返回
最新DDOS攻击防护的基本原理幻灯片.ppt

最新DDOS攻击防护的基本原理幻灯片.ppt

ID:62067893

大小:1.19 MB

页数:81页

时间:2021-04-14

最新DDOS攻击防护的基本原理幻灯片.ppt_第1页
最新DDOS攻击防护的基本原理幻灯片.ppt_第2页
最新DDOS攻击防护的基本原理幻灯片.ppt_第3页
最新DDOS攻击防护的基本原理幻灯片.ppt_第4页
最新DDOS攻击防护的基本原理幻灯片.ppt_第5页
资源描述:

《最新DDOS攻击防护的基本原理幻灯片.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、DDOS攻击防护的基本原理DDOS攻击类型流量型攻击使用大量的包含伪造信息的数据包,耗尽服务器资源,使其拒绝服务常见:SYNFlood,ACKFlood,UDPFlood,ICMPFlood,FragmentFlood,NonIPFlood等连接型攻击使用大量的傀儡机,频繁的连接服务器,形成虚假的客户请求,耗尽服务器资源,使其拒绝服务常见:CC攻击,HTTPGetFlood,传奇假人攻击等流量攻击防御我们主要使用连接跟踪模块,来实现对流量攻击的防御TCP连接跟踪TCP状态转换图UDP连接跟踪确认双向数据辅助的优化模式还

2、有一些辅助的优化模式,可以提高攻击防御能力:Urgent状态:进入[SYN]防护模式后,若攻击量小于SYN-Urgent,对已经访问过的客户端,会直接做回应。否则全部按照新客户访问来处理。这样在大流量攻击下,可以很大程度上降低防火墙负载重传机制:对新客户访问,依靠TCP重传来达到减少SYN-ACK回应的效果。客户端发送第一个SYN后,防火墙摘取相关信息后不做回应,直接丢弃。之后依据TCP协议规范,正常的客户端在3秒后还要发送第二个SYN,防火墙接收到这个SYN时,进行一些检测,判断是不是正常的客户端重传,之后才回应SY

3、N-ACK。这样可以有效减少防火墙的负载,并减少客户的外出带宽占用旁路模式墙有些区别,没有SYN-Urgent相关的处理涉及参数:SYNFlood保护SYNFlood高压保护SYNFlood单机保护TCP端口保护设置流量攻击防御——ACKFlood我们所指的ACK报文,指TCP头部设置了ACK、FIN、RST标志的报文,例如ACK,FIN,FIN-ACK,RST、RST-ACK等服务器在接收到ACK类报文之后,首先查找自身的连接表,如果找不到,则会在一定频率内发送RST报文,通知客户端重置断开连接。因此ACK类攻击对服

4、务器造成的影响有限,但防火墙还是应该将攻击阻挡在墙外,否则服务器很容易因为带宽耗尽而拒绝服务我们的防护策略:依靠连接跟踪来识别出异常的ACK。在进行正常的连接处理之后,如果没有匹配的连接,则该ACK会被识别成异常ACK。异常ACK超过阀值会进入[ACK]模式,之后的异常ACK会被丢弃某些TCP连接关闭后,防火墙上的连接对象也会同时销毁。但双方可能会有一些遗留数据(lingerdata)依然继续传输,所以会被识别成异常ACK,这些基本不会造成影响涉及参数:ACK&RSTFlood保护TCP端口保护设置流量攻击防御——UD

5、PFloodUDPFlood,由于UDP协议不需要握手过程,因此从大量伪造源的UDP流量中识别出正常客户的数据,基本是不可能的一件事UDPFlood攻击抓包我们的防护策略:UDP协议无关的服务器:使用默认的UDP端口保护设置,直接进行限流防护UDP协议相关的服务器:分析客户应用的情况,设置端口保护的特殊属性。还可以通过抓包,得到客户应用的登陆数据,设置相应的协议模式,实现针对性的防御涉及参数:UDP保护触发UDP端口保护设置UDP端口保护的属性:开放端口:确认该端口开放同步连接:若同时存在同一客户端的TCP连接,则放行

6、该客户端的UDP数据。用于一些视频聊天室比较有效。因为一些聊天室是先通过WEB打开聊天室,然后网页中的视频插件连接服务器,发送UDP数据。这样UDP到达服务器前就一定已经建立了TCP连接延时提交:主要用于DNS的防护。普通DNS客户端,当发送第一个DNS查询之后,没有收到回应,会在2秒后发送第二个查询,因此可以用于识别出正常客户端。之前有些攻击器会模拟该重传,新版本的墙对于该类攻击已经有较高的识别率,因此可以有效防御DNS攻击验证TTL:对UDP数据的IP头部TTL进行统计,如果某个数值的TTL频率过高,会进行屏蔽。可

7、在一定程度上防御UDP类攻击流量攻击防御——DNSQueryFloodDNSQueryFlood攻击是UDP攻击的一种:DNS协议使用UDP协议为载体,端口53UDP/DNS攻击由于无法验证源地址的有效性,无法实现完美的防御——如果对方用的攻击器可以绝对随机伪造攻击包的话DNSFlood攻击抓包我们的防御策略:通过插件检测53端口的UDP数据,剔除非DNS查询的攻击包通过延时提交,强制客户端重传查询,应对某些无法生成重传包的DNS攻击器通过验证TTL,应对某些固定TTL的DNS攻击器通过重传检测算法,应对某些生成重传包

8、的DNS攻击器可以通过插件学习正常流量时的访问IP,受到攻击时只放行访问过的IP涉及参数:UDP保护触发UDP端口保护设置DNSServiceProtection参数DNS插件参数:参数1:正常情况的DNS请求频率。低于该值,插件将记录所有的DNS请求源地址参数2:攻击情况的DNS请求频率。高于该值,插件将只放行记录过的源地址介于

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。