本文主要給大家詳細(xì)的介紹了局域網(wǎng)內(nèi)如何進(jìn)行DDOS的攻擊阻止，并且給講解了網(wǎng)絡(luò)環(huán)境，故障描述和故障分析等問(wèn)題，相信看過(guò)此文會(huì)對(duì)你有所幫助。

接到客戶求助，最近進(jìn)行了一次網(wǎng)絡(luò)“出診”。這是一個(gè)由傀儡主機(jī)的DDos攻擊引發(fā)的網(wǎng)絡(luò)故障，案例比較典型，排錯(cuò)過(guò)程也頗曲折。筆者就還原其過(guò)程，與大家分享。

1.網(wǎng)絡(luò)環(huán)境

這個(gè)客戶是一家化工企業(yè)，網(wǎng)絡(luò)規(guī)模不大。十多臺(tái)交換機(jī)組成的局域網(wǎng)，節(jié)點(diǎn)大約150個(gè)左右。沒(méi)有劃分VLAN，—部分主機(jī)運(yùn)行IPX協(xié)議，另一部分運(yùn)行TCP/IP協(xié)議。其中只有少數(shù)主機(jī)可以訪問(wèn)Internet，接入模式為ADSL路由器直接連接網(wǎng)絡(luò)中的一臺(tái)交換機(jī)。ADSL路由器中啟用了其自帶防火墻功能，所有可以上網(wǎng)的主機(jī)安裝了防病毒軟件。

2.故障描述

最近的某一天，整個(gè)網(wǎng)絡(luò)突然癱瘓。可以看到所有交換機(jī)端口指示燈急速閃爍，測(cè)試得知網(wǎng)絡(luò)中任意兩臺(tái)主機(jī)之間不能相互ping通，所有網(wǎng)絡(luò)應(yīng)用均不能正常進(jìn)行。在拔掉部分網(wǎng)線(交換機(jī)之間的級(jí)連線)后，癥狀有所減緩，最后恢復(fù)正常。將拔掉的網(wǎng)線逐一插回原位，故障現(xiàn)象未重新出現(xiàn)。此后這種現(xiàn)象不定時(shí)、無(wú)規(guī)律地出現(xiàn)。

3.故障分析

基于故障發(fā)生時(shí)交換機(jī)端口指示燈急速閃爍、網(wǎng)絡(luò)中任意兩臺(tái)主機(jī)之間相互不能ping通這一現(xiàn)象，初步斷定此時(shí)網(wǎng)絡(luò)中充斥了大量的廣播包，耗盡了網(wǎng)絡(luò)資源。那么這些突然出現(xiàn)的巨量廣播包是哪里來(lái)的呢?為查找廣播源，在故障出現(xiàn)時(shí)，使用Sninffer軟件捕捉數(shù)據(jù)包。結(jié)果發(fā)現(xiàn)，網(wǎng)絡(luò)中并沒(méi)有出現(xiàn)原來(lái)估計(jì)的廣播包，卻有大量的不正常單目IP數(shù)據(jù)包。

4.排除故障

通過(guò)分析發(fā)現(xiàn)，這些數(shù)據(jù)包是主機(jī)172.*.*.1l發(fā)送給主機(jī)219.*.*.88的，發(fā)送速度不小于每秒l萬(wàn)5千個(gè)。詢問(wèn)管理員得知，172.*.*.1l是內(nèi)網(wǎng)的一臺(tái)可以訪問(wèn)Internet的主機(jī)。這明顯是不正常的，將該可疑主機(jī)斷開后，問(wèn)題解決。

5.深入分析

網(wǎng)絡(luò)故障雖然排錯(cuò)，但筆者感覺一切并沒(méi)有這么簡(jiǎn)單。因?yàn)榘闯＠恚l(fā)送給主機(jī)219.*.*.88的數(shù)據(jù)包不是廣播包，不應(yīng)該被發(fā)送到運(yùn)行Sniffer主機(jī)所在的交換機(jī)端口。很明顯，這些數(shù)據(jù)包在網(wǎng)絡(luò)中以廣播的形式被發(fā)送了。如此數(shù)量的廣播包充斥網(wǎng)絡(luò)，正是造成網(wǎng)絡(luò)癱瘓的罪魁禍?zhǔn)住?/p>

