解决SynDemo网吧DDOS攻击的方法

《解决SynDemo网吧DDOS攻击的方法》由会员分享，可在线阅读，更多相关《解决SynDemo网吧DDOS攻击的方法（6页珍藏版）》请在金锄头文库上搜索。

1、一、前言：近期，网络上出现了一种特殊的DDOS类攻击软件(SynDemo)。该软件不同于以往的攻击 软件，它可以模拟内网真实机器的IP,对网关设备进行恶意的TCP-SYN半连接攻击，从而 使得整个内网中的PC都无法正常上网，很多深受其害的用户可谓苦不堪言。而目前网络产 品市场上，很少有能成功识别该类攻击并实 施相关防御措施的网络设备。二、SynDemo TCP-SYN半连接攻击原理分析：该攻击软件与传统的 DDOS 攻击软件很不一样，普通的 DDOS 攻 击软件只是保证伪装的 IP地址属于内网网段就开始发动攻击，针对此类攻击，一般具有安全功 能的网关设备(路 由器、防火墙等)都可以防御住此类攻

2、 击。但是SynDemo这款软件却与其他DDOS攻击软件 有所不同，它首先会判断攻击源所处的IP地址段，向内网广播该网段的ARP请 求报文，当 真实IP地址接受到相关ARP请求报文后，会发送ARP的应答报文，这样，该软件就能够知 道，在该网段内的真实IP与MAC对应关系，从而在攻击的时候骗取到网关设备的信任。然后， SynDemo 会根据这些真实的 IP 信息，模拟真实的 http 报 文发给网关设备。当 网关设备接受到这些看似“正常”的报文后，就不会将这些“合法”报文丢弃，但是 SynDemo 会高密度的连续地发送这些报文，导致在一定时间内网关设备的 NAT 状态表被这些 看似合法的半链接“

3、填满”，无法处理那些用于正常上网的数据包，使得内网的所有机器上 网速度 越来越慢，最后导致整个内网的机器都无法正常上网。三、融合管理系统配合融合网络交换机如何做到高效的内网安全？1、内网安全一体化防御功能内网安全防御功能一共提供了两种防御模式：动态防御和静态防御。动态防御模式下， 交换机会动态学习到的PC的IP和MAC地址信息以及对应的端口号，并将其对应关系进行绑 定，此时，任何伪装绑定信息的端口、MAC或IP而生成的ARP信息都无法在局域网内传播, 可以有效的防御ARP病毒。在静态防御模式下，除了动态绑定的实现的ARP病毒防御外，还 能通过特定的算法，对局域网内的TCP-SYN半连接恶意攻击

4、进行防御，比如本文重点提及的 DDOS类攻击软件(SynDemo)。2、 智能化异 常端口安全功能在现有的各品牌交换机中，如果遭遇到非常强烈的ARP攻击，使得交换机的CPU需要花 费大量的精力去处理ARP报文，导致其他数据包的转发无法正常进行，从而使得局域网内的 PC 出现上 网速度缓慢甚至断网的严重后果。针对此类情况，融合网络交换机提供了智能化 的异常端口关闭功能，该功能会在强烈的ARP攻击导致局域网内上网速度缓慢的情况时自动 关闭遭受攻击的端口，使其不能影响交换机整体转发性能，保障网络正常运行。四、完美解决 SynDemo 攻击的过程：1、环境准备192 16S.2 2D中心交樱項Inte

5、rnetIhF融合网绪它N重迪2、SynDemo 攻击【1】开启 SynDemo 攻击，对内网网关(192.168.2.99)进行攻击 源 IP：192.168.2.201 ，MAC ： 00-26-22-DC-78-75 攻击目标：192.168.2.99(内网网关)攻击端口：80开启攻击软件，如下图使用科来抓包软件，如下图：ftTSlT 4E.EM$44 理阳电卅 if. El-riMS 44.G1EXH 1.41441 斗札护翱 4C.ElE4iti-7丄鼻：1鼻 XlUrZK240 加Z41wZ4C列71“2E7D1)：1):10-1):14XV：li 丄w 丄):141):14丄 1

