网络安全—DDoS攻防

背景简述:DDoS攻击分为很多类型,有消耗网络带宽的流量攻击,有消耗服务器资源的应用层攻击等。影响巨大,且让无论大公司还是小公司都肃然“起敬”的当属:流量攻击。在流量越来越廉价的今天,攻击流量小则几百兆,大则几个G,甚至更多。DDoS攻击的重灾区一般在竞争比较激烈的游戏行业,特别是在前几年私服流行的时候,各种攻击防不胜防。

常用防御方法:

1、  企业级DDoS防火墙:用过不少厂家的DDoS防火墙,金盾、绿盟、傲盾等,这些防火墙原理上都类似,基本上都有强大的计数计时器,然后结合TCP/IP协议族的特点来进行防御,比如:每秒产生多少SYN半开连接算是攻击,每IP每秒产生多少ICMP流量算是攻击,还有某些协议中从那些位开始携带了某些特殊的字节算是攻击等等。对于一些流量不算大的攻击防御效果还是比较明显的。

2、  运营商级DDoS防护:对于流量较大的攻击,也只有运营商来防护了,运营商拥有较大的网络资源优势。运营商一般会提供两种防御方法,一种是直接进行封IP处理,比如使用RTBH技术等;还有就是对IP进行流量清洗,比如上海提供在四核心下的流量清洗服务,很多银行、互联网企业所喜好选择的服务。

DDoS防火墙常用部署方式,如下图:

1、  如上图左边情况,直接串联在网络中,这种情况可以时刻为所有IP和服务提供防护。

2、  如上图右边情况,旁挂方式,完成网络引流、清洗、回注等功能。这种情况下,仅在有需要时才进行DDoS防护,比较灵活。

举几个以前处理过的例子:

1、  UDP流量攻击,也是比较常见的起流量的攻击方式。

从以上图可以看出,瞬间起了很大的UDP攻击流量,由于源IP比较固定,就直接把源IP进行封了,但是通常情况下源IP不固定,为了不影响其他人,只有把目的IP封了。

2、  ICMP流量攻击

3、  SYN攻击

记得当时此SYN攻击流量差不多2G,持续了几个小时,但基本上被DDoS防火墙拦截下来了,没有进行封IP,现在DDoS防火墙也是十分成熟了,对流量攻击和SYN攻击一般都有较好的防御

写在后面:DDoS攻击远没有完,源头的难以追踪,攻击成本的十分廉价,现在剩余的也许仅有被动。将来该如何有效解决此类问题:使用CDN?使用SDN?还是使用FIA\XIA等未来网络?

网络安全—DDoS攻防

时间: 2024-11-13 00:05:11

网络安全—DDoS攻防的相关文章

DDoS攻防战 (一) : 概述

岁寒 然后知松柏之后凋也 --论语·子罕 (此图摘自<Web脚本攻击与防御技术核心剖析>一书,作者:郝永清先生)    DDoS,即 Distributed Denial of Service ,可译为分散式阻断服务攻击. 上图与DDoS的字面已经清楚的表述出了此类攻击的原理,勿需多言.这类攻击泛滥存在的主要原因之一是网络服务的开放性,这一特点导致了DDoS攻击无法根本杜绝,目前主要应对策略是积极防御与消极防御. 典型DDoS的攻击方式:     ·死亡之Ping icmp封装于IP报文之中,

DDoS攻防战 (二) :CC攻击工具实现与防御理论

故上兵伐谋 其次伐交 其次伐兵 其下攻城 攻城之法 为不得已 知己知彼 百战不殆 不知彼而知己 一胜一负 不知彼不知己 每战必败 --孙子兵法·谋攻 我们将要实现一个进行应用层DDoS攻击的工具,综合考虑,CC攻击方式是最佳选择,并用bash shell脚本来快速实现并验证这一工具,并在最后,讨论如何防御来自应用层的DDoS攻击. 第一步:获取大量可用代理ip:port列表   网上所处可见免费代理,我们使用http的GET方法抓取html文档,接着使用正则过滤出我们需要的ip port对,然后

