网络安全—如何从IP源地址角度，预防DDoS攻击？

从1966年分布式拒绝服务（DDoS）攻击诞生至今，便一直困扰着网络安全，尤其是随着新技术的不断催生，导致 DDoS 攻击结合新技术演变出多种类型。DDoS 攻击作为黑灰产的手段之一，使许多企业与国家蒙受巨大损失。

爱沙尼亚网络战

2007年4月，爱沙尼亚遭受了大规模DDoS攻击，黑客目标包括国会、政府部门、银行以至媒体的网站，其攻击规模广泛而且深纵，这次袭击是为了回应与俄罗斯就第二次世界大战纪念碑「塔林青铜战士」的重新安置引发的政治冲突。事件在国际军事界中广受注目，普遍被军事专家视为第一场国家层次的网络战争。

攻击的第一次高峰出现在5月3日，当天莫斯科爆发最激烈的反抗。另一次高峰是5月8日和9日，欧洲各国纪念战胜纳粹德国，攻击同步升级，最少六个政府网站被迫停站，当中包括外交和司法部。最后一次攻击高峰是15日，该国最大的几家银行被迫暂停国外连线。爱沙尼亚两大报之一的《邮政时报》的编辑直指：“毫无疑问，网攻源自俄罗斯，这是一次政治攻击。”但俄罗斯多次否认与事件有关，并抨击爱沙尼亚虚构指控。这次攻击导致了网络战国际法的制定。

最大的DDoS攻击——GitHub遭受攻击

GitHub吉祥物

迄今为止，最大的DDoS攻击，发生在2018年2月。这次攻击的目标是数百万开发人员使用的流行在线代码管理服务GitHub。在此高峰时，此攻击以每秒1.3太字节（Tbps）的速率传输流量，以每秒1.269亿的速率发送数据包。攻击者利用了一种称为Memcached的流行数据库缓存系统的放大效应。通过使用欺骗性请求充Memcached服务器，攻击者能够将其攻击放大约50,000倍。

幸运的是，GitHub正在使用DDoS保护服务，该服务在攻击开始后的10分钟内自动发出警报。此警报触发了缓解过程，GitHub才能够快速阻止攻击。最终，这次世界上最大的DDoS攻击只持续了大约20分钟。

国际知名公司 NETSCOUT 公布其调查报告结果显示，2021年上半年，网络罪犯发动了约 540 万次分布式拒绝服务（DDoS）攻击，比 2020 年上半年的数字增长 11%。

分布式拒绝服务(Distributed Denial of Service， DDoS)攻击针对网络设施的缺陷，攻击者可以伪造IP 地址，间接地增加攻击流量。通过伪造源 IP 地址，受害者会误认为存在大量主机与其通信。黑客还会利用IP 协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。伪造 IP 地址发动攻击的成本远远小于组建僵尸主机，且技术成本要求较低，使得伪造 IP 地址发动 DDoS 攻击在及其活跃。鉴于分布式拒绝服务(Distributed Denial of Service， DDoS)攻击分布式、欺骗性、隐蔽性等特点，造成追踪和防范难度大。攻击原理及特点可点击此链接，查看本篇文章https://www.toutiao.com/i7023179182515634701/）

随着技术的不断进步，攻击源追踪技术已经在追踪速度、自动化程度、追踪精确度等方面取得显著进步， DDoS网络层攻击检测也分为多种方式。那要如何从IP源地址角度预防DDoS攻击呢？

当 DDoS 攻击发生时或结束后，可以根据相关信息定位攻击的来源，找到攻击者的位置或攻击来源。IP地址来源定位它是 DDoS 攻击防御过程中的重要环节，并在其中起到承上启下的关键作用。精准的IP地址定位结果既可以为进一步追踪真正攻击者提供线索，也可以为其他的防御措施，如流量限速、过滤等措施提供信息，还可以在法律上为追究攻击者责任提供证据。

基于IP源地址数量及分布变化来看，根据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》研究报告显示，DDoS为了隐藏攻击，攻击者会降低攻击速率，使攻击流量速率接近正常访问速率,以此增加检测难度,但在 DDoS 攻击时，访问 IP 数量大幅度增加是攻击的一个明显特征。且此特征无法隐藏.基于这个特征,如果能够对IP地址进行实时监测与判定，便能够有效地检测DDoS攻击,特别是攻击源地址分布均匀的 DDoS 攻击，采用新源地址出现速率作为攻击是否发生的依据,通过监测访问流数量变化,实现对 Flash Crowd 和 DDoS 攻击的有效区分。

同时，根据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究报告显示，伪造源地址DDoS 攻击发生时，IP源地址的流数量熵值和目标地址流数量熵值均会发生较大变化，大量流汇聚导致目的地址的熵值大幅度下降,而攻击流的均匀使得源地址熵值会有所增加，通过训练出的阈值,可以检测 DDoS 攻击。