(1).局域網(wǎng)主機(jī)成了傀儡

為搞清故障原因，在可疑主機(jī)上安裝Sniffer，分析網(wǎng)絡(luò)行為。通過(guò)抓包分析發(fā)現(xiàn)，一旦連接Internet，該主機(jī)主動(dòng)連接到外網(wǎng)中一FTP服務(wù)器，并下載文本文件ddos.txt。那么，ddos.txt文件內(nèi)容中有什么呢?原來(lái)是一個(gè)IP地址和8O端口。然后，對(duì)數(shù)據(jù)包進(jìn)一步分析發(fā)現(xiàn)所有數(shù)據(jù)包的目標(biāo)主機(jī)正好是ddos.txt中指定的IP地址。這些無(wú)意義的數(shù)據(jù)包之所以使用8O端口，是為了突破防火墻的限制。原來(lái)，這臺(tái)主機(jī)“有幸”成了一次分布式拒絕服務(wù)攻擊(DDoS)的傀儡機(jī)。每次連接E互連網(wǎng)，自動(dòng)到一個(gè)FTP服務(wù)器下載文件ddos.txt，如果該文件為空，則繼續(xù)以一定時(shí)間間隔下載文件，直到獲得的文件中有目標(biāo)主機(jī)的IP地址和端口后，即開始向目標(biāo)主機(jī)展開DoS攻擊。這正是網(wǎng)絡(luò)故障現(xiàn)象不定時(shí)、無(wú)規(guī)律地出現(xiàn)的原因。

(2).ADSL路由器被“淹沒(méi)”

另一個(gè)問(wèn)題是，這些攻擊包應(yīng)該是從傀儡機(jī)發(fā)送到ADSL路由器，然后到Internet中目標(biāo)主機(jī)的，并不是通常所說(shuō)的廣播包，為什么交換機(jī)以廣播的形式發(fā)送這些廣播包呢?分析可能原因只有一個(gè)：此時(shí)交換機(jī)的地址轉(zhuǎn)發(fā)表(CAM)中沒(méi)有ADSL路由器內(nèi)網(wǎng)接口的物理地址，引起交換機(jī)將單目包廣播到所有交換機(jī)端口。

開始時(shí)，交換機(jī)地址轉(zhuǎn)發(fā)表中包含ADSL路由器的物理地址。那么，傀儡機(jī)開始攻擊后，網(wǎng)絡(luò)中形成一個(gè)穩(wěn)定的攻擊數(shù)據(jù)流：傀儡機(jī)→若干交換機(jī)→ADSL路由器→被攻擊的目標(biāo)主機(jī)。此時(shí)對(duì)內(nèi)網(wǎng)的影響僅僅是某些交換機(jī)的端口和ADSL路由器，ADSL路由器因?yàn)槊τ谔幚泶罅康墓舭?ldquo;淹沒(méi)”，會(huì)導(dǎo)致內(nèi)網(wǎng)中主機(jī)訪問(wèn)互連網(wǎng)出現(xiàn)問(wèn)題。

(3).交互導(dǎo)致的廣播風(fēng)暴

什么原因?qū)е陆粨Q機(jī)的地址轉(zhuǎn)發(fā)表丟棄了ADSL路由器內(nèi)網(wǎng)接口的物理地址昵?有兩種情況：一是缺省情況下，5分鐘內(nèi)，如果交換機(jī)沒(méi)有接到某個(gè)設(shè)備發(fā)送的數(shù)據(jù)幀，則認(rèn)為該設(shè)備已經(jīng)宕機(jī)，為節(jié)省資源，將從CAM表中刪除該地址。二是當(dāng)STP協(xié)議探測(cè)到網(wǎng)絡(luò)拓?fù)溆懈淖儠r(shí)，將清空所有未刷新的CAM表項(xiàng)。假定此時(shí)有人因?yàn)椴荒苌暇W(wǎng)而重新啟動(dòng)主機(jī)，或插撥網(wǎng)線，則會(huì)引起交換機(jī)端口狀態(tài)發(fā)生變化。此時(shí)，交換機(jī)認(rèn)為網(wǎng)絡(luò)拓?fù)浒l(fā)生了變化，它的下—個(gè)動(dòng)作是通知所有交換機(jī)，15秒內(nèi)清除未被刷新的地址轉(zhuǎn)發(fā)表表項(xiàng)。

