黑洞路由,便是將所有無關路由吸入其中,使它們有來無回的路由,一般是admin主動建立的路由條目。
提到黑洞路由就要提一下null0接口。
null0口是個永不down的口,一般用於管理,詳見null0的詞條
admin建立一個路由條目,將接到的某個源地址轉向null0接口,這樣對系統負載影響非常小。
如果同樣的功能用ACL(地址訪問控制列表)實現,則流量增大時CPU利用率會明顯增加。
所以,設置黑洞路由一直是解決固定DOS攻擊的最好辦法。
相當於洪水來臨時,在洪水途經的路上附近挖一個不見底的巨大深坑,然後將洪水引入其中。
黑洞路由最大的好處是充分利用了路由器的包轉發能力,對系統負載影響非常小。
在路由器中配置路由黑洞完全是出於安全因素,設有黑洞的路由會默默地拋棄掉數據包而不指明原因。
一個黑洞路由器是指一個不支持PMTU且被配置為不發送“Destination Unreachable--目的不可達”回應消息的路由器。
可以這樣看:
如果一個路由器不支持PMTU並且配置為不發送ICMP Destination Unreachable消息數據包,那麼源主機可能發送一個永遠得不到路由的大數據包。因為路由器沒有給源主機發回應消息,主機不能確定PMTU就是問題的所在。但如果源主機端啟用了PMTU,則源主機在重試幾次大的MTU之後,如果還收不到路由器的應答,那源主機自動將PMTU設置為576bytes.
在Windows 2000下PMTU啟用設置是---HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
EnablePMTUBHDetect REG_DWORD 0(默認禁用)或1(啟用)
在Windows XP下也可以試一下。
(NOTE:PMTU--Path Maximum Transfer Unit是指當一個要發送的數據包的大小與當前路徑中的最小的MTU值一樣)
簡單利用路由黑洞解決DDOS流量攻擊 :
本文向大家介紹黑洞抗DoS/DDoS防火牆,可能好多人還不瞭解黑洞抗DoS/DDoS防火牆,沒有關係,看完本文你肯定有不少收穫,希望本文能教會你更多東西。
什麼是DDOS:
DDoS(分佈式拒絕服務)攻擊是利用TCP/IP協議漏洞進行的一種簡單而致命的網絡攻擊,由於TCP/IP協議的這種會話機制漏洞無法修改,因此缺少直接有效的防禦手段。大量實例證明利用傳統設備被動防禦基本是徒勞的,而且現有防火牆設備還會因為有限的處理能力陷入癱瘓,成為網絡運行瓶頸;另外,攻擊過程中目標主機也必然陷入癱瘓。
DoS/DDoS主要採用的是SYN FLOOD及其變種的攻擊,現在新的比如CC的攻擊也屬於這個範疇但是CC更智能一些,它用的是多次讀取同一個服務器存在的文件的方式,現有的DoS/DDoS防火牆和防火牆軟件都是採用的防止SYN以及FLOOD的攻擊沒有做重複包的檢測,所以導致了大多數防火牆對CC造成的DoS/DDoS攻擊沒效果;防火牆是基於內核的網橋式重複包檢測、SYN FLOOD過濾、ARP過濾,這樣即便你是偽造的包,但是因為防火牆沒這個存在的ARP地址而導致這個是一個不合法的包從而被防火牆過濾掉,如果一個數據包想通過這個防火牆就必須符合以下的特點,一是已經存在的ARP這個可以被驗證是正確的ARP,二是這個數據包不是重複的包(200NS以內),三是這個連接地址是存在的,四這個數據包的狀態是持續的連接,如果不是持續的連接一樣被過濾掉。
DoS/DDoS現在比較流行的一種方式是CC攻擊及CC變種攻擊,攻擊7000.7100端口,這往往發生在網絡遊戲服務器上,導致玩家進入遊戲界面選擇和建立不了人物。其基本原理是:攻擊發起主機(attacker host) 多次通過網絡中的HTTP代理服務器(HTTP proxy) 向目標主機(target host) 上開銷比較大的CGI頁面發起HTTP請求造成目標主機拒絕服務( Denial of Service ) 。這是一種很聰明的分佈式拒絕服務攻擊( Distributed Denial of Service ) 與典型的分佈式拒絕服務攻擊不同,攻擊者不需要去尋找大量的傀儡機,代理服務器充當了這個角色。
那麼,機房採用的硬件防火牆能不能很好的防禦DoS/DDoS攻擊呢?
要研究這個問題,還是先來看看國內的機房都採用哪些硬件防火牆:其實目前國內抗DoS/DDoS防火牆比較知名的,同時信譽度和使用效果也比較好的應該是黑洞、金盾和Dosnipe的產品。一些其他的所謂“XX盾DoS/DDoS防火牆”多半是抄襲篡改或者完全就是沒有實際效果只是用來騙錢的東西。
黑洞抗DoS/DDoS防火牆
黑洞抗DoS/DDoS防火牆是國內IDC中應用比較廣泛的一款抗DoS/DDoS攻擊產品,其技術比較成熟,而且防護效果顯著,黑洞抗DoS/DDoS防火牆已經得到各大IDC機構的共同認可。黑洞目前分百兆、千兆兩款產品,分別可以在相應網絡環境下實現對高強度攻擊的有效防護,黑洞性能遠遠超過同類防護產品。千兆黑洞主要用於保護骨幹線路上的網絡設備如防火牆、路由器,百兆黑洞主要用於保護子網和服務器,使用多種算法識別攻擊和正常流量,能在高攻擊流量環境下保證95%以上的連接保持率和95%以上的新連接發起成功率,核心算法由彙編實現,針對Intel IA32體系結構進行了指令集優化。對標準TCP狀態進行了精簡和優化,效率遠高於目前流行的SYN Cookie和Random Drop等算法。
黑洞所帶來的防護:
自身安全:無IP地址,網絡隱身。
能夠對SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS/DDoS攻擊進行防護。
可以有效防止連接耗盡,主動清除服務器上的殘餘連接,提高網絡服務的品質、抑制網絡蠕蟲擴散。
可以防護DNS Query Flood,保護DNS服務器正常運行。
可以給各種端口掃描軟件反饋迷惑性信息,因此也可以對其它類型的攻擊起到防護作用。
簡介:
當互聯網上DDOS流量攻向我們的網絡,連接上游ISP的鏈路將變得非常擁塞,為了減輕DDOS流量所帶來影響,減輕鏈路帶寬的擁塞,我們可以在上游ISP處把這些DDOS攻擊流量路由到黑洞裡面,但實現的前提條件是上游ISP協商出一個BGP blackhole community。
思路:
如果運營商提供黑洞,有兩個方面需要我們考慮:
我們需要考慮什麼樣的情況下才把流量路由到黑洞裡面?
我們又如何把這些流量路由到黑洞裡面呢?
為DDOS攻擊的主機(如:202.96.134.133/32)創建一個指向黑洞的主機路由,把這條路由打上一個特殊的BGP blackhole community(如4134:65535)後通告到上游ISP,因此,上游ISP可以根據BGP blackhole community把攻擊流量路由到黑洞。
若DDOS攻擊的是一段主機(如:202.96.134.0/24),我們可以創建一個指向黑洞的一段IP的路由,把這條路由打上一個特殊的BGP blackhole community(如4134:65535)後通告到上游ISP,因此,上游ISP可以根據BGP blackhole community把攻擊流量路由到黑洞。
當監控到流量恢復正常後,我們把這條(段)路由的BGP blackhole community標籤除去。
閱讀更多 新睿雲 的文章
