一、前言:
近期,网络上出现了一种特殊的DDOS类攻击软件(SynDemo)。该软件不同于以往的攻击软件,它可以模拟内网真实机器的IP,对网关设备进行恶意的TCP-SYN半连接攻击,从而使得整个内网中的PC都无法正常上网,很多深受其害的用户可谓苦不堪言。而目前网络产品市场上,很少有能成功识别该类攻击并实施相关防御措施的网络设备。
二、SynDemo TCP-SYN半连接攻击原理分析:
该攻击软件与传统的DDOS攻击软件很不一样,普通的DDOS攻击软件只是保证伪装的IP地址属于内网网段就开始发动攻击,针对此类攻击,一般具有安全功能的网关设备(路由器、防火墙等)都可以防御住此类攻击。但是SynDemo这款软件却与其他DDOS攻击软件有所不同,它首先会判断攻击源所处的IP地址段,向内网广播该网段的ARP请求报文,当真实IP地址接受到相关ARP请求报文后,会发送ARP的应答报文,这样,该软件就能够知道,在该网段内的真实IP与MAC对应关系,从而在攻击的时候骗取到网关设备的信任。
然后,SynDemo会根据这些真实的IP信息,模拟真实的HTTP报文发给网关设备。当网关设备接受到这些看似正常的报文后,就不会将这些合法报文丢弃,但是SynDemo会高密度的连续地发送这些报文,导致在一定时间内网关设备的NAT状态表被这些看似合法的半链接填满,无法处理那些用于正常上网的数据包,使得内网的所有机器上网速度越来越慢,最后导致整个内网的机器都无法正常上网。
三、融合管理系统配合融合网络交换机如何做到高效的内网安全?
1、内网安全一体化防御功能
内网安全防御功能一共提供了两种防御模式:动态防御和静态防御。动态防御模式下,交换机会动态学习到的PC的IP和MAC地址信息以及对应的端口号,并将其对应关系进行绑定,此时,任何伪装绑定信息的端口、MAC或IP而生成的ARP信息都无法在局域网内传播,可以有效的防御ARP病毒。在静态防御模式下,除了动态绑定的实现的ARP病毒防御外,还能通过特定的算法,对局域网内的TCP-SYN半连接恶意攻击进行防御,比如本文重点提及的DDOS类攻击软件(SynDemo)。
2、 智能化异常端口安全功能
在现有的各品牌交换机中,如果遭遇到非常强烈的ARP攻击,使得交换机的CPU需要花费大量的精力去处理ARP报文,导致其他数据包的转发无法正常进行,从而使得局域网内的PC出现上网速度缓慢甚至断网的严重后果。针对此类情况,融合网络交换机提供了智能化的异常端口关闭功能,该功能会在强烈的ARP攻击导致局域网内上网速度缓慢的情况时自动关闭遭受攻击的端口,使其不能影响交换机整体转发性能,保障网络正常运行。
四、完美解决SynDemo攻击的过程:
1、环境准备
2、SynDemo攻击
【1】开启SynDemo攻击,对内网网关(192.168.2.99)进行攻击
源IP:192.168.2.201,
MAC:00-26-22-DC-78-75
攻击目标:192.168.2.99(内网网关)
攻击端口:80
开启攻击软件,如下图
使用科来抓包软件,如下图:
说明:开启该攻击软件后,通过抓包数据分析可以发现该软件会发送ARP报文查询来查找内网所有存在的PC地址,然后模拟这些获取到的地址向内网网关发送TCP-SYN的半连接报文。
【2】不开启内网安全功能下的攻击
首先通过融合管理系统的内网安全界面或交换机的WEB界面内网安全功能绑定状态,如下图:
然后在内网中的任一主机上PING www.union-net.cn -t 。发现无法PING通外网地址,具体如下图:
通过上述过程,我们可以发现,局域网内的交换机如果不具有完善的内网安全功能,是无法防御住此类攻击,在SynDemo软件攻击后,局域网内的所有机器都无法访问外网,该恶意软件攻击成功。
【3】开启内网安全功能下的攻击
通过在融合管理系统的内网安全功能项中,将所有与交换机相连的客户机进行安全绑定操作。如下图:
其中16号端口是实施SynDemo SYN攻击的PC所属端口。
通过网内任意一台PC机PING www.union-net.cn -t,截图如下:
我们可以看到,在融合管理系统中内网安全功能开启后,SynDemo的攻击对于内网中机器无法造成任何的影响,用户根本感觉不到网络中被攻击了,防御该类恶意软件的攻击成功。
五、综述:
对于此类攻击,相信任何一个依赖于网络进行业务开展的企业都是非常的头痛的,此攻击对企业所造成的损失是难以估计的,任何一个企业都不希望自己的网络遇到这样的情况。特别是在网吧这样一个特殊的行业中,网络的高效性、流畅性以及稳定性一直是每一个网吧业主所追求的。如果网吧中,总是因为诸如此类的攻击事件导致网络掉线,将会造成网吧的客流量不断的流失,进而给网吧造成不可估量的损失。
融合网络作为业界知名的网络设备生产商,秉承想客户之所想,急客户之所急的理念,一直以帮助客户获得最大利益为最终目标。通过长期以来对网吧行业的深入了解,以及在和广大客户深入的沟通和交流中,针对类似于上述的恶意攻击事件,融合网络推出了内网安全智能防御系统—融合管理系统,真正做到了可以完全抵御此类的恶意攻击软件,给客户带来真正的内网安全解决办法。使得网吧在遭受此类软件产生的恶意攻击的时候,不会给网吧造成任何的影响,还网吧一个安全、高效、稳定的网络环境。
用户评论