您的位置:网站首页 > 汽车资讯 > 正文

DDoS的六种主要类型及常见防御技术

类别:汽车资讯 日期:2018-12-16 20:11:14 人气: 来源:

  周公解梦和死人说话

  DDOS是目前企事业单位较多的一种网络,DDOS目的很简单,就是使计算机或网络无法提供正常的服务。DDOS最早可追溯到1996年最初,目前的DDOS主要有六种方式。

  SYN Flood是当前网络上最为常见的DDos,也是最为经典的服务,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的半连接请求,造成目标服务器中的半连接队列被占满,耗费CPU和内存资源,使服务器超负荷,从而其他用户进行访问。这种早在1996年就被发现,但至今仍然显示出强大的生命力,可谓“长生不老”。很多操作系统,甚至防火墙、由器都无法有效地防御这种,而且由于它可以方便地伪造源地址,起来非常困难。

  这种是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备syn cookies或者syn proxy能力,能够有效应对伪造的IP,但对于正常的TCP连接是放过的。但殊不知很多网络服务程序能接受的TCP连接数是有限的,一旦有大量的 TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,正所谓“多情总被无情伤”。TCP全连接就是通过许多僵尸主机不断地与服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成服务,这种的特点是可绕过一般防火墙的防护而达到目的。

  TCP混乱数据包与Syn Flood类似,发送伪造源IP的TCP数据包,只不过TCP头的TCP Flags 部分是混乱的,可能是syn,ack,syn+ack,syn+rst等等,会造成一些防护设备处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽,在对手的时候施展最后的致命一击。

  UDP Flood是日渐的流量型DOS,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流视频服务器。 100k PPS的UDP Flood经常将线上的设备例如防火墙打瘫,造成整个网段的瘫痪。由于UDP协议是一种无连接的服务,在UDP FLOOD中,者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行。

  UDP DNS Query Flood实质上是UDP Flood的一种,但是由于DNS服务器的不可替代的关键作用,一旦服务器瘫痪,影响一般都很大。UDP DNS Query Flood采用的方法是向被的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道,在一台PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS 服务器的脆弱性。

  CC(Challenge Collapsar)是DDOS的一种,是利用不断对网站发送连接请求致使形成服务的。相比其它的DDOS,CC是应用层的,主要针对网站。CC主要是用来页面的,CC就是模拟多个用户(少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

  这种主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQL Server、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小的方法。这种的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会者的IP地址。

  以上DDOS的六种方式都有各自的特点和杀伤力,但也并非无法防范,合理使用DDoS防御技术,可减轻或缓解危害。

  syn cookie/syn proxy类防护技术:这种技术对所有的syn包均主动回应,探测发起syn包的源IP地址是否真实存在,如果该IP地址真实存在,则该IP会回应防护设备的探测包,从而建立TCP连接。大多数的国内外抗DDOS产品均采用此类技术。

  Safereset技术:此技术对所有的syn包均主动回应,探测包特意构造错误的字段,真实存在的IP地址会发送rst包给防护设备,然后发起第2次连接,从而建立TCP连接。部分国外产品采用了这样的防护算法。

  syn重传技术:该技术利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态,在该源IP的第2个syn包到达时进行验证,然后放行。

  UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。一般最简单的方法就是不对外UDP服务。

  如果必须UDP服务,则可以根据该服务业务UDP最大包长设置UDP最大包大小以过滤异常流量。还有一种办法就是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接,然后才能使用UDP通讯。

  对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽,在发生时降低很少发起域名解析请求的源IP地址的优先级,每个源 IP 地址每秒的域名解析请求次数。DNS Flood防御技术可在变化中不断调整,以求防御的最佳效果。

  对是否HTTP Get的判断,要统计到达每个服务器的每秒钟的GET请求数,如果远远超过正常值,就要对HTTP协议解码,找出HTTP Get及其参数(例如URL等)。然后判断某个GET 请求是来自代理服务器还是恶意请求,并回应一个带Key的响应要求,请求发起端作出相应的回馈。如果发起端不响应则说明是利用工具发起的请求,这样HTTP Get请求就无法到达服务器,达到防护的效果。

  目前市场上的安全产品,包括防火墙、入侵防御、DDOS防御等产品主要采用限务器主机连接数手段防御DDOS,为招数之基本。使用安全产品受主机的连接数,即每秒访问数量,可以确保受主机在网络层处理上不超过负荷(不含CC),虽然用户访问时断时续,但可以受主机始终有能力处理数据报文。而使用安全产品客户端发起的连接数,可以有效降低傀儡机的效果,即发起同样规模的则需要更多的傀儡机。

  针对CC防御的溯本追源技术是通过对服务器访问流量的实时监测,可以发现其在一定范围内波动,此时设置服务器低压阀值,当服务器访问流量高于低压阀值时开始记录并访问源。此外还要设置一个服务器高压阀值,此高压阀值代表服务器能够承受的最大负荷,当监测到服务器访问流量达到或超过高压阀值时,说明有DOS或者DDOS事件发生,需要实时阻断流量,此时系统将逐一查找受服务器的源列表,检查每个源的访问流量,将突发大流量的源IP地址判断为正在进行DOS的源,将这些源流量及其连接进行实时阻断。

  声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电线;邮箱:。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码新闻资讯门户DDoS的六种主要类型及常见防御技术

  资讯本站接受比特币、P2P、大数据、云计算、互联网+相关优质新闻、爆料,立即>

  中国领先的互联网域名及云服务提供商

  西部数码旗下新闻资讯频道,为您提提供域名,区块链,大数据,云计算,虚拟主机,域名交易,比特币,P2P等领域及时、客观的资讯报道!

  本文由来源于财鼎国际(http://cdgw.hengpunai.cn:27531/)

0
0
0
0
0
0
0
0

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

CopyRight 2002-2012 版权所有:汽车资讯 技术支持 FXT All Rights Reserved