国产在线aⅴ电影_ ┬和必斯┭-怀安农业局
淘宝减肥药排行榜十强
只推淘宝安全有效的减肥药

当前位置:国产在线aⅴ电影 > 减肥产品

国产在线aⅴ电影

时间:2021-05-11 12:47  编辑:wendj

Sinkhole路由技术白皮书

目录

1 前言 (1)

2 技术简介 (2)

3 关键技术 (3)

4 典型应用 (5)

5 结束语 (9)

Sinkhole路由技术白皮书

1 前言

DOS(Denial Of Service)攻击的目的是让被攻击的服务器无法提供正常的服务,通常的手段是使用大量的非法、异常的手段来耗尽攻击目标的各种资源。这种攻击一般是基于单机的,造成的影响不大,可以通过简单的ACL方式来抵御。DDOS(Distributed Denial Of Service)是利用大量的主机同时进行攻击,攻击者通过病毒等方式控制大量的计算机资源,并触发这些宿主同时向某一目标发起攻击。自1999年DDOS攻击首次被发现以来,DDOS攻击发生的频率增长很快,攻击者控制的计算机资源数量也呈几何级数态猛增,每次攻击造成的危害越来越大,不仅仅造成被攻击目标瘫痪,甚至周边的服务器连带路径上的网络设备也频频受到致命的影响。DDOS的攻击者通常使用多级代理服务器、跨越多个国家和地域来传播和发起攻击,使得对攻击源的追溯需要耗费大量的时间和金钱。DDOS攻击的发展趋势是海量的访问源、海量的数据流量,越来越多的以攻击网络设备为目标。对SCO网站的TCP SYN Flood 攻击流量就曾经达到过340Gbps。

近年来,机器性能的提高和宽带接入的发展使得单机可有能力发起更多的连接请求和进行更大流量的攻击,基于单机的DOS攻击也对网络的安全造成越来越大的危害。所以运营商必须同时关注DOS和DDOS攻击。

DOS/DDOS攻击是无法根除的,一般只能做到尽量减轻攻击造成的危害。对付DOS攻击最常用的方法是在攻击流量入口的边界路由器上配置ACL来拒绝攻击流量的进入。DDOS攻击源自大量的主机,经常采用仿冒的源地址, ACL过滤方式耗费的维护成本太高,因此用这种方式对抗DDOS攻击不是很理想的;防火墙由于性能方面的问题,在进行攻击检测和保护目标网络的同时,也对服务器的访问能力造成一定影响,在抵御针对网络设备的攻击上一般也无能为力。

BGP触发黑洞路由是运营商经常采用的抵制攻击的技术,通过一台路由器触发,可以在AS 内部的所有iBGP邻居上触发黑洞路由,拒绝所有发向攻击对象的流量,保护整个网络和其他主机不受影响,同ACL方式相比,可以大量减少攻击发生时的维护工作量。但是这种方式下对攻击流量的记录和分析较为困难,而且攻击发生时,合法的访问也无法正常进行,实际上攻击行为已经达到了部分目的。

2 技术简介

本文介绍的Sinkhole路由技术可以在发生攻击时,通过BGP路由触发所有的边界路由器将攻击流量引到sinkhole路由器上,实现对攻击流量的记录和分析。通过特定团体属性的BGP路由触发,可以实现只对攻击入口的边界路由器触发黑洞路由,而非攻击入口的合法流量可以正常访问目标资源。在对发生攻击的服务器流量进行分析的基础上,还可以将其中的合法流量继续转发至目的地,同以往的抗DOS/DDOS攻击技术相比,维护工作量显著降低,也很好地减轻了攻击造成的危害。

蜜罐(Honey Pot)技术是将一台计算机伪装成有缺陷的主机,吸引黑客来嗅探和攻击,达到监视黑客的目的。Sinkhole路由技术与蜜罐技术有一定相似之处。其主要目的是将攻击流量引到Sinkhole路由器上,并通过与Sinkhole路由器相连的各种安全监控设备对攻击进行分析、记录和跟踪。与蜜罐技术不同的是,Sinkhole路由技术重点保护的是网络的整体安全,而不是一两台主机。