而当无攻击发生时,对某一目标地址访问的源地址分布是稳定的，且通常成簇，而DDoS攻击发生时，IP源地址的分布趋于离散。可以根据IP源地址这一特性,识别 DDoS攻击的方法。

DDoS、蠕虫和病毒(垃圾)邮件是影响骨干网安全的 3 个主要因素,从行为模式上来看，三者有着明显的区别:DDoS表现为多个地址向一个 IP 地址发送数据；蠕虫表现为一个 IP 地址向多个 IP 地址,通过一个或多个端口发送数据包；病毒邮件则是一个地址，通过 25 端口向多个 IP 地址发数据包。W Chen与DY Yeung将这3 种行为模型称为威胁兴趣关系(threats interestedness relation,简称 TIR)模型。通过对源地址、目的地址、端口进行监控,构建 TIR 树,可有效识别 3 种攻击。

对一个服务器而言，以前访问的用户往往还会再次出现。在 DDoS 发生时，为这些用户提供服务,能够有效地抵御攻击。基于历史IP的过滤方法(history-IP filtering)基于这一原理，根据正常访问源地址出现的频率和相应的数据包数构建了IP地址数据库,并且采用滑动窗口进行过期地址淘汰。在 DDoS 攻击发生时,依据 IP 地址数据库提供的数据服务，直接识别风险IP，从IP源地址开始保证网络安全。

21世纪的今天，DDoS 攻击仍然是互联网安全重要威胁之一。及时更新网络安全设备和软件，检查电脑漏洞，能够有效监测恶意软件，降低操作系统被感染的风险，同时也要提高个人计算机安全防护意识，创造一个安全的计算机使用环境。

网络安全—如何从IP源地址角度，预防DDoS攻击？相关推荐

如何有效预防ddos攻击
DDoS攻击将可能造成网站服务器无法正常运行和访问,从而导致经济损失,可以通过选择DDoS防护的机房.在骨干节点配置防火墙.CDN流量清洗防御.隐藏服务器真实IP地址.利用负载均衡技术等方式来预防DD ...
DDOS-deflate工具：ddos.sh脚本解读（预防DDOS攻击脚本）
DDOS-deflate工具:ddos.sh脚本解读(预防DDOS攻击脚本) [root@server ddos]# cat ddos.sh #!/bin/sh ################### ...
预防ddos攻击常用方法有哪些
ddos攻击就是能够利用受控的机器向一台机器进行发起攻击,这样攻击由于来势迅猛就让攻击难以令人进行防备,也正是如此这种攻击就具有很大的破坏性,如果大家想要预防这种攻击的话就要能按以下方法进行. ...
香港高防ip服务器如何抗击ddos攻击？
香港高防ip服务器如何抗击ddos攻击? 一.DDoS云端保护方案的兴起越来越多的企业正在部署基于云的DDoS缓解服务事实上,估计到2021年,基于云的缓解服务将占DDoS保护支出的70%. 采用基 ...
中小型网站如何预防DDOS攻击
网上虽然说有很多文章都在说:如何防止DDOS攻击?防止DDOS攻击的办法,我个人认为对于中小网站没来说没有一个是真正有效的,要么就是说DDOS攻击防止不了,要么就是说需要花钱. 事实上,这说得并没有错 ...
怎么预防DDOS攻击？ddos云防御
DDOS攻击相信很多人都有所耳闻,因为目前网络上最为频繁发生的攻击种类就是DDOS了,主要原因在于DDOS有效且成本低廉,可以简单粗暴的达到摧毁目标的目的.面对DDOS攻击,正面面对和预防比起来说,正 ...
DDoS高安全性ip服务:解决各种DDoS攻击问题
随着互联网时代的到来,我们的生活和工作离不开互联网.人们在充分享受网络空间便利的同时,也无法避免威胁.其中,DDoS攻击是最常见的形式. 研究表明,DDoS攻击已成为当前网络威胁.勒索的主要载体之一, ...
五种方法教你预防ddos攻击
DDoS攻击是一种常见攻击,可确实是个困扰运维人员最为恼火的问题,可导致网站宕机.服务器崩溃.内容被篡改甚至品牌/财产严重受损.其实防御DDoS攻击除了运维人员日常的一些防范意识及操作外,IDC服务商 ...
Linux服务器IP下了,linux – DDOS攻击下的服务器 – 如何查找IP？
tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more 看一下顶级IP地址.如果有人从其他人中脱颖而出,那些将成 ...

网络安全—如何从IP源地址角度，预防DDoS攻击？

网络安全—如何从IP源地址角度，预防DDoS攻击？相关推荐

最新文章

热门文章