记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网络安全老司机教你五步七招,开启最强DDoS攻防战!

2017-03-18 06:50

网络安全老司机教你五步七招,开启最强DDoS攻防战!

可怕的DDoS

出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等特点,DDoS攻击已经演变成全球性网络安全威胁。

危害

根据卡巴斯基2016Q3的调查报告,DDoS攻击造成61%的公司无法访问其关键业务信息,38%公司无法访问其关键业务,33%的受害者因此有商业合同或者合同上的损失。

\

趋势

总结起来,现在的DDoS攻击具有以下趋势:

1国际化

现在的DDoS攻击越来越国际化,而我国已经成为仅次于美国的第二大DDoS攻击受害国,而国内来自海外的DDoS攻击源占比也越来越高。

2超大规模化

因为跨网调度流量越来越方便、流量购买价格越来越低廉,现在DDoS攻击流量规模越来越大。特别是2014年底,某云还遭受了高达450Gbps的攻击。

\

3市场化

市场化势必带来成本优势,现在各种在线DDoS平台、肉鸡交易渠道层出不穷,使得攻击者能以很低的成本发起规模化攻击。针对流量获取方式的对比可以参考下表。

\

DDoS攻击科普

DDoS的攻击原理,往简单说,其实就是利用TCP/UDP协议规律,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者网络的目的,下面我们先简单回顾TCP“三次握手”与“四次挥手”以及UDP通信流程。

TCP三次握手与四次挥手

\

TCP建立连接:三次握手

1.client: syn

2.server: syn+ack

3.client: ack

TCP断开连接:四次挥手

1.client: fin

2.server: ack

3.server: fin

4.client: ack

UDP通信流程

\

根据上图可发现,UDP通信是无连接、不可靠的,数据是直接传输的,并没有协商的过程。

攻击原理与攻击危害

按照攻击对象的不同,将攻击原理和攻击危害的分析分成3类,分别是攻击网络带宽资源、应用以及系统

攻击网络带宽资源:

\

攻击系统资源:

\

攻击应用资源:

\

DDoS防护科普

攻击防护原理

从TCP/UDP协议栈原理介绍DDoS防护原理:

\

syn flood:

可以在收到客户端第三次握手reset 、第二次握手发送错误的ack,等Client回复Reset,结合信任机制进行判断。

ack flood:

丢弃三次ack,让对方重连:重发syn建立链接,后续是syn flood防护原理;学习正常ack的源,超过阈值后,该ack没有在正常源列表里面就丢弃ack三次,让对方重连:重发syn建立链接,后续是syn flood防护。

udp flood:

\

不同层面的防护

1按攻击流量规模分类

较小流量:

小于1000Mbps,且在服务器硬件与应用接受范围之内,并不影响业务的: 利用iptables或者DDoS防护应用实现软件层防护。

知识来源: www.2cto.com/article/201703/613729.html

阅读:105585 | 评论:0 | 标签:ddos

想收藏或者和大家分享这篇好文章→复制链接地址

“网络安全老司机教你五步七招,开启最强DDoS攻防战!”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云