTP显示上传速率 512.9k/s
FTP显示下载速率 5311K/S
配置说明
Quidview 3900和5600系列
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则
[H3C-acl-adv-3000] rule 1 permit ip source 129.110.0.0 0.0.255.255
3.进入GigabitEthernet1/0/1端口
[H3C-acl-adv-3000]int GigabitEthernet1/0/1
4.对GigabitEthernet1/0/1口的流量进行流量限制，限制进来流量（input）的平均速
率为640kbps，对超出规格的报文全部丢弃（Drop）。

[H3C-GigabitEthernet1/0/1] traffic-limit inbound ip-group 3000 640 exceed drop Quidview 6500系列
interface Ethernet4/0/25
qos
traffic‐limit inbound ip‐group 3000 rule 0 system‐index 366 1 exceed drop（限制1M）
2、A CL过虑防御介绍
对伪造源IP地址的攻击能起到非常好的效果，基本能抵御所有的攻击。

但是要求所有接入设备都可管理，而且要求在每个接入设备端口上下发ACL。

工作量比较大，维护困难。

华为常见病毒防御策略
acl number 3001
rule 0 deny tcp source‐port eq 3127
rule 1 deny tcp source‐port eq 1025
rule 2 deny tcp source‐port eq 5554
rule 3 deny tcp source‐port eq 9996
rule 4 deny tcp source‐port eq 1068
rule 5 deny tcp source‐port eq 135
rule 6 deny udp source‐port eq 135
rule 7 deny tcp source‐port eq 137
rule 8 deny udp source‐port eq netbios‐ns
rule 9 deny tcp source‐port eq 138
rule 10 deny udp source‐port eq netbios‐dgm
rule 11 deny tcp source‐port eq 139
rule 12 deny udp source‐port eq netbios‐ssn
rule 13 deny tcp source‐port eq 593
rule 14 deny tcp source‐port eq 4444
rule 15 deny tcp source‐port eq 5800
rule 16 deny tcp source‐port eq 5900
rule 18 deny tcp source‐port eq 8998
rule 19 deny tcp source‐port eq 445
rule 20 deny udp source‐port eq 445
rule 21 deny udp source‐port eq 1434
rule 30 deny tcp destination‐port eq 3127
rule 31 deny tcp destination‐port eq 1025
rule 32 deny tcp destination‐port eq 5554
rule 33 deny tcp destination‐port eq 9996
rule 34 deny tcp destination‐port eq 1068
rule 35 deny tcp destination‐port eq 135
rule 36 deny udp destination‐port eq 135
rule 37 deny tcp destination‐port eq 137
rule 38 deny udp destination‐port eq netbios‐ns rule 39 deny tcp destination‐port eq 138
rule 40 deny udp destination‐port eq netbios‐dgm rule 41 deny tcp destination‐port eq 139
rule 42 deny udp destination‐port eq netbios‐ssn rule 43 deny tcp destination‐port eq 593
rule 44 deny tcp destination‐port eq 4444
rule 45 deny tcp destination‐port eq 5800
rule 46 deny tcp destination‐port eq 5900
rule 48 deny tcp destination‐port eq 8998
rule 49 deny tcp destination‐port eq 445
rule 50 deny udp destination‐port eq 445
rule 51 deny udp destination‐port eq 1434 CISCO常见病毒防御策略
ip access‐list extended bingdu2
deny tcp any any eq 0
deny udp any any eq 0
deny tcp any any eq 7777
deny udp any any eq 7777
deny tcp any any eq 1501
deny udp any any eq 1501
deny tcp any any eq 135
deny tcp any any eq 14240
deny udp any any eq 14240
deny tcp any any eq 2124
deny tcp any any eq 1117
deny tcp any any eq 1295
deny tcp any any eq 1066
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 389
deny tcp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 1433
deny tcp any any eq 1434
deny tcp any any eq 4444
deny tcp any any eq 5900
deny udp any any eq 135
deny udp any any eq 2124
deny udp any any eq 1117
deny udp any any eq 1295
deny udp any any eq 1066
deny udp any any eq 136
deny udp any any eq netbios‐ns
deny udp any any eq 7768
deny tcp any any eq 2892
deny udp any any eq 2892
deny udp any any eq netbios‐dgm
deny udp any any eq netbios‐ss
deny udp any any eq 389
deny udp any any eq 445
deny udp any any eq 593
deny udp any any eq 4444
deny udp any any eq 7000
deny udp any any eq 7100
deny tcp any eq 1484 any
deny udp any any eq 3206
deny tcp any any eq 1755
deny ip any host 219.153.45.110（限制目的地址） deny ip any host 222.173.45.84
deny ip any host 61.163.102.56
deny ip any host 60.190.118.150
deny ip host 10.110.62.141 any（限制源地址）
deny ip host 10.32.171.90 any
deny ip host 10.32.170.14 any
deny ip host 10.32.139.97 any
permit ip any any
过虑源地址防御策略
华为设备
acl number 3000
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
cisco设备
ip acce ex yuan
permit ip 192.168.0.0 0.0.255.255 any
deny ip any any
3、主机防御介绍
其实主机防御才是主动防御DOS攻击的最好办法，但是由于PC使用者水平低、PC分布广、数量多等原因，使得这个方法容易被忽略。