Sinkhole路由器是ISP自治域内运行BGP的一台路由器,利用BGP路由信息中下一跳属性(nexthop)可以不是发送者本身的特点,在发现某一主机被攻击时,Sinkhole路由器发送被攻击主机地址的32掩码的路由信息,并将nexthop属性设置为某一个规定好的RFC1918中指定的私有地址。在ISP自治域中所有边界路由器上,事先配好到Sinkhole路由器的隧道(例如MPLS TE隧道, GRE隧道等),并配置静态路由将到指定私有地址的路由引到sinkhole路由器中。根据路由最长匹配的原则和BGP路由的迭代算法,在收到Sinkhole路由器发布的路由更新后,边界路由器上会增加一条到被攻击主机的32位掩码路由,下一跳是Tunnel接口的地址,这样就实现了将攻击流量引到Sinkhole路由器上。Sinkhole路由器在相应Tunnel接口上收到攻击流量后,可以将这些流量转到Sinkhole路由器后面的安全分析/记录设备。由于流量通过tunnel转发过来,Sinkhole路由

器可以计算出报文进入自治域的入口点,将这个信息附加在原始流量上一起发给安全分析设备,安全分析设备可以通过这些信息来分析攻击的入口,或进一步分析最终找到攻击源。

在分析出攻击入口点后,原来发布网段路由的路由器可以发布携带一定的团体属性而下一跳保持正常的BGP路由更新报文,收到此报文的攻击入口路由器上通过事先设置的路由策略来改变下一跳属性。通过这种方式,只有攻击入口的流量被引到Sinkhole路由器,而其他边界路由器上维持正常的转发,进一步减轻了攻击的危害。

3 关键技术

1)Sinkhole 隧道技术

Sinkhole 隧道是将各种攻击流量引到sinkhole网络的通道,是建立在所有可能的攻击入口路由器和Sinkhole路由器之间,利用MPLS TE Tunnel或者GRE等各种隧道来具体实现。基于Tunnel 技术的特点,中间路由器转发中不会涉及实际承载报文的目的地址,核心路由器可以在路由表保持不变的情况下,将攻击入口处的流量传送到Sinkhole路由器上。

边界路由器上还要配置一条到指定的RFC1918私有网段的静态路由,出口为sinkhole Tunnel。

正常情况下,所有路由器上有到目标主机的路由(比如122.1.1.0/24) ,报文按正常路径进行转发,不会使用到Sinkhole tunnel。当有流量攻击其中的一台主机(122.1.1.1)发生攻击时,在AS 内部发送被一条或多条被攻击主机的/32位掩码的BGP路由信息(122.1.1.1/32),下一跳属性设置为指定的RFC1918私有网段地址。在边界路由器上进行BGP路由迭代计算时,下一跳地址会匹配到以Sinkhole Tunnel为出口的静态路由。这样,边界路由器在转发目的地址为122.1.1.1的报文时,会使用更精确的32位主机路由将报文通过Sinkhole Tunnel 引到Sinkhole路由器上。而到其他未被攻击主机的流量可以正常转发。

当攻击流量很大时,可以通过QOS、速率限制、ACL等方式对到Sinkhole Tunnel的流量进行一些处理,避免这些流量和合法的流量竞争网络资源。MPLS TE隧道由于其自身的一些优势,是实现Sinkhole Tunnel的理想方式。

ISP网络中可能会配置多个Sinkhole路由器。攻击流量引到哪一台sinkhole路由器上可以进行静态部署,即每一个边界路由器只和某一个Sinkhole路由器建立sinkhole 隧道。这种方式可以将边界路由器上的攻击流量引到相近的Sinkhole路由器,减少网络资源的消耗。另一种方式是动态部署,此时边界路由器上需要和多个Sinkhole路由器建立Tunnel连接,并将它们分别配置为多个RFC1918网段地址静态路由的出口。在实际触发sinkhole路由时,根据情况携带需要的

