返回目录:win7问题
内容导航:
一、网络"七层协议深度"剖析
OSI是一个开放性的通信系统互连参考模型,他是一个定义得非常好的协议规范。OSI模型有7层结构,每层都可以有几个子层。 OSI的7层从上到下分别是 7 应用层6 表示层 5 会话层 4 传输层3 网络层 2 数据链路层 1 物理层;其中高层(即7、6、5、4层)定义了应用程序的功能,下面3层(即3、2、1层)主要面向通过网络的端到端的数据流。应用层与其它计算机进行通讯的一个应用,它是对应应用程序的通信服务的。例如,一个没有通信功能的字处理程序就不能执行通信的代码,从事字处理工作的程序员也不关心OSI的第7层。但是,如果添加了一个传输文件的选项,那么字处理器的程序员就需要实现OSI的第7层。示例:TELNET,HTTP,FTP,NFS,SMTP等。
应用层
与其它计算机进行通讯的一个应用,它是对应应用程序的通信服务的。例如,一个没有通信功能的字处理程序就不能执行通信的代码,从事字处理工作的程序员也不关心OSI的第7层。但是,如果添加了一个传输文件的选项,那么字处理器的程序就需要实现OSI的第7层。示例:TELNET,HTTP,FTP,NFS,SMTP等。
表示层
这一层的主要功能是定义数据格式及加密。例如,FTP允许你选择以二进制或ASCII格式传输。如果选择二进制,那么发送方和接收方不改变文件的内容。如果选择ASCII格式,发送方将把文本从发送方的字符集转换成标准的ASCII后发送数据。在接收方将标准的ASCII转换成接收方计算机的字符集。示例:加密,ASCII等。
会话层
它定义了如何开始、控制和结束一个会话,包括对多个双向消息的控制和管理,以便在只完成连续消息的一部分时可以通知应用,从而使表示层看到的数据是连续的,在某些情况下,如果表示层收到了所有的数据,则用数据代表表示层。示例:RPC,SQL等。
传输层这层的功能包括是否选择差错恢复协议还是无差错恢复协议,及在同一主机上对不同应用的数据流的输入进行复用,还包括对收到的顺序不对的数据包的重新排序功能。示例:TCP,UDP,SPX。
网络层
这层对端到端的包传输进行定义,它定义了能够标识所有结点的逻辑地址,还定义了路由实现的方式和学习的方式。为了适应最大传输单元长度小于包长度的传输介质,网络层还定义了如何将一个包分解成更小的包的分段方法。示例:IP,IPX等。
数据链路层
它定义了在单个链路上如何传输数据。这些协议与被讨论的各种介质有关。示例:ATM,FDDI等。
物理层OSI的物理层规范是有关传输介质的特性标准,这些规范通常也参考了其他组织制定的标准。连接头、帧、帧的使用、电流、编码及光调制等都属于各种物理层规范中的内容。物理层常用多个规范完成对所有细节的定义。
网络层攻击
Syn-flood
利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。
网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量syn-flood的情况下可以缓解,但流量稍大时完全不抵用。防御syn-flood的常见方法有:syn proxy、syn cookies、首包(第一次请求的syn包)丢弃等。
ACK-flood
对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。DDOS的一种原始方式。
UDP-flood
使用原始套接字伪造大量虚假源地址的UDP包,目前以DNS协议为主。
ICMP-flood
Ping洪水,比较古老的方式。
应用层攻击
CC
ChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”,通过botnet的傀儡主机或寻找匿名代{过}{滤}理服务器,向目标发起大量真实的http请求,最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务。
互联网的架构追求扩展性本质上是为了提高并发能力,各种SQL性能优化措施:消除慢查询、分表分库、索引、优化数据结构、限制搜索频率等本质都是为了解决资源消耗,而CC大有反其道而行之的意味,占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,这样就能用最小的攻击资源起到最大的拒绝服务效果。
