精华内容
下载资源
问答
  • 一、DDoS清洗原理 DDoS云清洗是一个系统,它在针对不同DDoS攻击时,采取的策略也不用。比如黑客发动UDP Flood攻击时,DDoS云清洗产品会自动进行判断,如果企业没有UDP业务,则丢弃所有UDP包,如果企业有U...

    DDoS云清洗服务可以有效防御SYN Flood、UDP Flood、CC等各类DDoS攻击,保障企业相关业务不会受到攻击影响,业务仍然可以稳定运行,我们知道,有很多产品和技术手段,都能起到防御DDoS攻击的作用,所以在防御方面,很多人存在一些误区。

     

     

    一、DDoS云清洗原理

     

    DDoS云清洗是一个系统,它在针对不同DDoS攻击时,采取的策略也不用。比如黑客发动UDP Flood攻击时,DDoS云清洗产品会自动进行判断,如果企业没有UDP业务,则丢弃所有UDP包,如果企业有UDP业务,则通过速度限制、UDP报文匹配等方式进行防御。

     

    再比如ACK Flood,DDoS云清洗会实时存储连接表信息,对接收的ACK报文进行智能校验,如报文不合法,会被直接丢弃,在不影响正常访问的前提下,高效阻断攻击报文。

     

    不同类型的DDoS攻击,会采用不同的策略,从整体层面上说,蔚可云DDoS云清洗会依托CDN资源优势,并搭配攻击监控报警中心和智能调度中心,结合云端大数据分析平台,实时检测请求包,对异常请求包进行拦截,保护企业业务不受DDoS攻击影响。

     

     

    二、防御DDoS的误区

     

    1.公司数据中心已有DDoS防护措施,不再需要DDoS云清洗

     

    很多公司的数据中心有采取一些防护DDoS的措施,认为不再需要其他防御DDoS的产品。其实不然,近几年来,DDoS攻击成本不断下降,导致DDoS攻击流量直线上升,小则几百G,大则以TB计算,几乎没有哪一个客户的数据中心,能抗住如此大流量的攻击。

     

    2.防火墙可以轻松抵御DDoS攻击

     

    一方面,防火墙没有办法对恶意流量和正常流量作区分,另一方面,企业的防火墙也无法完全抵御DDoS攻击。有研究表明,超过40%的DDoS可以很轻松的穿过防火墙!

     

    3.小公司、在线业务小就不会被攻击

     

    在行业移动化、数字化和互联网化的背景下,任何企业都是黑客的攻击目标。大公司安全意识强,有充足的资金保障业务安全,黑客攻击成本更高。相反,小企业、在线业务少,防范意识也比较低,不需要太高深的技术,就能突破防线,发动DDoS攻击。所以,在线业务少的小企业,也应该加以重视。

     

    好了,以上就是DDoS云清洗的原理,以及一些误区的解释。总的来说,他作为一款专业的抗D产品,能帮助企业有效抵御DDoS攻击,专业的事情,交给专业的产品做,才能最大程度规避风险。

    展开全文
  • DDos原理

    2020-06-17 17:12:53
    近期在学习DDos相关的产品,总结了一些学习内容,包括DDos攻击、DDos防御的原理、常见的DDos攻击方式、市面上常见的DDos产品。总结的可能不全或者有误的地方,希望大家多多指教。 DDos DDos攻击 DDos攻击通常指的是...

    本来是准备上传思维导图的图片的,但是太大传不了,只能文字了。近期在学习DDos相关的产品,总结了一些学习内容,包括DDos攻击、DDos防御的原理、常见的DDos攻击方式、市面上常见的DDos产品。总结的可能不全或者有误的地方,希望大家多多指教。

    DDos

    DDos攻击

    DDos攻击通常指的是,通过高并发的流量占领网络或者服务器资源。分为以下两种类型:

    1. 带宽攻击
      发出海量数据包,造成网络设备负载过高,最终导致网络带宽或是设备资源耗尽。
    2. 资源攻击
      利用了诸如 TCP 或是 HTTP 协议的某些特征,通过持续占用有限的资源,从而达到使目标设备无法处理正常访问请求的目的。