RFC1918地址就可以使用不同的Sinkhole Tunnel。这种情况可以将到某一攻击目标的所有流量都收集到一起,方便进行分析和跟踪。

2)增强的BGP触发黑洞路由技术

在传统的BGP触发黑洞路由技术中,当发布者发布一个被攻击地址的路由报文时,整个自治域内的iBGP邻居都学习到这条路由,这将拒绝所有发向被攻击地址的流量(在Sinkhole路由技术中,会将所有发向攻击地址的流量引到Sinkhole路由器上),在应对攻击时,合法的访问也同时受到了影响。所以这种方式一般只能临时使用,维护者通常需要收集ICMP 目的地址不可达信息来判断攻击的入口点,最后在攻击入口路由器上进行手工配置来拦截攻击流量,维护工作量很大。

增强的BGP触发黑洞路由技术利用BGP的团体属性可以实现只在发生攻击的入口路由器上启用黑洞或Sinkhole路由。这种方案需要预先给ISP自治域所有可能引入攻击的边界路由器分别分配一个特定的团体属性值。下面举例说明:ISP自治域为100, 有两个边界路由器R1、R2, 给

R1分配团体属性值100:1,给R2分配团体属性值100:2,团体属性值100:101同时指定R1和R2。在R1/R2上配置路由策略,在收到的路由更新报文中,如果携带了分配给此路由器的特定团体属性(对于R1是100:1)或者指定所有边界的团体属性,则R1或R2处理此项路由时,将下一跳属性值修改为指定的RFC1918网段地址(比如172.16.0.1)。为了避免处理其他自治域始发的路由,在进行匹配时,还需要只匹配本地产生的BGP路由信息。在发生攻击时,原来始发被攻击网段路由的BGP路由器增加发布一条到被攻击主机的32位掩码路由(下一跳属性同正常的网段路由相同),同时携带no-export的well-known团体属性和分配给攻击入口边界路由器的团体属性。攻击入口路由器R1或R2收到这条路由信息后,按照配置的路由策略,将此路由的下一跳属性修改为指定的RFC1918私有网段地址,攻击入口路由器上预先配置的到指定RFC1918地址的静态路由使得到被攻击主机的路由最终将迭代到Sinkhole Tunnel或者黑洞上。而在核心路由器和未被

攻击的边界路由器上,路由将维持不变。no-export属性保证此条路由信息不会发布到ISP的自治域的外部。这样,在未被攻击的路由器上,合法的流量将按正常的路径访问被攻击的主机,而攻击入口的边界路由器将阻断非法流量到攻击目标的路径,降低了攻击造成的影响。同时由于核心路由器的路由信息不变,ISP内部到目标主机的访问不会受到任何影响。

4 典型应用

为使用Sinkhole路由技术,需要在网络中准备一台或多台Sinkhole路由器和相应安全分析/记录设备。还需要在所有边界路由(或者可能的攻击入口)上进行如下配置:

1)建立与sinkhole路由器的MPLS TE Tunnel,根据情况可以在TE tunnel上配置QOS,速率限制、ACL等来对发向Sinkhole路由器的流量进行一些处理。

2)配置到172.16.0.0/24的静态路由,出口为第一步中建立的MPLS TE Tunnel。

3)配置BGP路由策略,对于携带如下团体属性的BGP路由,将下一跳属性修改为172,16.0.1

a. 指定本路由器的触发黑洞团体属性值。

b. 指定分配给所有可能攻击入口的团体属性值。

发生攻击时可以采取下列步骤来抵御攻击(参考后面的图示):

1)在Sinkhole路由器上发布被攻击地址的/32路由(下一跳为172.16.0.1),或者在发布被攻击网段BGP路由的路由器(R3)上发布带有指定所有边界路由器的团体属性值100:101的32位被攻击主机的路由(下一跳属性正常),边界路由器上(R1/R2)的路由策略将使这条将所有到攻击地址的流量引到sinkhole路由器上.

