ps和dw做网站,郑州seo怎么做,wordpress文章存在哪里,爱战网关键词挖掘机网络层攻击防御 网络层攻击防御主要分为以下三类#xff1a;
TCP类报文攻击防御 UDP类报文攻击防御 ICMP类报文攻击防御
TCP类报文攻击防御 TCP正常的交互过程#xff1a;
图#xff1a;TCP正常交互过程 在TCP/IP协议中#xff0c;TCP协议提供可靠的连接服务#xff0c…网络层攻击防御 网络层攻击防御主要分为以下三类
TCP类报文攻击防御 UDP类报文攻击防御 ICMP类报文攻击防御
TCP类报文攻击防御 TCP正常的交互过程
图TCP正常交互过程 在TCP/IP协议中TCP协议提供可靠的连接服务采用三次握手建立一个连接。
第一次握手建立连接时客户端发送SYN包到服务器等待服务器确认。 第二次握手服务器收到SYN包回应一个SYN-ACK包。 第三次握手客户端收到服务器的SYN-ACK包向服务器发送确认包ACK此包发送完毕完成三次握手。
如果服务器发出的SYN-ACK包异常客户端会发送一个RST包给服务器服务器重新回到等待状态。 TCP采用四次握手来关闭一个连接。
第一次握手客户端发送FIN包到服务器表示客户端没有数据要向服务器发送了等待服务器确认。 第二次握手服务器收到FIN包发送ACK包来确认客户端的FIN包如果服务器数据还没传完则不发送FIN包。 第三次握手当服务器没有数据要向客户端发送时服务器发送FIN包到客户端并等待客户端最终确认。 第四次握手客户端收到FIN包发出ACK包来确认服务器的FIN包此包发送完毕完成四次握手双方连接断开。
SYN Flood攻击原理与防御 **SYN flood攻击是虚假源攻击典型代表**此类攻击的最显著特点就是发送海量变源或变源端口的报文到受害主机耗尽受害主机资源或网络资源。 攻击原理 SYN Flood攻击是通过伪造一个源地址的SYN报文发送给受害主机受害主机回复SYN-ACK报文给这些地址后不会收到ACK报文导致受害主机保持了大量的半连接直到超时。这些半连接可以耗尽主机资源使受害主机无法建立正常TCP连接从而达到攻击的目的。
制造大量半开连接SYN SYNACK), 造成服务器资源消耗形成拒绝服务攻击。 伪造报文一般源IP地址不存在或者不可达大量的半开连接消耗了服务器的资源是服务器无法处理正常的连接请求。
防火墙和Anti-DDoS设备防御方式简要对比 针对虚假源NGFW防火墙 方法一 TCP代理 (proxy 缺点大量的半开连接都在防火墙建立。看防火墙性能。 方法二: TCP源探测 伪装SYN -------------回应错误的SYNACK RST-------------------证明是真实源 方法三首包丢弃TCP源探测 配置 全局开启 anti-ddos syn-flood source-detect alert-rate 3000 接口调用 interface GigabitEthernet0/0/2 anti-ddos flow-statistic enable 123456
针对虚假源,Anti-ddos 防御方法 (1).首包丢弃 (2).源认证 伪装SYN -------------达到阈值触发源认证------发送正确SYNACK 如果是伪装源SYN回应不了ACK 如果是真实的源回ACK加入白名单 再发RST 针对于真实源,限速
(1) TCP异常限速 (比例限速 非ACK与ACK设置比例) (2) 始终限速,除了ACK以后其它都限速 以下为各自详细防御原理介绍。
Anti-DDoS防御方法 针对虚假源攻击防御原理 Anti-DDoS设备基于目的地址对SYN报文速率进行统计当SYN报文速率超过阈值时启动源认证防御。 基本源认证Error-seq
图Anti-DDoS基本源认证防御SYN Flood原理 Anti-DDoS设备接收到SYN报文发送SYN-ACK探测报文到SYN报文中的源IP地址。 Anti-DDoS设备通过校验接收到的对探测报文的响应报文的真实性来确认源IP地址的真实性以防止虚假源攻击。 如果没有响应报文则表示之前的SYN报文为攻击Anti-DDoS设备不会将该SYN报文发给被防护服务器有效终止了攻击。 如果有响应报文Anti-DDoS设备验证响应报文是否为真实的报文如果真实则表示该源IP地址通过源认证Anti-DDoS设备将该源IP地址加入白名单在白名单老化前从此源IP地址发出的SYN报文都直接被Anti-DDoS设备转发。白名单老化时间可配置。 未匹配白名单的源IP地址发出的SYN报文则继续被探测。 高级源认证Right-seq
图Anti-DDoS设备高级源认证防御SYN Flood的处理过程 针对真实源攻击防御方式 真实源IP限速。 源IP加入白名单之后将继续对真实源IP进行统计分析对异常的源IP进行限速以防止真实源发起攻击。 SYN-Ratio异常限速基于加入白名单的源来统计SYN报文与SYN报文ACK报文的比例当这个比例在配置时间内超过“SYN-Ratio比例阈值”时判定源IP地址异常则开始对单位时间内该源的SYN报文进行限制具体机制如下
