针对DDoS攻击异常流量攻击统计
基本目标
时发现异常的流量攻击事件,并且自动上报清洗平台,完成流量清洗
攻击检测
Syn flood
基于检测对象,对pps做汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口
Ack flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口
Udp flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口
ICMP flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口
Http get flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口
Http post flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口
Https
基于检测对象,对就445端口的psh+ack报文pps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口
DNS Flood
基于检测对象,对bps或pps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口
NTP 放大攻击
基于检测对象,对源端口123 的报文pps汇聚统计,超过阈值告警触发,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口
HTTP慢速攻击
基于检测对象,对http访问异常的报文数据进行统计,发现异常产生告警。
连接攻击
基于检测对象,当并发和累计连接数超出阈值时产生告警
空路由
基于防护对象,当流量超过设备阈值,产生空路由告警,并通知第三方设备完成黑洞路由流量清洗的功能
智能检测
自动检测到payload异常,并能够形成防护规则
关于检测对象的定义:
对象可以是一个IP、或一组IP、或网段也可以是离散的IP,检测策略应用到防护对象
统计周期,包括5分钟,最近3小时,最近24小时,1周,1月,一年
流量基线学习
基于防护对象流量的学习,包括bps,pps,学习
基于防护对象tcp协议各种标记位的学习,包括syn,ack,rst,fin, psh+ack,单位pps
基于防护对象各种协议流量的学习,包括tcp,udp,icmp,other ,单位bps,pps
基于防护对象应用层防护流量的学习,包括http get, dns query, 单位qps,pps
基于防护对象包长比例的学习,0-64,,74-100,100-500,500-1000,1000-15000
流量自学习能够自动生成防护对象的策略参数上传到管理平台,并应用防护设备
HTTP协议分析
基于防护对象统计周期内的get,post,put各种方法的统计
基于防护对象在统计周期内response的各种返回的code统计,包括1xx,2xx,3xx,4xx,5xx,other
基于防护对象TOPn URL访问统计分析
基于防护对象TOPN 源IP流量访问统计,包括bps,pps,total
DNS协议分析
基于防护对象在统计周期内dns query统计,单位bps/pps
基于防护对象在攻击周期内容dns reponse报文类型统计
连接分析
基于防护对象在统计周期内的并发连接数和新建连接数的统计分析
基于防护对象长连接的流量分析,显示连接的5元组信息以及bps,pps流量数据,并topn排序
源IP流量分析
基于防护对象源IP流量在统计周期内的topn分析
策略管理
2级防护策略,基于检测对象和全局对象进行策略管理
CLI接口对检测策略进行管理,直接应用到防护引擎
restful接口,能够接受集中管理平台的管理
数据上传
检测器定期输出流量和日志数据上传给管理平台,用于生成报表和实时状态监控
联动方式
将判断是攻击的IP相关信息通告给管理平台,通讯方式包括
- Http post
- 内部自定义通讯协议
- 攻击告警发生后,检测设备能够将告警信息同步给防护设备完成流量牵引,或者是通知第三方设备进行黑洞空路由
针对DDoS攻击异常流量攻击统计相关推荐
- TCP连接耗尽攻击异常报文攻击与防御
TCP连接耗尽攻击与防御 TCP是面向连接的协议,其通信双方必须保持连接状态,并且通过确认.重传.滑动窗口等机制,保证数据传输的可靠性和稳定性.攻击者利用 TCP 的上述特点,利用TCP连接消耗被攻击 ...
- TCP原理篇之连接耗尽攻击异常报文攻击
在前面的两篇贴子中,我们逐一介绍了利用TCP各种报文进行的Flood类攻击,以及华为Anti-DDoS解决方案的应对措施.由于TCP协议的重要性,攻击者们绞尽脑汁寻找协议可利用的弱点,针对TCP的攻击 ...
- 扒一扒流量攻击那些事
首先常见的网站攻击有两种: 1,流量攻击,就是我们常说的DDOS和DOS等攻击,这种攻击属于最常见的流量攻击中的带宽攻击,一般是使用大量数据包淹没一个或多个路由器.服务器和防火墙,使你的网站处于瘫痪状 ...
- 网站被流量攻击了,如何解决
最近是业务的爆发期,很多找到我想做防御的网站业务基本上都面临着一个问题,服务器商那边发来通知,服务器被流量攻击了,这个只要超过机器的一个阈值就会造成马上封机进黑洞的后果,从而造成业务上的影响,今天我就 ...
- 使用NetFlow分析网络异常流量
一.前言 近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具.然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响 ...
- 怎样使用NetFlow分析网络异常流量一
一.前言 近年来,随着 互联网在全球的迅速发展和各种 互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具.然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来, ...
- DPtech 异常流量清洗技术白皮书
一. 概述 1.1. 背景 拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求.而随着僵尸网络的兴起,同时 ...
- 使用NetFlow分析互联网网络异常流量
PS:论坛里一位网友提出的问题,自己也不会,在网上找了点资料,还是感觉这篇文章比较详细.. [摘要]本文从互联网运营商的视角,利用NetFlow分析手段,对互联网异常流量的特征进行了深入分析,进而提出 ...
- 遇到流量攻击怎么办?DDOS防护怎么做
我们知道DDOS攻击是通过各种手段消耗网络带宽和系统CPU.内存.连接数等资源,直接造成网络带宽耗尽或系统资源耗尽,使得该目标系统无法为正常用户提供业务服务,从而导致拒绝服务.常规流量型的DDOS防护 ...
最新文章
- shell中竖线的作用_如何在 Linux 中安装、配置和使用 Fish Shell?
- 基于 SpringBoot 的仿豆瓣平台【源码分享】
- python count()计算字符出现的频数
- android clipChildren的使用
- 实验详解——DNS网关服务器的分离解析
- SharePoint 2010无法使用外部asp.net web应用程序调试的解决办法
- Marketing Cloud profile界面功能介绍
- Python获取电脑CPU序列号、主板序列号、BIOS序列号、硬盘序列号列表、网卡MAC地址
- mysql项目数据库文档_项目mysql数据库
- 从零基础入门Tensorflow2.0 ----九、44.5 keras转换成具体函数
- 【数学】3D数学基础
- 烟台蓬莱机场停车费一天多少钱,烟台机场停车哪里便宜
- android 简书代码截图工具,Android 截屏
- dp 完全背包问题python
- Python的m3u8下载器源码
- 如何将文件夹打成jar包
- excel跑数计算机卡,win7系统下使用excel表格很卡如何解决
- 图书馆抢座系统(python) 附源码
- 添加滑条进行图像叠加
- 操作系统文件管理实验
热门文章
- MathType在word中的安装使用方法(要配合microsoft公式3.0才能使用)(ps:弄得不好可能造成word中Ctrl+V失灵)
- 通读Docs - 《OPL1000 自学整理教程》
- 针对salaries表emp_no字段创建索引idx_emp_no,查询emp_no为10005, 使用强制索引。
- [python爬虫]爬取微信公众号
- OpenCV_03 Numpy库和Mat
- thymeleaf 修改css,用thymeleaf设置CSS样式属性
- 使用cvMatchShapes对旋转物体的跟踪
- 英特尔核显驱动hd630_AMD与英特尔彻底失去合作关系?中止Kaby Lake-G更新支持
- 求1000以内的“完数”
- 【大数据开发】SparkSQL——RDD、DataFrame、DataSet相互转换、DSL常用方法、SQL风格语法、Spark读写操作、获取Column对象的方式