2)通过与Sinkhole路由器相连接的安全设备,对流量进行分析跟踪,找出攻击入口。

3)在发布被攻击网段BGP路由的路由器上(R3)发布携带攻击入口团体属性(100:1)的/32位路由,如果有多个攻击入口点,可以携带多个团体属性分别代表每一个攻击入口。如果第一步中的路由是Sinkhole路由器发布的,这里需要撤销它。非攻击入口的边界路由器(R2)收到路由更新后路由恢复正常,而攻击入口路由器(R1)仍将流量引到Sinkhole路由器。

4)在与Sinkhole路由器相连的安全设备上,可以对攻击入口引来的流量进行分析,一方面可以筛选出其中合法的流量,将其发回目标主机,这种情况下由于核心路由器上的路由不会真正改变(只是多了一条主机路由,会和网段路由保持一致),流量可以正常访问到目标主机。另一方面可以通过各种手段来找到攻击源,彻底根除攻击。

图1 发生到服务A的攻击

图2 将所有发到服务器A的流量引到Sinkhole路由器,到其他服务器的流量维持正常

图3 R3重新发布路由,非攻击入口路由器R2路由恢复正常

另外,还可以在以下的一些场景下应用Sinkhole 路由器保护网络的安全:

1) 保护ISP 内部核心路由器上PPP 连接的/30网段的地址,防止黑客针对这些地址的攻击。

IGP 中,协议报文来自直接相连的邻居;而在BGP/NTP 等其他协议中,对路由器一般使用

Loopback 接口地址进行会话,PPP 接口地址一般不会进行远程访问。因此,可以在sinkhole 路由器上发布这些/30位网段的路由,将发到这些地址的流量引到sinkhole 路由器上,防止了针对这些地址的攻击,增强ISP 网络的安全性。这种应用有一定局限性。一是和边界路由器直接相连的PPP

接口地址无法保护,而是网络的部署时,如果需要远程访问这些地址,此方案则无法使用。

2)收集垃圾流量,对于ISP无法路由的报文,可以由Sinkhole路由器发布路由,收集到Sinkhole网络。通过对垃圾流量的分析还可以检测出一些扫描攻击,提前进行一些防范。

另外需要提及一点,Sinkhole路由技术对于反射攻击也同样有效。反射攻击是仿冒被攻击者的IP地址向大量的主机发起连接,利用这些主机返回的大量报文来实现攻击的目的。这种情况下,同样可以让Sinkhole路由器发布被攻击主机的/32位路由把流量收集到sinkhole路由器上。

5 结束语

本文描述的sinkhole路由技术,结合增强的BGP触发黑洞路由技术,可以在发生DOS/DDOS 攻击时,降低攻击的危害。

同传统的BGP触发黑洞路由和ACL结合的技术相比,此方案很大程度上减少网络维护的工作量。同时,可以收集被攻击的流量进行分析和分析,

需要指出,在网络完全方面,没有一种方案是完美,攻击是无法彻底被根除的,只能做到给攻击者增加更多的障碍,给网络增加更多的防护。本文介绍的Sinkhole路由技术还需要和其他安全技术综合应用才能更好的保护网络的安全。

。

猜你喜欢

最安全有效的减肥药

最安全有效的减肥药

编辑:小徐

现在的减肥药真的是真假难分,在选择减肥药的同时也应该更加小心,减肥药多种多样,那么如何才能选择最安全有效的减肥药,也成了很多小仙女的内心疑问,下面就跟着国产在线aⅴ电影小编一起看一下,如何选择最安全有效的减肥药。 最安全有效的减肥药选购方法 1、首先需要观察产品的外包装,在包装中可以看到其配方是不是含有激素,含有激素的减肥药对身体的内..

吃减肥药失眠

吃减肥药失眠

编辑:小徐

随着现在流行以瘦为美,很多人会不顾身体的健康选择减肥药,达到快速减肥瘦身的效果,但是很多减肥药都是有副作用的,副作用比较轻的就是失眠现象,那么吃减肥药出现失眠是怎么回事儿?如果出现失眠后,我们应该怎样缓解? 吃减肥药失眠是怎么回事 减肥药中富含安非他命,所以减肥药服用了太多会有失眠现象,服用减肥药期间,身体会逐渐出现抗药性,身..

最新文章