过来没有GET字符的数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案
7.针对游戏服务器的攻击
因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这里介绍目前最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
五 DDoS防护
以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp,udp协议,和针对应用层的协议,比如http,游戏协议,软件视频音频协议,现在的新的攻击越来越多的针对应用层协议漏洞攻击,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本无法很好的防护新型的攻击。
目前防护网络攻击效果比较好的有傲盾,黑洞,和金盾防火墙.傲盾是基于连接状态检测的防火墙,防护SYN攻击和上面介绍的1,2这类的攻击,效果都差不多,难分上下。3-7类攻击因为涉及到网络软件自己的网络协议,所以基于连接状态检测的傲盾防火墙效果会好一些,金盾黑洞也有同样的功能,但是由于其核心是基于包过滤型的防火墙,所以处理3-7类攻击的效果有待评估。
根据傲盾实验室测试,针对第3种攻击,基于连接状态检测的傲盾防火墙可以记录每个UDP包所属的连接,判断此连接是否登陆,是否通过验证,如果没有通过验证,无论发送的数据包是否合法都会被拦截掉。第4,5,6 种攻击,基于连接状态检测的傲盾防火墙可以彻底分析HTTP协议,分析每个数据包所归属的HTTP连接,此连接是否是正常请求,如果不是正常请求,就进行拦截。也可以在防火墙里设置HTTP验证标记,这样防火墙处理新的HTTP协议的时候会随机生成一个HTTP标记,肉鸡攻击的时候不会处理这个标记,正常的IE打开的时候,会处理这个标记,这样防火墙就可以区分是不是正常IE打开的网页。对于第7种攻击,基于连接状态检测的防火墙可以通过多种策略混合过滤来达到效果,比如可以判断这个登陆进来的连接有没有发送过非法的特殊攻击包,因为肉鸡模拟的攻击假人毕竟是程序控制的,动作很少而且一直重复,或者一直不动,这样就可以判断这个连接在游戏里的动作10秒内是不是一直重复,重复多少次,或者是不是一直不动,来达到封锁假人的效果。
六 总结
现在网络发展速度飞快,新攻击每个星期都会有,传统的防火墙只能通过设置传统的规则封IP,端口,封连接数或者按照连接的一些基本特征来封锁,很难对新的攻击做出第一时间的解决方案,通过核心升级这种方法效率太低而且每次都要段网。防火墙和攻击是矛和盾的关系,防火墙必须做到像杀毒软件一样有迅速处理的机制才能真正把新攻击扼杀到摇篮之中.市面上有很少几款防火墙提供了漏洞规则脚本编辑,和包分析功能,通过包分析可以迅速的抓去新的攻击数据包,然后在漏洞规则脚本编辑里可以任意定制针对数据包,针对数据连接针对应用层协议的规则,通过多个子规则互相组合几乎可以防护90%的新攻击。攻击和防护不断斗争进化希望未来的网络可以彻底解决攻击迎接新的网络时代的到来!