多层防御策略的DDoS防御是必不可少的,包括专用的边界解决用户的防御和减轻威胁,从网络的各个方面。这些工具应提供反欺骗,
主机认证,数据层和应用层,和协议验证的阈值,基线实现,空闲检测,和基于访问控制列表的位置的黑白列表。
当考虑到特殊的DDoS解决方案,公司需求确认这些方案不仅可以基于应用层DDoS揍和非常有效的阻断技术和模式的DDoS检测,常规揍或习俗,以“学习”来识别交通数据的基础上,接受和异常交通行为模型。流量分析是关键,以协助快速检测和限制的威胁,同时降低了误报。
为了获得更高效的运作,公司也应该寻求提供先进的虚拟化和基于地理位置的DDoS解决方案。位置技术,另一方面,恶意流量可以使公司阻止来自未知或可疑的不相关的来源;地址信息流通过切割从公司外部的机构可以家载资源,并减少终端服务器带宽的消耗。
虚拟化策略,管理员可以在一个单一的设备中创建和审查多个单立的策略域,从而防止网络效应中的辐射对其他部分的揍。防御机制的本质是预设,而不是投注在一组策略,管理员可以事先定义多个配置,在战略是不够的,更严格的策略的应用。
什么是DDoS揍?
DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。 DDoS揍原理: 通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求,使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。常见的DDOS揍有SYN flood、UDP flood、ICMP flood等。其中SYN flood是很常见的一种,其原理是TCP协议设计中得缺陷(3次握手)。在SYN flood揍时,先先伪造大量的源IP地址,分别向服务器发送的大量的SYN包,服务器会返回ACK/SYN包,但是IP是伪造的,所以服务器是不会受到应答的,会重试3-5次,并且等待一个SYN time(一般是39秒到2分钟),如果超时则丢弃这个连接。揍者发送大量的这种伪造源地址的SYN请求,服务端会消耗很多的资源(CPU和内存)来处理这种半连接,同时还要对这些请求进行SYN/ACK重试,很后的结果就是服务器无暇理睬正常的连接请求,导致拒绝服务。
滴盾网络:网站多层防御,DDOS再也不见!
什么是CC揍?
CC揍的前身是一个叫fatboy的揍程序,当时是黑客为了挑战绿盟的一款防DDOS设备启发的。 CC应该算是一个应用层的DDOS,是发生在TCP3次握手已经完成之后,,所以发送的IP都是真实的,但应用层的DDOS又是甚至比网络层的DDOS更可怕,因为今天几乎所有的商业anti-DDOS设备,只在对抗网络层DDOS时效果较好,而对应用层DDOS揍却缺乏有效的手段。CC揍的原理很简单,就是对一些消耗资源交单的应用页面不断地发起正常的请求,以达到消耗服务端资源的目的,在web应用中,查询数据库、读写硬盘文件的操作,相对都会消耗比较多的资源。一个简单的例子,一个小的网站,可能被搜索引擎、信息收集等系统的爬虫爬死,或者是扫描器扫死,这与应用层的DDOS揍的结果很像。
大级别揍运行原理:
1.一个比较完善的DDoS揍体系分成四大部分,先来看一下很重要的第2和第3部分:它们分别用做控制和实际发起揍。请注意控制机与揍机的区别,对第4部分的受害者来说,DDoS的实际揍包是从第3部分揍傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的揍。对第2和第3部分计算机,骇客(cracker)有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自骇客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦骇客连接到它们进行控制,并发出指令的时候,揍傀儡机就成为害人者去发起揍了。
2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的骇客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分揍傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,骇客也是对这个任务很头痛的。这就导致了有些揍机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是骇客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,骇客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台揍机,清理一台计算机的日志对骇客来讲就轻松多了,这样从控制机再找到骇客的可能性也大大降低。
DDOS揍的目的?
骇客一般都出于商业目的,比如有人雇佣骇客对一个网站进行揍,事后给钱;不过如果该网站报警后被查出来幕后黑手的话,那么骇客和这位雇佣骇客的幕后黑手将受到法律严惩!但是通过肉鸡揍的ddos一般在雇佣揍的情况下则比较难查,因为都是专业骇客。
用UDP协议的揍?
很多聊天室,视频音频软件,都是通过UDP数据包传输的,揍者针对分析要揍的网络软件协议,发送和正常数据一样的数据包,这种揍非常难防护,一般防护墙通过拦截揍数据包的特征码防护,但是这样会造成正常的数据包也会被拦截。
针对网游服务器的揍因为网游服务器非常多,这里介绍很早也是影响很大的传奇网游,传奇网游分为登陆注册端口7000,人物选择端口7100,以及网游运行端口7200,7300,7400等,因为网游自己的协议设计的非常复杂,所以揍的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的揍种类,这里介绍目前很普遍的假人揍,假人揍是通过肉鸡模拟网游客户端进行自动注册、登陆、建立人物、进入网游活动从数据协议层面模拟正常的网游玩家,很难从网游数据包来分析出哪些是揍哪些是正常玩家。
以上介绍的几种很常见的揍也是比较难防护的揍。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN,或者变种的SYN,ACK揍效果不错,但是不能从根本上来分析tcp,udp协议,和针对应用层的协议,比如http,网游协议,软件视频音频协议,现在的新的揍越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本没办法很好的防护新型的揍。
防御ddos揍,滴盾网络是您的很佳选择,联系菲菲Q1425386248