1、NTP 反射和放大攻击无论是基于
DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。
如何防御加固 NTP 服务
1. 把 NTP 服务器升级到 4.2.7p262. 关闭现在 NTP 服务的 monlist 功能,在ntp.conf配置文件中增加`disable monitor`选项3. 在网络出口封禁 UDP 123 端口防御
NTP 反射和放大攻击1. 由于这种攻击的特征比较明显,所以可以通过网络层或者借助运营商实施 ACL 来防御
2. 使用防 DDoS 设备进行清洗注:访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
2、netflow流量计算方法:系统每秒需要进行处理的Flow数量为:(系统需要分析的流量大小×1024×1024×1024)/(500×384×8)(280×1024×1024×1024)/(1000×384×8)=97867.09333 280G 带宽
;采样比:1000:1 384类似使用类 网络流量中数据包的平均包长为384 Byte3、入侵检测-IDS做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。入侵检测系统的工作流程大致分为以下几个步骤:
1.信息收集 入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
2.信号分析 对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
3.实时记录、报警或有限度反击:IDS根本的任务是要对入侵行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源。
4、入侵防御-IPS( Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application
Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
5、多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。
6、BRAS主要用于拨号用户的认证、地址管理、计费等,SR主要用于专线用户的业务控制、服务质量管控等。
7、EBGP―― (External Border Gateway Protocol) 外部边界网关协议,用于在不同的自治系统间交换路由信息。
8、IBGP―― 内部BGP协议(IBGP)的主要作用是向你的内部路由器提供更多信息。IBGP路由器必须以全网状结构相连,以防止路由环回。如果使用了路由反射器或路由联盟,那么IBGP网状结构可能遭遇收敛问题,而导致路由黑洞。
9、中国电信互联网数据中心(Internet
Data Center)(以下简称中国电信IDC)是以电信级机房和网络资源为依托,以高水平专业化技术支撑队伍为基础,为各类客户提供设备托管以及相关增值服务,并定期向客户收取相应服务费用的一项产品。IDC 基础业务包括主机托管、带宽出租、服务器出租、VIP 机房出租、虚拟主机、IP 地址出租、电力资源提供等服务。
10、基于目的地址和基于源地址的远程触发黑洞http://www.cisco.com/c/dam/en/us/products/collateral/security/ios-network-foundation-protection-nfp/prod_white_paper0900aecd80313fac.pdf这篇东西讲的就是云堤的防护原理,云堤主要用的是基于目的地址的RTBH,基于源地址的RTBH没有使用,Remote Triggered
Black Hole(RTBH)---远程触发黑洞简单说来,就是为了处理DDOS攻击,在边界网络设备上配置主机的空洞路由和PBR,将攻击流打上tag,引导到空接口丢弃。缺点是不能分析攻击流量。
11、vmware概念:EXSi知道吧?就是物理机虚拟化的软件,多了之后用vcenter管理,就有了集群的概念cluster,统一调配集群里主机的计算、存储资源,网络也有一些。vcenter和EXSI提供的网络都是基于2层的,就是交换机层面的,vcenter在cluster智商还提出了一个虚拟存储的概念,就是vSAN,一般来说,就是把vcenter和EXSI统称为vsphere,再后来就是现在闹得很火的“超融合”,就是计算存储网络统统搞在一起
12、HTTP Flood防御HTTP Flood攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业,会有庞大的CDN节点缓存内容。当高级攻击者穿透缓存时,清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计,高于一定频率的IP地址加入黑名单。这种方法过于简单,容易带来误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是JavaScript跳转人机识别方案。HTTP
Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。
13、DNS Flood防御DNS攻击防御也有类似HTTP的防御手段,第一方案是缓存。其次是重发,可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。特殊的,对于授权域DNS的保护,设备会在业务正常时期提取收到的DNS域名列表和ISP
DNS IP列表备用,在攻击时,非此列表的请求一律丢弃,大幅降低性能压力。对于域名,实行同样的域名白名单机制,非白名单中的域名解析请求,做丢弃处理。
14、慢速连接攻击防御Slowloris攻击防御比较简单,主要方案有两个。第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击,过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。
15、企业级防御互联网企业防御DDoS攻击,主要使用基础防御手段,重点在于监控、组织以及流程管理。
16、防御策略介绍:开启“基线学习”和“画像学习”功能,获得业务流量模型,然后再根据业务类型配置合适的防御策略。
17、路由策略与策略路由解释:路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。
策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,路由器中存在两种类型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。
引流模式:检测设备在检测到防护对象的流量异常后,将流量牵引至清洗设备的模式。
防御模式:清洗设备检测到流量异常后的防护模式。
动态黑名单模式:在防御过程中,检测到的非法源IP将被清洗设备加入动态黑名单中。
清洗带宽:将进入基于防护对象的防御流程前的流量限制在阈值之内,超过阈值的报文直接丢弃。单IP限流:将防护对象中单个地址的流量限制在阈值之内,超过阈值的报文直接丢弃。恶意流量过滤:开启相应的安全策略后,触发报文过滤。【僵木蠕、恶意域名、WEB注入、DoS攻击工具】