攻击流量到底多大,这是一个关键问题。攻击量的大小。用的防护方法不一样。下面给你讲一讲,1G之内的防护方式。费用在,<1万,每月

  谈到DDoS防御,首先就是要知道到底遭受了多大的攻击。这个问题看似简单,实际上却有很多不为人知的细节在里面。

以SYN Flood为例,为了提高发送效率在服务端产生更多的SYN等待队列,攻击程序在填充包头时,IP首部和TCP首部都不填充可选的字段,因此IP首部长度恰好是20字节,TCP首部也是20字节,共40字节。

对于以太网来说,最小的包长度数据段必须达到46字节,而攻击报文只有40字节,因此,网卡在发送时,会做一些处理,在TCP首部的末尾,填充6个0来满足最小包的长度要求。这个时候,整个数据包的长度为14字节的以太网头,20字节的IP头,20字节的TCP头,再加上因为最小包长度要求而填充的6个字节的0,一共是60字节。

但这还没有结束。以太网在传输数据时,还有CRC检验的要求。网卡会在发送数据之前对数据包进行CRC检验,将4字节的CRC值附加到包头的最后面。这个时候,数据包长度已不再是40字节,而是变成64字节了,这就是常说的SYN小包攻击,数据包结构如下:

|14字节以太网头部|20字节IP头部|20字节TCP|6字节填充|4字节检验|

|目的MAC|源MAC|协议类型| IP头 |TCP头|以太网填充 | CRC检验 |

到64字节时,SYN数据包已经填充完成,准备开始传输了。攻击数据包很小,远远不够最大传输单元(MTU)的1500字节,因此不会被分片。那么这些数据包就像生产流水线上的罐头一样,一个包连着一个包紧密地挤在一起传输吗?事实上不是这样的。

以太网在传输时,还有前导码(preamble)和帧间距(inter-frame gap)。其中前导码占8字节(byte),即64比特位。前导码前面的7字节都是10101010,1和0间隔而成。但第八个字节就变成了10101011,当主机监测到连续的两个1时,就知道后面开始是数据了。在网络传输时,数据的结构如下:

|8字节前导码|6字节目的MAC地址|6字节源MAC地址|2字节上层协议类型|20字节IP头|20字节TCP头|6字节以太网填充|4字节CRC检验|12字节帧间距|

也就是说,一个本来只有40字节的SYN包,在网络上传输时占的带宽,其实是84字节。

有了上面的基础,现在可以开始计算攻击流量和网络设备的线速问题了。当只填充IP头和TCP头的最小SYN包跑在以太网络上时,100Mbit的网络,能支持的最大PPS(Packet Per Second)是100×106 / (8 * (64+8+12)) = 148809,1000Mbit的网络,能支持的最大PPS是1488090。

[李景山php] ddos 防御基础相关推荐

  1. 针对基础网络该如何做好DDOS防御?

    今天向一个企业老总学习请教的过程中,聊到了现下关于DDOS攻防的问题.老总说找攻击的高于找防御的.为什么呢?因为大家都知道防御的成本比较高,攻击成本小,而且一部分人抱着他让我不好过,我就要让他更不好过 ...

  2. 浅析大规模DDOS防御架构:应对T级攻防

    目录 DDOS分类 网络层攻击 应用层攻击 攻击方式 混合型 反射型 流量放大型 脉冲型 链路泛洪 多层防御结构 ISP/WAN层 CDN/Internet层 DC层 链路带宽 不同类型的企业 大型平 ...

  3. DDOS防御的发展和演变

    DDOS攻击是目前最强大.最难防御的网络攻击之一,主要通过大量合法的请求占用大量网络资源,从而使正常的用户无法访问.二十年来,DDoS一直是网络犯罪分子进行攻击的一个重要的工具,现在发展得也越来越强大 ...

  4. 防Ddos文献之应对篇-DDoS防御方案

    在上一篇文章<防Ddos文献之敌情篇-DDoS攻击原理>中我们给大家介绍了DDoS攻击的攻击原理,在这篇文章中我们将教大家如何应对这种令人头疼的DDoS攻击. 应对篇 --DDoS防御方案 ...

  5. 如何编写ddos防御脚本

    DDoS攻击的主要手段是通过大于管道处理能力的流量淹没管道或通过超过处理能力的任务使系统瘫痪,所以理论上只要攻击者能够获得比目标更强大的"动力",目标是注定会被攻陷的,对DDoS攻 ...

  6. T级攻防:大规模DDOS防御架构

    T级攻防:大规模DDOS防御架构 DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的 ...

  7. 浅析大规模DDOS防御架构-应对T级攻防

    ayazero · 2015/09/18 0:57 文章转载自:www.ayazero.com/?p=75 0x00 导读 0x01 DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类 ...

  8. DDOS防御的8种方法

    DDoS防御的8种方针详解 对于DDoS防御的理解: 对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定 的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御9 ...

  9. Amazon Shield Advanced 更新 – 自动应用程序层 DDoS 防御

    前言 2016 年,我们启动了 Amazon Shield https://aws.amazon.com/cn/blogs/aws/aws-shield-protect-your-applicatio ...

最新文章

  1. 网络拓扑图一般用什么软件画_视频后期一般用什么软件
  2. idea启动springboot卡_写给新手看的 Spring Boot 入门学习指南
  3. jQuery的弹出窗口插件colorbox
  4. 如何自行找出 SAP Spartacus 查询用户信息的 API Service 类
  5. Quarkus的其他(非标准)CDI功能
  6. promise的理解和应用
  7. 以后别写程序了,几个程序员很有用的源码网站奉献给大家
  8. 创新方法(TRIZ)理论及应用
  9. 解决Android Studio卡在Gradle:Resolve dependecies ‘app:_debugCompile‘问题
  10. flex 内嵌js文件
  11. OGRE实现纸娃娃系统
  12. R6-1 Python人民币美元双向兑换 (10 分)习题解答
  13. 安卓App版权申请流程
  14. 【POI2004】【Bzoj2069】T2 洞穴 zaw
  15. IO编程,真的很简单
  16. 关于标准电阻阻值的说明(E6、E12、E24、E48、E96、E192)
  17. Python 中的三元运算符,三目表达式
  18. 单片机自定义延时函数Delay取值详解
  19. pytorch 回归问题实战
  20. 智商捉急人士求金融数学与matlab相关指导

热门文章

  1. 在python做对应分析_案例6:SPSS--对应分析
  2. matlab7 fig exe 阴影,Matlab 生成完全独立运行的 EXE文件的问题请教
  3. Hackthebox靶场连接
  4. Web3.0 对网络安全世界的影响
  5. lisp语言与python_5种语言混合编程:C 、JS、python、Lisp、汇编
  6. hicharts堆叠柱状图堆叠数据标签显示百分比
  7. Multiclass Weighted Loss for Instance Segmentation of Cluttered Cells
  8. aptx与ldac音质区别_aptx跟ldac差距大么
  9. Android源码编译(Ubuntu 14.04)
  10. DPDK Rx flexible descriptor 在Intel E810 网卡中的使用