    DDos系统

    DDos系统通常的DDos系统都是由三大中心组成,管理中心、检测中心、清洗中心。而且根据客户要求的不同部署的方式也存在差异。

    通常DDos的工作模式是:检测中心检测关键节点或者网络的流量,检测中心会对流量进行初步分析,当检测到异常流量后上报管理中心;管理中心收到异常信号,判断是否是攻击,如果确定是攻击,则向清洗中心下发策略进行处理;清洗中心收到管理中心下发的策略之后,根据策略执行动作(引流或其他操作),最后将处理的日志反馈给管理中心。

    DDos系统的组成

    管理中心

    由服务器系统组成,主要完成对攻击事件的处理、控制 清洗中心的引流策略和清洗策略,并对各种攻击事件和攻击流量分类查看,产生报表。 如:华为ATIC管理中心;迪普UMC管理中心。

    关键特性:
    1. 防护策略

    管理中心会制定相应的防护策略,来保护对应的防护对象。所以在进行防护策略定制时,必须要先了解防护对象和防护对象策略 。

    防护对象:指的是需要被保护的对象。可以通过IP地址/IP地址段进行标注。

    防护对象策略:针对防护对象定制的防护策略,策略的内容根据对象的不同而不同。
    防护策略的主要工作原理是根据各种协议的流量大小设置一个合理的阈值。一旦超出阈值则视为异常。当到达防护对象某种类型的报文超过防御阈值时,系统启动针对这种报文的防御。

    防护策略分为很多种类主要包括,防御模式、黑白名单、基线学习等。

    防御模式:定义向清洗设备下发流量处理模式

    1. 防护带宽:针对保护的对象的总带宽进行保护。当带宽超出防护流量时是否需要限流。
    2. 引流模式:设备检测到异常后,是否需要将流量引入清洗设备。
    3. 防御模式:清洗设备检测到流量异常后的防护模式。可以自动或者手动。
    4. 黑洞模式:防御过程中,当入流量超过黑洞阈值,会自动生成黑洞任务,并下发黑洞路由给清洗设备。
    5. 动态黑名单模式:在防御过程中,检测到的非法源IP将被清洗设备加入动态黑名单中。

    黑白名单:管理员通过管理经验,对信任IP直接放行,恶意IP直接阻断,提高了过滤效率,减轻了对业务的影响。

    基线学习:动态基线学习是指对用户网络流量按时间进行统计,学习正常网络环境中一定时间间隔内的流量最高值。为用户配置防御阈值提供参考。

    2. 流量引导

    在旁路部署时则需要考虑,流量引导的方式。

    检测中心

    对镜像或者分光过来的流量进行DDoS攻击流量的检测和分析,将分析数据提供给管理中心进行判断。 支持对全流量的深度包检测,特征匹配,会话重组等。如:华为anti-DDos1500D;迪普probe3000。

    清洗中心

    根据安全管理中心的控制策略进行攻击 流量牵引并清洗,把清洗后的正常流量注回到客户网络,发送到真正的目的地。同时清洗中心也具备独立的DDos攻击检测能力。如:华为anti-DDos1500;迪普Guard3000。

    DDos系统的部署方式

    部署方式分为两种:旁路部署和在线部署。

    旁路部署

    旁挂在路由交换设备,通过镜像等方式将流量复制到清洗中心,清洗中心发现异常则上报管理中心,管理中心下发策略到清洗中心进行清洗。
    旁路部署不影响现网的环境,一般特大型网络都是采用的旁路方式。但是旁路在做流量引入或者回注的时候可能比较复杂。

    在线部署

    清洗设备直接串联在链路上,承担流量清洗和数据转发。实时进行流量清洗。由于设备既要承担流量清洗工作,又是数据转发的关键节点,所以可靠性要求较高。一般采用主备部署。此模式检测清洗一体,通常不需要检测中心。防御日志会上报管理中心。