DDoS攻防战(三):ip黑白名单防火墙frdev的原理与实现

汤之盘铭曰 苟日新 日日新 又日新 康诰曰 作新民   诗曰 周虽旧邦 其命维新   是故 君子无所不用其极  ——礼记·大学 在上一篇文章<DDoS攻防战 (二) :CC攻击工具实现与防御理论>中,笔者阐述了一个防御状态机,它可用来抵御来自应用层的DDoS攻击,但是该状态机依赖一个能应对大量条目快速增删的ip黑白名单防火墙,我们目前并没有发现很好的开源实现以供我们使用. ·实现方案选择: 硬件实现或者软件实现? 在面对诸如大量畸形包这样的攻击时,硬件实现将会是非常好的选择,这是因为在进行此类

关于网络安全攻防演化博弈的研究小议

1. 拉高视角,从宏观看网络安全攻防 伴随着信息化的发展,网络安全的问题就一直日益突出,与此同时,网络安全技术也成为研究热点,直到今日也没有停止. 从微观来看,网络安全技术研究指的是针对某项或某几项指标的完善,例如: 针对WEB系统漏洞的挖掘和利用,以及与此相应的日志采集以及关键点审计技术,例如RASP和WAF,核心指标是精确率和召回率 恶意代码作者为了躲避病毒AV的静态和动态检测机制,通过隐写.混淆.多态等手段隐藏恶意代码的表征行为,与此对应的,病毒查杀厂商通过研究相应的反混淆.动态沙箱.插桩

2014年绿盟科技DDoS威胁报告

2014年DDoS攻击方式中出现了新的DDoS反射式放大攻击形式,该攻击基于SSDP协议利用一些智能设备进行反射式攻击,攻击带宽放大倍数最高可达75倍.在国内,在线游戏已进入DDoS攻击目标的前3.在2014年DDoS攻击事件中,某次攻击事件流量超过100Gbps. 拒绝服务攻击存在的根源是Internet架构自身缺陷,正如RFC 4732所说,"由于最初Internet架构未考虑拒绝服务攻击, 从而导致几乎所有Internet服务均易遭受拒绝服务攻击".纵观近5年DDoS攻防双方的对

[推荐]DDOS攻击与防范知识介绍

DDOS攻防体系建设v0.2(淘宝-林晓曦)     http://wenku.baidu.com/view/39549a11a8114431b90dd866.html 阿里云安全白皮书V1.2(2014年1月)         http://wenku.baidu.com/view/bbec02673968011ca2009137.html DDoS攻击防御新思考        http://wenku.baidu.com/view/417a971e650e52ea5518983f.html

抗ddos设备

近期DDoS攻击事件频发 ( 2014年DDoS攻击事件分析),为了保障业务的顺利进行,大家在了解DDoS防御方案的同时,也需要考虑抗DDoS设备选型问题了.绿盟科技安全+技术刊物这次为大家介绍国内抗击DDoS攻击设备,绿盟抗拒绝服务系统 及 绿盟抗拒绝服务系统(可管理系列). 抗DDoS设备 针对流行的DDoS攻击(包括未知的攻击形式),绿盟科技经过10年多不间断的技术创新和产品研发,自2001年推出首款百兆防护绿盟抗拒绝服务系统(NSFOCUS Anti-DDoS System,简称NSFO

安天365第二期线上交流圆满落幕

第二期视频会议于8月6日7:30在线上开始进行.会议历时将近四个小时,4位与会成员发表了精彩纷呈的演讲. 本次会议主持由著名网络安全研究员陈小兵先生担任.主持人首先对安天365的研究近况进行了简要介绍.接着宣布了一项重要决议--安天365正式并入安全帮,这表明安天365进入了一个新的发展阶段.下一阶段组织决定采取线上线下结合的方式进行网络安全技术交流.线上主要采取QQ视频会议的方式进行交流,线下交流则由安全帮提供交流场地.在对安天365今后的发展方向进行了介绍之后,会议便进入了正式演讲的环节.此

计算机安全技术(第2版)

计算机安全技术(第2版) 主编:张同光 清华大学出版社 ISBN:9787302429654 出版日期:2016.03.01 印刷日期:2016.03.16 http://www.tup.com.cn/booksCenter/book_06791501.html 内 容 简 介 本书以解决具体计算机安全问题为目的,全面介绍了计算机安全领域的实用技术,帮助读者了解计算机安全技术体系,掌握维护计算机系统安全的常用技术和手段,解决实际计算机系统的安全问题,使读者从全方位建立起对计算机安全保障体系的认识