浅析大规模ddos防御架构-应对t级攻防-ayazero.pdf

浅析大规模ddos防御架构-应对t级攻防-ayazero.pdf

  1. 1、本文档共11页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
原原文文地地址址文章转载自导导读读分分类类在讲防御之前简单介绍一下各类攻击因为一类攻击而并不一种攻击并且的防御一个可以做到相对自动化但做不到绝对自动化的过程很多演进的攻击方式自动化不一定能识别还需要进一步的专家肉眼判断网网络络层层攻攻击击利用建立连接时次握手的漏洞通过原始套接字发送源地址虚假的报文使目标主机永远无法完成次握手占满了系统的协议栈队列资源得不到释放进而拒绝服务互联网中最主要的攻击形式之一网上有一些加固的方法例如调整内核参数的方法可以减少等待及重试加速资源释放在小流量的情况下可以缓解但

原原文文地地址址:/tips/8872 文章转载自:/?p=75 0x00 导导读读 0x01 DDOS分分类类 在讲防御之前简单介绍一下各类攻击,因为DDOS 一类攻击而并不 一种攻击,并且DDOS的防御 一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一 定能识别,还 需要进一步的专家肉眼判断。 网网络络层层攻攻击击 Syn-flood 利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服 务, 互联网中最主要的DDOS攻击形式之一。网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量sy -flood的情况下可以缓解, 但流量稍大时完全不抵用。防御sy -flood的常见方法有:sy proxy、sy cookies、首包 (第一次请求的sy 包)丢弃等。 AC -flood 对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如sy -flood。DDOS的一种原始方式。 UDP-flood 使用原始套接字伪造大量虚假源地址的UDP包,目前以DNS协议为主。 ICMP-flood Pi g洪水,比较古老的方式。 应应用用层层攻攻击击 CC Challe geCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”,通过bot et的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求,最终消耗掉大量的 并发资源,拖慢整个网站甚至彻底拒绝服务。 互联网的架构追求扩展性本质上 为了提高并发能力,各种SQL性能优化措施:消除慢查询、分表分库、索引、优化数据结构、限制有哪些信誉好的足球投注网站频率等本质都 为了解决资源消耗,而 CC大有反其道而行之的意味,占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,这 样就能用最小的攻击资源起到最大的拒绝服务效果。 互联网产品和服务依靠数据分析来驱动改进和持续运营,所以除了前端的APP、中间件和数据库这类OLTP系统,后面还有OLAP,从日志收集,存储到数据处理和分析的大数据平 台,当CC攻击发生时,不仅OLTP的部分受到了影响,实际上CC会产生大量日志,直接会对后面的OLAP产生影响,影响包括两个层面,一个当日的数据统计完全 错误的。第二 个层面因CC期间访问日志剧增也会加大后端数据处理的负担。 CC 目前应用层攻击的主要手段之一,在防御上有一些方法,但不能完美解决这个问题。 DNS flood 伪造源地址的海量DNS请求,用于 淹没目标的DNS服务器。对于攻击特定企业权威DNS的场景,可以将源地址设置为各大ISP DNS服务器的ip地址以突破白名单限制,将查询的 内容改为针对目标企业的域名做随机化处理,当查询无法命中缓存时,服务器负载会进一步增大。 DNS不只在UDP-53提供服务,同样在TCP协议提供服务,所以防御的一种思路就 将UDP的查询强制转为TCP,要求溯源,如果 假的源地址,就不再回应。对于企业自有权威 DNS服务器而言,正常请求多来自于ISP的域名递归解析,所以将白名单设置为ISP的DNS server列表。对于源地址伪造成ISP DNS的请求,可以通过TTL值进一步判断。 慢慢速速连连接接攻攻击击 针对http协议,以知名的slowloris攻击为起源:先建立http连接,设置一个较大的co te t-le gth,每次只发送很少的字节,让服务器一直以为http头部没有传输完成,这样的连接一多很 快就会出现连接耗尽。 目前出现了一些变种,http慢速的post请求和慢速的read请求都 基于相同的原理。 DOS攻攻击击 有些服务器程序存在bug、安全漏洞,或架构性缺陷,攻击者可以通过构造的畸形请求发送给服务器,服务器因不能正确处理恶意请求而陷入僵死状态,导致拒绝服务。例如某些 版本的app服务器程序存在缓冲区溢出,漏洞可以触发但无法得到shell,攻击者可以改变程序执行流程使其跳转到空指针或无法处理的地址,用户态

文档评论(0)

wangsux + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档