    DDos防御手段

    DDos通用攻击防御技术

    1. 首包丢弃:
      对于变源的攻击,IP和端口不断变化,这类攻击都是属于首包,没有后续报文。所以直接丢弃就能防护。对于正常的流量,首包被丢弃了,还会重新发起连接。
      为了防止攻击重复使用IP源地址避开首包丢弃,可以对报文进行统计,只有在一段时间间隔内的才算重传包

    注意:首包丢弃对于虚假变源的攻击有效。对于真实源的防护效果不好。

    1. 限流和阻断
      首包丢弃对于虚假变源的攻击有效。对于真实源的防护效果不好。
    2. 过滤器
      对报文的关键参数进行匹配,匹配上则执行对应操作。
    3. 黑白名单
      通过手动添加或者根据日常防御动态添加。动态添加的名单有老化时间,防止自动添加的名单有误。

    TCP类攻击防御

    1. TCP源探测
      TCP是有连接的协议,对于这种攻击可以通过源探测的方式进行认证。设备代替服务器回复SYN-ACK报文,虚假源则不会回复。TCP源探测只针对虚假源的攻击有效。

    2. ACk报文检测
      检查ACK报文在所有报文中的占比,当在某个范围则认为是正常。因为最后的ACK报文通常都是发起握手的一方发出的,所以AKC报文的占比能说明发起方是否同意建立连接。ACK报文多说明客户端同意建立连接,但是如果ACK报文过多,则认为可能受到ACK Flood攻击。 这种方式主要是针对真实源的攻击。

    3. 会话检测
      检查是否有创建过会话,有效针对后续包攻击,如ACK Flood。

    注:后续包攻击,非协议发起的首包报文,即为后续包。如:TCP三次握手SYN置位为首包,ACK置位为后续包。

    1. 载荷检查
      在会话检查之后,检查载荷数据是否正常,如:全为1则异常 丢弃。针对大包的后续包攻击。

    UDP类攻击防御

    1. 关联TCP服务检测
      UDP是无连接的协议无法使用源探测,可以根据UDP攻击报文的特性和与其他协议关联进行验证。有的应用采用的UDP但是会有附加的服务是采用TCP,就利用这个TCP的连接进行检测。如:游戏使用TCP进行身份认证,使用UDP进行数据传输。

    2. 载荷检查
      检查报文载荷是否都是一样的,因为UDP类报文会填充大量字段。

    3. 指纹学习
      UDP的流量超过阈值时,触发指纹学习。学习到明显特征后就会丢弃报文。UDP的攻击通常都是有规律的。

    DNS类攻击防御

    攻击者会请求大量不存在的域名,使DNS服务器去频繁的查询,使服务器超载。

    1. 对于虚假源攻击防护
      对于虚假源攻击缓存服务器,当对同一地址的请求达到一定值之后,就启动认证。要求源地址采用TCP的方式请求。如果为虚假源肯定无法采取TCP的方式。

    2. 对于真实源防护
      对真实源防护,可以采取指定域名限速,或者源IP限速。报文格式检测、DNS报文长度检测、DNS报文TTL检测(请求就近的服务器,TTL应该在一定的范围内。)

    HTTP/HTTPS类攻击防御

    HTTP和HTTPs类的攻击,通常会向目标服务器发送大量的HTTP报文,请求设计数据库操作的URI或其他消耗资源的URI,造成服务器资源耗尽。

    或者通过合法的HTTP请求,使服务器与其一直保持连接,占用服务器的资源。连接保持的方式有两种:

    一是,向服务器发送post报文,报头显示报文长度很大,但是每次只发送很少的数据,让服务器一直处于等待状态。
    二是,在报文头部不设置终止符(空行),让服务器一直等待后续报文。

    1. 源认证
      由于HTTP也是封装在TCP上,可以采用源认证的方式。

    2. 验证码或者重定向
      HTPP是直接与用户交互的方式提供服务,切浏览器能够支持完整的HTTP协议,所以可以要求用户输入验证码进行验证;或者返回一个重定向报文,判断是否是真实主机。如果设备收到源地址重定向的访问,则认为不是攻击。