互联网产品和服务依靠数据分析来驱动改进和持续运营,所以除了前端的APP、中间件和数据库这类OLTP系统,后面还有OLAP,从日志收集,存储到数据处理和分析的大数据平台,当CC攻击发生时,不仅OLTP的部分受到了影响,实际上CC会产生大量日志,直接会对后面的OLAP产生影响,影响包括两个层面,一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担。
DDOS攻击本质上是一种只能缓解而不能完全防御的攻击,它不像漏洞那样打个补丁解决了就是解决了,DDOS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDOS能力,而实际上他们只针对小流量下,应用层的攻击比较有效,对于稍大流量的DDOS攻击则无济于事。
以2015年年中的情况为例,国内的DDOS攻击在一个月内攻击流量达到300G的就将近10-20次,这个数值将随着国内家庭宽带网速提升而进一步放大。对于200~500G的攻击流量该如何防御,下来将展示完整的防御结构,通常可以分为4层。
这4层不是严格意义上的纵深防御关系,也不是在所有的防御中4层都会参与,可能有时候只是其中的2层参与防御。但对于超大流量攻击而言,4层就是防御机制的全部,再没有其他手段了。跟厂商们的市场宣传可能有所不同,大流量攻击的防护并不是像某些厂商宣称的那样靠厂商单方面就能解决的,而是多层共同参与防御的结果。
ISP/WAN层
这一层通常对最终用户不可见,如果只是中小企业,那这一层可能真的不会接触到。但如果是大型互联网公司,公有云厂商,甚至是云清洗厂商,这层是必不可少的。因为当流量超过自己能处理的极限时必须要借助电信运营商的能力。大型互联网公司虽然自身储备的带宽比较大,但还没到达轻松抵抗大流量DDOS的程度,毕竟带宽是所有IDC成本中最贵的资源没有之一。目前无论是云计算厂商,大型互联网公司向外宣称的成功抵御200G以上攻击的新闻背后都用到了运营商的抗D能力,另外像第三方的云清洗平台他们实际上或多或少的依赖电信运营商,如果只依靠本身的清洗能力,都是非常有限的。
相比之下,对攻击流量的牵引,清洗,回注的防御方式对用户体验的挑战没那么大,但是跟黑洞路由比防御方的成本比较高,且触发到响应的延时较大。
在运营商防御这一层的主要的参与者是大型互联网公司,公有云厂商,云清洗厂商,其最大的意义在于应对超过自身带宽储备和自身DDOS防御能力之外的超大攻击流量时作为补充性的缓解措施。
CDN/Internet层
CDN并不是一种抗DDOS的产品,但对于web类服务而言,他却正好有一定的抗DDOS能力,以大型电商的抢购为例,这个访问量非常大,从很多指标上看不亚于DDOS的CC,而在平台侧实际上在CDN层面用验证码过滤了绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。
对http CC类型的DDOS,不会直接到源站,CDN会先通过自身的带宽硬抗,抗不了的或者穿透CDN的动态请求会到源站,如果源站前端的抗DDOS能力或者源站前的带宽比较有限,就会被彻底DDOS。
云清洗厂商提出的策略是,预先设置好网站的CNAME,将域名指向云清洗厂商的DNS服务器,在一般情况下,云清洗厂商的DNS仍将穿透CDN的回源的请求指向源站,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源。
检测方式主要是在客户网站前部署反向代{过}{滤}理(nginx),托管所有的并发连接。在对攻击流量进行分流的时候,准备好一个域名到IP的地址池,当IP被攻击时封禁并启用地址池中的下一个IP,如此往复。
网上很多使用此类抗D服务的过程可以概括为一句话:更改CNAME指向,等待DNS递归生效。
DC层
Datacenter这一层的DDOS防御属于近目的清洗,就是在DC出口的地方部署ADS设备。
OS/APP层
这是DDOS的最后一道防线。这一层的意义主要在于漏过ADS设备的流量做最后一次过滤和缓解,对ADS防护不了的应用层协议做补充防护。比如NTP反射,可以通过服务器配置禁用monlist,如果不提供基于UDP的服务,可以在边界上直接阻断UDP协议。
互联网在线服务中最大的比重就是web服务,因此有些互联网公司喜欢自己在系统层面去做应用层的DDOS防护,例如对抗CC,有时这些功能也能顺带关联到业务安全上
二、网络是什么?