6、:141):1皿 fNXTT 丹 EJPWAH転p：MMt：x：T：*rr： ftjfjrr： rrmrAF-T7444 w. 144.2.mi ft-4# aiz.i曲z.iiirf：*i：彩rrrr rrTFnrAP-j ji.iM-t.4T 軒丄蛀”弭*MX注FF盯p?SPpj4筍 stt.i2C=2Zw：7iiisrr吐TITFPPTaC-l 4 ltZ.l-M_2.kZl f!遢 32.1Ki:H:44:-Mig2 = r2ZW71AW4iTz.iH-i.av IE ffl：g-：fa：F：#：fff.ff ffAlX44*S.l4+-nM!i 甘烷 IttdAB-J44imrliz

7、Wrff1HwtiiiSITE 岸111HTCt13147- Ef T1 !* E-vlcctki-mi JIueIu-.47-CZBW7 NEnl7C7EKI:lUtL*w- iiM*1*.* .49.m494 WW-州 WHR: A .47-J1E4M WV E - -M叮4?,.4MW m-i：十三十吐i 山47-Zm4 m-1747SIKB: 1*4M17.5ZWI-7 Mrw-lT7Z.t laiMW iAM_WJM hiW*i.4MAHW_241I 门131117 7；13Z中刿站/!祷*耳曲坤RT/iWafrM31M14:C 祁空I AM*MMP49r4hd 彳审冉耳Lw-i d

8、i门讥崗 7不亦奇 齐刃轄叶丄12 “叭!辛耳03 FFJI尊龍蚀1丸札*暫Q却说明：开启该攻击软件后，通过抓包数据分析可以发现该软件会发送 ARP 报文查询来查找内 网所有存在的PC地址，然后模拟这些获取到的地址向内网网关发送TCP-SYN的半连接报文。2】不开启 内网安全功能下的攻击首先通过融合管理系统的内网安全界面或交换机的 WEB 界面内网安全功能绑定状态，如图：朗设 宓我們口冈曲盘I I暮础啊1-km:m机点*号40W3 紳ht远 防地址I时】倩L I 戟泮戲M W 3.0箪口12?囱 rnfctt jlUCt 址斗SEMI励針足III7Ei曲设嘗辛蹴4J 岂号JKEZ怕H龄寸-Tn

9、ttH1应1第霄即EK 143.2 IMIK 闘 2 LM190； 39 I 闻业|*览tfr幻卜业吨O补址 IJCi-OiHtl-SZ-HS-W 血EHUrSFSMJ JJ. M. J. 2111E竝他丘婷L 髭 12-GWS-WU-ll-UU HIM ftiiroti-B wH SJIM7-JU u wc;?3 5C.IM7-OJ 口苫芍 亦轴3 htcs32 htes-32 hte$32 hytcs32 btc332 bytes32 hotels 32 htes；3 bC?*32 byCe$32 btoD.iH32VIIOVSTKt esJ2BCl. axe - pinC Hcqucct

10、 Raquest equqct RaqtlAt通过上述过程，我们可以发现，局域网内的交换机如果不具有完善的内网安全功能，是无法 防御住此类攻击，在SynDemo软件攻击后，局域网内的所有机器都无法访问外网，该恶意软 件攻击成 功。【3】开启内 网安全功能下的攻击通过在融合管理系统的内网安全功能项中，将所有与交换机相连的客户机进行安全绑定 操作。如下图：其中16号端口是实施SynDemo SYN攻击的PC所属端口。通过网内任意一台PC机PING www.union- -t,截图如下:我们可以看到，在融合管理系统中内网安全功能开启后，SynDemo的攻击对于内网中机器无 法造成任何的影响,用户根本感觉不到网络中 被攻击了,防御该类恶意软件的攻击成功。五、综述:对于此类攻击，相信任何一个依赖于网络进行业务开展的企业都是非 常的头痛的，此 攻击对企业所造成的损失是难以估计的，任何一个企业都不希望自己的网络遇到这样的情 况。特别是在网吧这样一个特殊的行业中，网络的高效性、 流畅性以及稳定性一直是每一 个网吧业主所追求的。如果网吧中，总是因为诸如此类的攻击事件导致网络掉线，将会造成 网吧的客流量不断的流失，进而给网吧造成 不可估量