    DDos产品

    这里列举的都是清洗设备。

    中新网安

    产品
    金盾抗DDos设备:支持智能分析,自动取证;联动云端进行检测;单台设备能支持百G的流量。

    安全牛抗DDoS矩阵位置
    云抗DDos 竞争者;硬件抗DDos 领先者

    绿盟

    产品:
    绿盟抗拒绝服务系统 ADS:20余种智能防护算法,50多种防护过滤规则,全面清洗各类DDoS攻击,快速应对未知DDoS攻击类型;全面支持纯IPv4、纯IPv6以及IPv4与IPv6混合的业务防护需求;ADS支持SYSLOG、SNMP和WEBAPI等多种三方接口类型,有效满足各类三方平台的监管和调度使用要求;

    安全牛抗DDoS矩阵位置
    硬件抗DDos 领先者。

    启明星辰

    产品:
    天清ADM:对客户重点关注的服务器,可一键添加到关注主机,客户可快速定位到关注服务器信息;可针对单台服务器或不同协议的流量进行限制,更细粒度的进行了流量限制;单机性能高达80G,通过集群方式实现性能的无限扩容。

    华为

    产品:
    AntiDDoS1000系列:当攻击流量超过带宽或本地清洗设备防御能力时,可以与上游运营商或ISP的AntiDDoS设备联动,防御大流量攻击。

    安全牛抗DDoS矩阵位置
    云抗DDos 领先者;硬件抗DDos 领先者。

    迪普

    产品:
    Guard3000:可提供T级抗DDoS能力;提供安全可视化服务,帮助用户直观了解现网安全状况,及时消除安全隐患;可基于报文信息以及常见的应用统计信息建立自动学习模型,给出推荐的检测和防护阈值,给与用户有效地指导,用户根据自身的网络业务状况选择合适的模板使用,并根据最新流量信息进行自动更新。

    安全牛抗DDoS矩阵位置
    硬件抗DDos 领先者。

    盛邦安全

    产品:
    RayADS:集成了Web安全防护的功能,对于部分组合型攻击,可以从不同的角度出发对服务器形成完整的防护策略;支持虚拟化平台部署;可以与云DDos产品联动进行流量牵引;网络流量学习,定义对应的风险等级和清洗阈值,并形成模板以供使用;

    安全牛抗DDoS矩阵位置
    硬件抗DDos 竞争者。

    展开全文
  • DDOS防护原理

    2018-09-04 14:55:00
    1.常见DDoS攻击分类 DDoS粗略分类为流量型攻击和CC攻击。流量型攻击主要是通过发送报文侵占正常业务带宽,甚至堵塞整个数据中心的出口,导致正常用户访问无法达到业务服务器。CC攻击主要是针对某些业务服务进行频繁...

    1.常见DDoS攻击分类

    DDoS粗略分类为流量型攻击和CC攻击。流量型攻击主要是通过发送报文侵占正常业务带宽,甚至堵塞整个数据中心的出口,导致正常用户访问无法达到业务服务器。CC攻击主要是针对某些业务服务进行频繁访问,重点在于通过精心选择访问的服务,激发大量消耗资源的数据库查询、文件IO等,导致业务服务器CPU、内存或者IO出现瓶颈,无法正常提供服务。比较狡猾的攻击者会混合使用这两种攻击。

    流量型攻击细分起来还有许多种,下面介绍其中几种典型的。

    ·TCP SYN FLOOD——一个正常的TCP连接需要进行三方握手操作。首先,客户端向服务器发送一个TCP SYN数据包。而后服务器分配一个控制块,并响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK数据包。如果服务器没有收到ACK数据包,TCP连接将处于半开状态,直到服务器从客户端收到ACK数据包或者连接因为time-to-live(TTL)计时器设置而超时为止。在连接超时的情况下,事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送SYN数据包,但不对服务器发回的SYN ACK数据包答复ACK数据包时,就会发生TCP SYN泛洪攻击。通常黑客会伪造TCP SYN的源地址为一个不存在的地址,让服务器根本没法回包,并且增加TCP SYN的报文长度,同时堵塞机房出口。