近来,网络已经成为人们的热门话题。人们说:“我们所处的这个时代,已经是网络时代了。”
“网络”一词有许多种含义,但人们通常指的则是电脑网络。用电话线把无数台电脑像蜘蛛网一样连接起来,这恐怕就是一个最形象的比喻了。网络最先出现在美国的一家电脑公司。当时的电脑技术水平比较低,单个电脑的配置,对于研究工作来说非常吃力。于是大家就考虑,是不是能够找到一种办法,把许多台电脑连接起来?“网络”于是就产生了。
电脑之间可以通过电缆直接连接,这是最早的连接方式。后来,人们又研制出专门进行网络连接的设备,成熟的网络方案逐渐出现在人们的面前。
网络的基本单位,叫做“局域网”——就是把离得很近的一些电脑相互连接形成的小网络。比如某一个房间,一栋办公楼或者一个学校的全部电脑,都可以连接成一个局域网。
现在,不少大学的宿舍楼里都有大学生们自己动手连接的局域网。
随着人们之间信息的广泛交流,仅仅有局域网难以满足人们的需要,本地需要外地的信息,外地需要本地的信息,于是这些小网络之间也需要通过一定的方法连接起来。
这样就出现了把远距离的小网络连接起来的大网络,叫做“广域网”。人们经常说起的“因特网”,就是“广域网”中的一种;它的前身是美国国内最大的政府性网络,现在许多国家都与因特网连接起来,形成了很大规模的网络。
三、网络的定义??
1、网络一词有多种意义,电路或电路的一部分。汉语中,“网络”一词最早用于电学《现代汉语词典》(1993年版)做出这样的解释:“在电的系统中,由若干元件组成的用来使电信号按一定要求传输的电路或这种电路的部分,叫网络。”
2、流量网络(Flow Network)也可以简称为网络(Network)。一般用来对管道系统。
3、由节点和连线构成的图,表示研究诸对象及其相互联系。有时用的带箭头的连线表示从一个节点到另一个节点存在某种顺序关系。
4、抽象意义上的网络。比如城市网络、交通网络、交际网络等。计算机网络是用通信线路和通信设备将分布在不同地点的多台自治计算机系统互相连接起来,按照共同的网络协议,共享硬件、软件和数据资源的系统。
四、什么是网络
在定义上非常简单:网络就是一群通过一定形式连接起来的计算机。一个网络可以由两台计算机组成,也可以拥有在同一大楼里面的上千台计算机和使用者。我们通常指这样的网络为局域网(LAN, Local Area Network),由LAN再延伸出去更大的范围,比如整个城市甚至整个国家,这样的网络我们称为广域网(WAN, Wide Area Network),当然您如果要再仔细划分的话,还可以有MAN(Metropolitan Area Network) 和 CAN(Citywide Area Network),这些网络都需要有专门的管理人员进行维护。
而我们最常触的Internet则是由这些无数的LAN和WAN共同组成的。Internet仅是提供了它们之间的连接,但却没有专门的人进行管理(除了维护连接和制定使用标准外),可以说Internet是最自由和最没王管的地方了。在Internet上面是没有国界种族之分的,只要连上去,在地球另一边的计算机和您室友的计算机其实没有什么两样的。
因为我们最常使用的还是LAN,(即使我们从家中连上Internet,其实也是先连上ISP的LAN),所以这里我们主要讨论的还是以LAN为主。LAN可以说是众多网络里面的最基本单位了,等您对LAN有了一定的认识,再去了解WAN和Internet就比较容易入手了,只不过需要了解更多更复杂的通讯手段而已。
Internet? Intranet? Extranet?
接触过网络的朋友,或多或少都应该听过上面几个名词吧?不过,大家可知道它们之间的分别和如何定义吗?
其实,最早出现的名词应该是 Internet,然后人民将 Internet 的概念和技巧引入到内部的私人网络,可以是独立的一个 LAN 也可以是专属的 WAN ,于是就称为 Intranet 了。它们之间的最大分别是:开放性。Internet 是开放的,不属于任何人,只要能连接得到您就属于其中一员,也就能获得上面开放的资源;相对而言,Intranet 则是专属的、非开放的,它往往存在于于私有网络之上,只是其结构和服务方式和设计,都参考 Internet 的模式而已。
Internet vs Intranet
至于 Extranet,算得上是针对 Intranet 而延伸出来的概念。既然 Intranet 是指内网络部而言,那么 Extranet 则指外部的网络了。Extranet 通常是企业和 Internet 连接,以向公共提供服务的网络。不过,这并非是单纯根据物理或逻辑位置来定义,主要是以连接的形式和功能来区分。例如某个外部网络,如果单纯的透过网络来连接我们的 Extranet 或 Intranet ,那它只是一个毫不相关的外部个体而已;但是,如果我们用 VPN 或其它信任形式将对方连接起来,那么对方也可以属于 Extranet 或 Internet 的部份。