常见DDoS技术方法和对应防御措施
- DDOS***是现在最常见的一种******方式,下面就给大家简单介绍一下DDOS的七种***方式。
1.Synflood: 该***以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
2.Smurf:该***向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要***的主机地址。子网上所有主机都回应广播包请求而向被***主机发包,使该主机受到***。
3.Land-based:***者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被***主机,这种包可以造成被***主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4.Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death***,该***会造成主机的宕机。
5.Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。***者可以通过发送两段(或者更多)数据包来实现TearDrop***。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
6.PingSweep:使用ICMP Echo轮询多个主机。
7.Pingflood: 该***在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
DdoS***是***最常用的***手段,下面列出了对付它的一些常规方法。
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是***利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS***和其他一些***。在发现受到***的时候,可以将***导向一些牺牲主机,这样可以保护真正的主机不被***。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范***优秀的系统。
(3)用足够的机器承受******
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给******,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,***已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被***时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被***死机时,另一台将马上工作。从而最大程度的削减了DdoS的***。
(5)过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多******常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将***时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的***。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有******。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用
转载于:https://blog.51cto.com/xiaoxin/74644
常见DDoS技术方法和对应防御措施相关推荐
- 最常见DDOS攻击工具有哪些?怎么防御DDOS攻击?
Botnets是由多个感染的计算机(称为"bots"或"zombies")组成的网络.这些感染的计算机受到攻击者的控制,可以同时发送大量的数据流量到目标网站,导 ...
- 常见漏洞的防御措施整理
文章目录 0x01 注入攻击 风险说明 预防措施 0x02 文件上传漏洞 系统运行时的防御 系统开发阶段的防御 系统维护阶段 0x03 认证会话管理 0x04 访问控制 风险说明 防御措施 0x05 ...
- 常见的DNS攻击与相应的防御措施
DNS查询通常都是基于UDP的,这就导致了在查询过程中验证机制的缺失,黑客很容易利用该漏洞进行分析.DNS服务可能面临如下DNS攻击风险: 黑客伪造客户端源IP地址发送大量的DNS请求报文,造成DNS ...
- 网络攻击常见技术方法及案例分析
一.网络攻击概述 网络攻击:指损害网络系统安全属性的危害行为,危害行为导致网络系统的机密性.完整性.可控性.真实性.抗抵赖性等受到不同程度的破坏 危害行为的四个基本类型:信息泄露攻击.完整性破坏攻击, ...
- DDoS的攻击原理与防御方法
DDoS的攻击原理与防御方法 不可不知DDoS的攻击原理与防御方法 DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Servic ...
- 常见前端安全问题以及防御措施
XSS ( cross-site-scripting ),跨站脚本攻击:注入恶意代码到网页,并使用户加载执行,目的可能是获取当前用户的在这个网站的cookie,从而拿到用户的敏感信息: 分为非持久性攻 ...
- 反射型 DDoS 攻击的原理和防范措施
随着僵尸网络的兴起,同时由于攻击方法简单.影响较大.难以追查等特点,分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥. 成千上万主机组成 ...
- 高防服务器如何进行防御措施
高防服务器进行的防御措施有:1.对高防服务器现有的网络主节点进行定期扫描:2.在高防服务器的骨干节点上配置防火墙:3.通过充足的机器来承受黑客攻击:4.充分利用网络设备保护高防服务器的网络资源:5.将 ...
- 文件上传漏洞总结(含原因+防御措施)+白名单+黑名单+内容、头+解析漏洞/修补方案
文件上传漏洞简单总结+白名单+黑名单+内容.头+解析漏洞/修补方案 问题 什么是文件上传漏洞? 危害? 防御措施? 文件上传(验证/绕过)措施? 前端 js类绕过? 后端 黑名单绕过 特殊解析后缀 . ...
最新文章
- python 一张图画多条线_Gnuplot.py在一张图上绘制多条线
- 硬核!尽量避免 BUG 手法
- asp.net控件开发(二)-简单属性
- php在window磁盘管理,Windows Server 2008R2设置磁盘阵列
- oracle 2018 深圳大会,2018中国科幻大会深圳时间、地点、亮点
- IOS应用之一--异常处理(UncaughtExceptionHandler)
- I2C(smbus、pmbus)、SPI
- 使用花生壳将内网服务发布到外网
- GHGL项目总结-TIPS系统和银行拨付
- 普通代码签名证书和EV代码签名证书的区别
- Switch模拟器调研
- java ssh实现原理_SSH三大框架的工作原理及流程
- centos7 安装 Firefox
- Kettle连接MySQL数据库找不到驱动问题解决
- 培训班学java学到什么程度可以出去工作了?
- j-flash烧写NXP的S32k1**系列单片机(jlink)
- ccproject西西进度计划编制软件最新版11.35发布
- yolov7 网络架构深度解析
- 入门学习次世代游戏3D建模,你应该弄懂这10件事情
- 快速查询百世快递物流状态,是否签收
热门文章
- 基于React开发范式的思考:写在Lesx发布之际
- iOS逆向工程——非越狱调试
- 最常用的动态sql语句梳理Mybatis(转)
- office professional 2010 key
- 世界十大无法科学解释灵异事件(进来发表自己看发)
- .net知识和学习方法系列(十四)TraceListener的应用
- 回文算法java实现_java算法题:最长回文串
- 写给深圳首期Python自动化开发周未班的信
- Latex排版全解(转)
- 保存现场数据和状态:onSaveInstanceState\onRestoreInstanceState\onCreate()