    ·UDP FLOOD——又称UDP洪水攻击或UDP淹没攻击,UDP是没有连接状态的协议,因此可以发送大量的UDP包到某个端口,如果是个正常的UDP应用端口,则可能干扰正常应用,如果是没有正常应用,服务器要回送ICMP,这样就消耗了服务器的处理资源,而且很容易阻塞上行链路的带宽。通常黑客会发送大量长度较长,源IP伪造成不存在地址的UDP报文,直接堵塞机房出口。

    ·反射型攻击——反射拒绝服务攻击又称DRDoS攻击(Distributed Reflection Denial of Service),或分布式反射拒绝服务攻击。其原理如图2-22所示,是黑客伪造成被攻击者的IP地址,向互联网上大量开放特定服务的服务器发起请求,接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。整个过程中,返回响应的服务器并不知道请求源的恶意动机。

     

    黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以用较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果。一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。根据US-CERT在2014年1月发布的预警(Alert TA14-017A),DNS、NTP、SNMP等协议的反射放大效果以及脆弱性如图2-23所示,可见利用NTP协议的反射放大效果最好,超过500倍。也就是说攻击者只需要发起100Mbps的请求流量,经过NTP服务器的反射放大,可以换来5Gbps的攻击流量。2014年2月,在国外某云计算服务提供商遭受的400Gbps DDoS攻击中,黑客就采用了NTP反射放大攻击

    2.DDoS云防护的基本原理

    DDoS云防护的基本原理就是替身防护,即通过A记录、CNAME或者NS的方式将被攻击网站的域名指向云清洗机房,云清洗机房利用囤积的大量带宽进行流量清洗,把清洗后的正常业务访问转发给网站,过滤掉攻击流量。

     

    转载于:https://www.cnblogs.com/pythonal/p/9584413.html

    展开全文
  • DDOS原理

    2019-01-23 10:43:00
    DDoS攻击基础 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。 按照发起的方式,DDoS可以简单分为三...

    DDoS攻击基础
    DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。

    按照发起的方式,DDoS可以简单分为三类。

    第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见。

    第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,例如Slowloris攻击、Hash冲突攻击等,需要特定环境机缘巧合下才能出现。

    第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击,是当前的主流攻击方式。
    SYN Flood

    SYN Flood是互联网上最经典的DDoS攻击方式之一,最早出现于1999年左右,雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷,能够以较小代价使目标服务器无法响应,且难以追查。

    标准的TCP三次握手过程如下:

    客户端发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 
    服务器在收到客户端的SYN报文后,将返回一个SYN+ACK(即确认Acknowledgement)的报文,表示客户端的请求被接受,同时TCP初始序号自动加1; 
    客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加1。 
    经过这三步,TCP连接就建立完成。TCP协议为了实现可靠传输,在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的最终ACK确认报文,会一直处于SYN_RECV状态,将客户端IP加入等待列表,并重发第二步的SYN+ACK报文。重发一般进行3-5次,大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面,服务器在自己发出了SYN+ACK报文后,会预分配资源为即将建立的TCP连接储存信息做准备,这个资源在等待重试期间一直保留。更为重要的是,服务器资源有限,可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文,也就是拒绝新的TCP连接建立。

    SYN Flood正是利用了上文中TCP协议的设定,达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文,由于伪造的IP地址几乎不可能存在,也就几乎没有设备会给服务器返回任何应答了。因此,服务器将会维持一个庞大的等待列表,不停地重试发送SYN+ACK报文,同时占用着大量的资源无法释放。更为关键的是,被攻击服务器的SYN_RECV队列被恶意的数据包占满,不再接受新的SYN请求,合法用户无法完成三次握手建立起TCP连接。也就是说,这个服务器被SYN Flood拒绝服务了。
    DNS Query Flood

    作为互联网最基础、最核心的服务,DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务,或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器,不过最终没有得手。

    UDP攻击是最容易发起海量流量的攻击手段,而且源IP随机伪造难以追查。但过滤比较容易,因为大多数IP并不提供UDP服务,直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了,取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说,越上层协议上发动的DDoS攻击越难以防御,因为协议越上层,与业务关联越大,防御系统面临的情况越复杂。

    DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。
    HTTP Flood

    上文描述的SYN Flood、DNS Query Flood在现阶段已经能做到有效防御了,真正令各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP Flood是针对Web服务在第七层协议发起的攻击。它的巨大危害性主要表现在三个方面:发起方便、过滤困难、影响深远。

    SYN Flood和DNS Query Flood都需要攻击者以root权限控制大批量的傀儡机。收集大量root权限的傀儡机很花费时间和精力,而且在攻击过程中傀儡机会由于流量异常被管理员发现,攻击者的资源快速损耗而补充缓慢,导致攻击强度明显降低而且不可长期持续。HTTP Flood攻击则不同,攻击者并不需要控制大批的傀儡机,取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理,攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源,花几天时间获取代理并不是难事,因此攻击容易发起而且可以长期高强度的持续。HTTP Flood攻击在HTTP层发起,极力模仿正常用户的网页请求行为,与网站业务紧密相关,安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作得很好的规则,换一个场景可能带来大量的误杀。

    最后,HTTP Flood攻击会引起严重的连锁反应,不仅仅是直接导致被攻击的Web前端响应缓慢,还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务,增大它们的压力,甚至对日志存储服务器都带来影响。

    有意思的是,HTTP Flood还有个颇有历史渊源的昵称叫做CC攻击。CC是Challenge Collapsar的缩写,而Collapsar是国内一家著名安全公司的DDoS防御设备。从目前的情况来看,不仅仅是Collapsar,所有的硬件防御设备都还在被挑战着,风险并未解除。

    慢速连接攻击

    提起攻击,第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之,以慢著称,以至于有些攻击目标被打死了都不知道是怎么死的,这就是慢速连接攻击,最具代表性的是rsnake发明的Slowloris。

    HTTP协议规定,HTTP Request以 结尾表示客户端发送结束,服务端开始处理。那么,如果永远不发送 会如何?Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端,如a:b ,导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作,服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。
    DDoS攻击进阶

    混合攻击

    以上介绍了几种基础的攻击手段,其中任意一种都可以用来攻击网络,甚至击垮阿里、百度、腾讯这种巨型网站。但这些并不是全部,不同层次的攻击者能够发起完全不同的DDoS攻击,运用之妙,存乎一心。

    高级攻击者从来不会使用单一的手段进行攻击,而是根据目标环境灵活组合。普通的SYN Flood容易被流量清洗设备通过反向探测、SYN Cookie等技术手段过滤掉,但如果在SYN Flood中混入SYN+ACK数据包,使每一个伪造的SYN数据包都有一个与之对应的伪造的客户端确认报文,这里的对应是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一个主机同一个TCP Flow的特征,流量清洗设备的反向探测和SYN Cookie性能压力将会显著增大。其实SYN数据报文配合其他各种标志位,都有特殊的攻击效果,这里不一一介绍。对DNS Query Flood而言,也有独特的技巧。

    首先,DNS可以分为普通DNS和授权域DNS,攻击普通DNS,IP地址需要随机伪造,并且指明服务器要求做递归解析;但攻击授权域DNS,伪造的源IP地址则不应该是纯随机的,而应该是事先收集的全球各地ISP的DNS地址,这样才能达到最大攻击效果,使流量清洗设备处于添加IP黑名单还是不添加IP黑名单的尴尬处境。添加会导致大量误杀,不添加黑名单则每个报文都需要反向探测从而加大性能压力。

    另一方面,前面提到,为了加大清洗设备的压力不命中缓存而需要随机化请求的域名,但需要注意的是,待解析域名必须在伪造中带有一定的规律性,比如说只伪造域名的某一部分而固化一部分,用来突破清洗设备设置的白名单。道理很简单,腾讯的服务器可以只解析腾讯的域名,完全随机的域名可能会直接被丢弃,需要固化。但如果完全固定,也很容易直接被丢弃,因此又需要伪造一部分。

