计算机精选高等教育行业资讯
T级攻防:大规模DDOS防御架构
DDOS分类在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。
网络层攻击SYN-FLOOD利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量syn-flood的情况下可以缓解,但流量稍大时完全不抵用。防御syn-flood的常见方法有:synproxy、syncookies、首包(第一次请求的syn包)丢弃等。
ACK-FLOOD对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。DDOS的一种原始方式。
UDP-FLOOD使用原始套接字伪造大量虚假源地址的UDP包,目前以DNS协议为主。
ICMP-FLOODPing洪水,比较古老的方式。
应用层攻击CCChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”,通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的鍖椾含涓鍖婚櫌鐢佃瘽鍖椾含娌荤櫧鐧滈鍝濂?