但是从现在安全发展形势来看，主机防御将会越来越受到人们的重视。

因为硬件防御和网络设备策略防御的效果已经无法对DOS攻击起到满意的效果。

主机防御可以从以下几个方面入手：
安装网络版杀毒软件；
安装桌面管理工具（如E盾和鹰眼卫士等）（可以绑定IP、关闭端口、查询补丁状态、查询杀毒软件安装状态，下发软件、关闭进程等功能）；
安装360安全卫士；
即使安装系统补丁，可以部署WSUS，也可以通过第三方工具下发；
建立主动检查机制；
PC检查制度示例
1、防病毒软件检查：主要检查是否可以正常启动、正常更新、策略有没有学习正确等。

2、360安全卫士检查：主要检查是否可以正常启动、正常更新、功能是否打开（主要是一
些防御保护功能，如：U盘病毒免疫）
3、E盾软件检查：主要检查“任务管理器”里有没有“SNLSPCtrl.exe”和“SNLSPGuard.exe”
两个进程。

另外需要保证别的电脑能够PING通本电脑，不能PING通的需要打开防火墙的防Ping功能。

4、系统补丁安装情况检查：可以通过360安全卫士检查。

但是要注意检查SP补丁。

（XP
系统是SP2、2003系统是SP2、2000系统是SP4）
5、恶意软件检查：可以通过360安全卫士检查，发现恶意软件应该及时删除。

如：3721、
上网助手等。

6、IE检查：打开IE查看主页是否被修改、是否会自动弹出黄色、反动、财经等恶意网站。

查看打开门户网站、和oa，并查看是否显示正常，有没有重叠、乱码等现象。

7、其他内容可以根据各单位实际情况做添加。

8、建议检查频率为1月/次。

五、 D OS攻击检查方法
1、使用sniffer等工具抓包分析
特点：分析难度大，分析时间长。

不到迫不得以不要采用
2、通过cisco命令show ip cach flow查看流量
特点：需要设备的支持，比较复杂。

但最直观，最快速。

(如下)由此可以看出10.32.153.54这台电脑在发布DOS攻击，据有源地址不变，目的地址随机、源端口随机、目的端口固定等特点。

可以通过关闭这台电脑并在VLAN上加ACL，过虑目的端口为UDP＝3A98＝15000数据包来防御。

VLAN 号 源IP地址 目的IP地址 协议号 源端口 目的端口 数据包数 Vl10 202.108.39.196 Null 10.32.141.204 06 0050 05DD 6
Vl10 61.129.192.182 Null 10.32.153.54 11 B8CE 3A98 231
Vl10 220.172.191.33 Null 10.32.153.54 11 1F40 3A98 1
Vl10 219.136.196.86 Null 10.32.153.54 11 0448 3A98 22
Vl10 222.208.156.50 Null 10.32.153.54 11 1F40 3A98 7
Vl10 220.175.15.196 Null 10.32.153.54 11 65E2 3A98 13
Vl10 222.79.84.184 Null 10.32.153.54 11 9572 3A98 1
Vl10 58.253.223.46 Null 10.32.134.21 06 0050 059A 5
Vl10 221.5.250.169 Null 10.110.60.167 11 1F40 3A98 5
Vl10 218.107.55.21 Null 10.32.138.64 06 0050 050F 5
Vl10 58.254.39.5 Null 10.32.171.67 11 1F40 3A98 3
DOS攻击介绍与防御
Vl10 58.254.39.5 Null 10.32.170.130 11 1F40 3A98 2
Vl10 58.19.159.111 Null 10.32.154.202 06 0050 045D 7 3、通过查看NAT设备SESSION
特点：有时候DOS攻击时设备不一定能够登陆，且有些防火墙设备不支持查看。

下面以负载均衡设备radware为例：
由此可以看出10.32.183.86这台电脑在发布DOS攻击，据有源地址不变，目的地址随机、源端口随机、目的端口随机等特点。

Client Addr Dst Addr NHR Addr Src P Dst P AttchTime T Dir
10.32.183.86 58.241.135. 36 218.108. 75. 65 1619 22648 1208220 DN TO
10.32.183.86 221. 11.114.228 218.108. 75.161 31591 8092 1179654 DN TO
10.32.183.86 221.218. 43.118 218.108. 75.161 27506 15217 1208263 DN TO
10.32.183.86 68. 32.234. 72 218.108. 75.161 27308 53377 1115170 DN TO
10.32.183.86 58.221.246. 3 218.108. 75. 65 3410 80 1208379 DN TO
10.32.183.86 58. 60. 15. 32 218.108. 75. 65 4001 8000 1190389 DN TO
10.32.183.86 61.135.208. 56 218.108. 75. 65 3764 80 1208249 DN TO
10.32.183.86 60.189. 78.189 218.108. 75. 65 13565 21163 1208027 DN TO
10.32.183.86 83.248.100.192 218.108. 75.161 6881 16429 1208206 DN TO
10.32.183.86 219.133. 60. 26 220.189.214.129 4000 8000 1181234 DN TO
10.32.183.86 60.171.155. 82 220.189.214.129 1614 18600 1208219 DN TO
10.32.183.86 61.135.132. 20 218.108. 75. 65 2280 80 1208380 DN TO
对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。

但目前我们至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。

无论DDoS的防御向何处发展，这都将是一个社会工程，需要IT界的同行们来一起关注，通力合作。

第 11 页 共 11 页。