    其次,对DNS的攻击不应该只着重于UDP端口,根据DNS协议,TCP端口也是标准服务。在攻击时,可以UDP和TCP攻击同时进行。

    HTTP Flood的着重点,在于突破前端的cache,通过HTTP头中的字段设置直接到达Web Server本身。另外,HTTP Flood对目标的选取也非常关键,一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标,这是非常正确的,可以消耗服务器尽可能多的资源。但这种攻击容易被清洗设备通过人机识别的方式识别出来,那么如何解决这个问题?很简单,尽量选择正常用户也通过APP访问的页面,一般来说就是各种Web API。正常用户和恶意流量都是来源于APP,人机差别很小,基本融为一体难以区分。

    之类的慢速攻击,是通过巧妙的手段占住连接不释放达到攻击的目的,但这也是双刃剑,每一个TCP连接既存在于服务端也存在于自身,自身也需要消耗资源维持TCP状态,因此连接不能保持太多。如果可以解决这一点,攻击性会得到极大增强,也就是说Slowloris可以通过stateless的方式发动攻击,在客户端通过嗅探捕获TCP的序列号和确认维护TCP连接,系统内核无需关注TCP的各种状态变迁,一台笔记本即可产生多达65535个TCP连接。

    前面描述的,都是技术层面的攻击增强。在人的方面,还可以有一些别的手段。如果SYN Flood发出大量数据包正面强攻,再辅之以Slowloris慢速连接,多少人能够发现其中的秘密?即使服务器宕机了也许还只发现了SYN攻击想去加强TCP层清洗而忽视了应用层的行为。种种攻击都可以互相配合,达到最大的效果。攻击时间的选择,也是一大关键,比如说选择维护人员吃午饭时、维护人员下班堵在路上或者在地铁里无线上网卡都没有信号时、目标企业在举行大规模活动流量飙升时等。
    来自P2P网络的攻击

    前面的攻击方式,多多少少都需要一些傀儡机,即使是HTTP Flood也需要搜索大量的匿名代理。如果有一种攻击,只需要发出一些指令,就有机器自动上来执行,才是完美的方案。这种攻击已经出现了,那就是来自P2P网络的攻击。

    大家都知道,互联网上的P2P用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据,使成千上万的真实IP地址连接过来,没有哪个设备能够支撑住。拿BT下载来说,伪造一些热门视频的种子,发布到搜索引擎,就足以骗到许多用户和流量了,但这只是基础攻击。

    展开全文
  • 敌情篇 ——DDoS攻击原理 DDoS攻击基础 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。 按照发起...
  • 91ri.rog:相比常规的渗透测试攻击来说,DDoS攻击比前者更具危害性,为什么这么说呢?因为发动一次大规模的DDoS攻击只需要拥有一定数量的僵尸网络即可,而完成一个渗透测试是需要长期及一定的技术水平才可以。而实施...
  • DDoS原理、分类与防御

    千次阅读 2020-12-28 11:16:14
    文章主要介绍了DDoS原理与防御方法。
  • dos与ddos攻击原理

    2019-11-09 21:17:12
    基础原理 1.TCP饿死: UDP这种传输方式不会控制自己在通信通道里的流量,可理解为不讲道理的人。他们来到了一个热闹地区的KFC中,但是他们不买东西只排队将所有食物的价格都问一遍,占满所有的座位和过道。而常规...
  • 为了解决DDoS攻击的威胁,目前很多运营商在其骨干网络部署了流量清洗中心,将所有怀疑存在DDoS攻击数据包的流量通过路由的方式导入到流量清洗中心,由清洗设备对所有攻击流量进行过滤,再将过滤后的正常应用数据注...
  • 东南大学:UDP反射DDoS攻击原理和防范 2015-04-17 中国教育网络 李刚 丁伟  反射攻击的防范措施  上述协议安装后由于有关服务默认处于开启状态,是其被利用的一个重要因素。因此,防范可以从配置主机服务...
  • Anti-DDOS流量清洗