這里的“未被刷新”是指，交換機(jī)沒(méi)有收到以該物理地址為源地址的數(shù)據(jù)幀，也就是說(shuō)，該設(shè)備沒(méi)有發(fā)送數(shù)據(jù)幀經(jīng)過(guò)交換機(jī)到其他設(shè)備，那么該設(shè)備的物理地址在交換機(jī)的地址轉(zhuǎn)發(fā)表中將被清除。以后，所有以該設(shè)備物理地址為目的地址的數(shù)據(jù)幀，雖然不是廣播幀，也將被發(fā)送到交換機(jī)的所有端口，這就是平時(shí)所說(shuō)的廣播風(fēng)暴。

(4).故障形成過(guò)程

通過(guò)上面的分析，最后回到我們的例子理一理這次故障形成的過(guò)程。在傀儡機(jī)的攻擊行為開始后，小小的ADSL路由器每秒要接收、處理不少于l5o00個(gè)數(shù)據(jù)包，它縱然是有三頭六臂，也沒(méi)機(jī)會(huì)向交換機(jī)發(fā)送數(shù)據(jù)包了。也就是說(shuō)，它現(xiàn)在是只有接受沒(méi)有發(fā)送，沒(méi)辦法刷新交換機(jī)cAM表中的相關(guān)表項(xiàng)。那么，快的話15秒后，慢的話5分鐘，交換機(jī)就會(huì)清除ADSL路由器的物理地址記錄。別忘了，此時(shí)攻擊數(shù)據(jù)流并沒(méi)有停止，而這些攻擊數(shù)據(jù)幀恰恰是以ADSL路由器物理地址為目的地址的，這樣，災(zāi)難發(fā)生了，所有數(shù)據(jù)幀被廣播到網(wǎng)絡(luò)中每臺(tái)交換機(jī)中的每—個(gè)端口。

6.解決方案

這此網(wǎng)絡(luò)故障從表面上看是由一臺(tái)傀儡主機(jī)引起的，具有一定的偶然性。但從根本上來(lái)說(shuō)是必然，不合理的網(wǎng)絡(luò)結(jié)構(gòu)是造成這次故障的關(guān)鍵因素。筆者給出的解決方案是：

(1).將充當(dāng)傀儡機(jī)的電腦從網(wǎng)絡(luò)中斷開后，重新安裝系統(tǒng)，徹底杜絕隱患。

(2).加強(qiáng)本地網(wǎng)絡(luò)安全防范措施的同時(shí)，對(duì)原網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整：據(jù)不同應(yīng)用分成幾個(gè)VLAN，將可以上網(wǎng)的機(jī)劃分到某個(gè)特定VLAN中，限定此類故障的影響范圍。

(3).將連接主機(jī)的端口配置為STP速端口，不參與STP協(xié)議，可以減少網(wǎng)絡(luò)中交換機(jī)不

必要的拓?fù)涓淖儾僮鳌?/p>

就這次網(wǎng)絡(luò)排錯(cuò)筆者的啟示是：網(wǎng)絡(luò)排錯(cuò)類同于醫(yī)生治病，庸醫(yī)往往是“頭痛醫(yī)頭，腳痛醫(yī)教”不會(huì)從根上進(jìn)行醫(yī)治，而高明的醫(yī)生卻往往是治本。網(wǎng)絡(luò)排錯(cuò)何嘗不是呢?