    2019-10-12 16:13:10
    #基本概念 ##什么是黑洞 当云主机受到大量攻击后,...检测客户的业务受到异常流量攻击后,将原始业务系统的流量引流到云服务商的DDOS清洗系统,丢弃掉某些外部IP的请求,将剩余的健康流量返回给业务系统。 ##常见D...
  • DDOS攻击原理,种类及其防御

    千次阅读 2018-10-17 17:46:08
    先给大家举个形象例子便于理解: 我开了一家可容纳100人的老陕羊肉泡馍馆,由于用料上等,...上面这个例子讲的就是典型的DDOS攻击,全程是Distributed Denial of Server,翻译成中文就是分布式拒绝服务。一般...
  • DDOS原理与防御

    千次阅读 多人点赞 2018-07-06 14:54:46
    这家公司早些年是做抗DDOS设备的,培训的时候就很粗略的讲了部分原理,但是我却对DDOS产生了浓厚的兴趣。一但有了兴趣,便有了研究下去的动力。所以我开始在网络上搜集各种DDOS文章、书籍,学习的同时还做了记录,在...
  • 虽然很多互联网企业都建立了一定的本地DDoS防御措施及运营商级的DDoS监测清洗服务,但是物联网飞速发展,而且进行攻击的成本越来越低,衍生的新型攻击手段层出不穷,DDoS攻击逐渐形成了产业链,许多互联网企业都为此...
  • 2013年以来,反射攻击的报道层出不穷。相对于传统的基于僵尸网络的DDoS攻击,由于反射放大攻击不需要僵尸进程的帮助,因此实现和控制过程相对简单,因此... 反射DDoS攻击的原理  分布式拒绝服务(DDoS:Distribu...
  • DDOS流量清洗,全面防御DDoS攻击

    千次阅读 2019-07-13 21:46:22
    DDoS攻击的危害: DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DDoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存...
  • 流量清洗原理简介.pdf

    2021-05-28 16:44:01
    本文介绍了宽带流量清洗解决方案技术的应用背景,描述了宽带流量清洗原理,设施平台以及组成
  • 由于 DDoS 攻击威胁每天都在增加,市场上有数百种 DDoS ...智能攻击自动检测平台和先进的流量清洗系统,能够在几秒钟内阻止大规模攻击,并通过智能过滤来对抗精心设计的小型攻击。 一、受保护的香港服务器 有许多基...
  • 今天偶然学习到了防止DDOS攻击的流量清洗系统,它其实的主要原理是在受到 DDOS攻击的大流量时,把流量牵引到安全的地方进行清洗,然后把正常的报文带回 去目标主机,下面摘录下. 流量清洗服务是提供给租用IDC服务的...
  • ddos攻击已经成为站长们皆知一种网络攻击方式。现在随着网络的发展,网络攻击越来越多,而ddos攻击则也是频繁的出现在我们的视野中。而且,针对ddos攻击的防御部署工作也是讨论的热点话题。毕竟随着互联网络带宽的...
  • DDoS高防IP基本原理

    2019-11-07 21:34:30
    针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况,将原本直接访问用户站点的流量先引流到腾讯云 BGP 高防 IP 防护集群,经过攻击清洗过滤后再将安全业务流量回源到用户站点,从而确保用户站点的稳定...
  • SYNPROXY抵御DDoS攻击的原理和优化
  • 现在市场上为了防护DDoS流量攻击,不少企业推出了DDOS高防服务器以及单独的DDoS流量攻击防护,而这些产品防护的DDoS流量攻击是什么呢?接下来为大家简单分析一下,并且让大家能够了解到目前市场上常用的DDoS流量攻击...
  • 反射型 DDoS 攻击的原理和防范措施

    千次阅读 2018-04-26 12:02:58
    本文由 网易云 发布原文地址:反射型 DDoS 攻击的原理和防范措施-网易云博客随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到...
  • SYNPROXY原理解析 SYNPROXY的实现 Yet another SYNPROXY的优化 YASynproxy的实现 还能再做点什么 关于DDoS攻击和本文 DDoS攻击很多人都不会陌生,很多人都会花费很大的精力去对付它,然而却找不到根治的办法,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 933
精华内容 373
关键字:

ddos清洗原理