在配置的检测duration时间段内基于加入白名单的源IP来统计SYN报文和SYN报文ACK报文的比例。如果该时间段内没有SYN报文或者ACK报文则不刷新该时间段内SYN报文和ACK报文的比例以及各自的报文数该检测时间段为无效统计duration区间。SYN报文和ACK报文的有效比例值仍按照上一有效duration区间的比值来判断当前是否仍然存在攻击是否需要继续执行限速。 当SYN-Ratio检测出异常则需要执行限速。 限速 (1) TCP异常限速 (比例限速 非ACK与ACK设置比例) (2) 始终限速,除了ACK以后其它都限速
防火墙防御方法 1TCP代理proxy TCP代理是指我们的FW部署在客户端和服务器中间当客户端向服务器发送的SYN报文经过FW时FW代替服务器与客户端建立三次握手。一般用于报文来回路径一致的场景。
图TCP代理报文交互过程
如上图所示FW收到SYN报文对SYN报文进行拦截代替服务器回应SYN-ACK报文。 如果客户端不能正常回应ACK报文则判定此SYN报文为非正常报文FW代替服务器保持半连接一定时间后放弃此连接。 如果客户端正常回应ACK报文FW与客户端建立正常的三次握手则判定此SYN报文为正常业务报文非攻击报文。FW立即与服务器再建立三次握手此连接的后续报文直接送到服务器。
整个TCP代理的过程对于客户端和服务器都是透明的。 TCP代理过程中FW会对收到的每一个SYN报文进行代理和回应并保持半连接所以当SYN报文流量很大时对FW的性能要求非常的高。 但是TCP代理只能应用在报文来回路径一致的场景中如果来回路径不一致代理就会失败。
缺点大量的半开连接都在防火墙建立。看防火墙性能。
2TCP源探测 TCP源认证是FW防御SYN flood攻击的另一种方式没有报文来回路径必须一致的限制所以应用更普遍。
图TCP源探测报文交互图 TCP源认证对客户端的源只做一次验证通过后就加入白名单后续就不会每次都对这个源的SYN报文做验证这样大大提高了TCP源认证的防御效率和防御性能可以有效缓解FW性能压力。 (3)方法三首包丢弃TCP源探测
SYN-ACK Flood攻击与防御 简要笔记
SYNACK flood 攻击原理
发送大量伪造SYNACK消耗依赖于会话表的设备性能
防御原理 源认证: 伪装SYNACK ----------触发阈值以后------SYN 如果能回SYNACK 加入白名单 如果不能SYNACK那就虚假源 SYN-ACK Flood攻击的最大特点是报文源属于虚假源且目的经常为现网存在的对外提供的服务器IP地址。通过对报文源的真实性检查来防御SYN-ACK Flood攻击。 攻击原理 SYN-ACK Flood攻击源会假冒服务器发送大量SYN-ACK报文到攻击目标网络如果网络出口有依靠会话转发的网络设备比如防火墙、IPS等设备则大量的SYN-ACK报文会导致这类网络设备处理性能降低甚至会话耗尽。 另外SYN Flood的反射攻击也可能造成服务器发送大量的SYN-ACK报文。 防御原理 对于防护对象SYN-ACK Flood防御Anti-DDoS设备基于目的地址对SYN-ACK报文速率进行统计当SYN-ACK报文速率超过告警阈值时启动源认证防御。 对于服务的SYN-ACK Flood防御当超过告警阈值时Anti-DDoS设备直接丢弃SYN-ACK报文。
图源认证防御SYN-ACK Flood Anti-DDoS设备接收到SYN-ACK报文发送SYN探测报文到SYN-ACK报文中的源IP地址。 Anti-DDoS设备通过源IP地址对探测报文的响应报文校验源是否真实存在以防止虚假源攻击。 如果没有响应报文则表示之前的SYN-ACK报文为攻击Anti-DDoS设备不会将该SYN-ACK报文发给被防护目标有效终止了攻击。 如果有响应报文Anti-DDoS设备验证响应报文是否为探测报文的回应报文如果是则Anti-DDoS设备将该源IP地址加入白名单在白名单老化前从此源IP地址发出的SYN-ACK报文都直接被Anti-DDoS设备转发。白名单老化时间可配置。 未匹配白名单的SYN-ACK报文则继续被探测 ACK Flood攻击与防御原理 简要笔记
攻击原理
伪造大量ACK报文拥塞链路消耗依赖于会话转发设备性能服务器资源耗尽
防御方法 (1会话检查 严格模式-----Anti-ddos部署直路模式 必须匹配会话表匹配通过不匹配丢弃 基本模式-----Anti-ddos部署旁路模式 匹配会话-------需要检查序列号序列号正确通过 不匹配会话-------第一个ACK可以通过建立会话表后续ACK匹配源地址 2载荷检查 攻击原理 攻击者利用僵尸网络发送大量的ACK报文通常会造成以下三种情况的危害。
如果是带有超大载荷的ACK Flood攻击会导致链路拥塞。 如果是极高速率的变源变端口ACK Flood攻击很容易导致依靠会话转发的设备转发性能降低甚至会话耗尽造成网络瘫痪。 如果攻击报文到达服务器则导致服务器处理性能耗尽从而拒绝正常服务。
防御原理 会话检查 通常情况下当ACK报文速率超过阈值时Anti-DDoS设备启动对ACK报文的会话检查。 会话检查成功的源加入白名单。白名单可以减少会话检查对正常业务的转发延迟影响。 严格模式 直路部署组网中建议采用“严格模式”。
如果ACK报文没有命中会话表则Anti-DDoS设备直接丢弃ACK报文。 如果ACK报文命中会话表则继续检查报文序列号序列号正确的报文允许通过不正确的报文则被丢弃。 基本模式 旁路部署动态引流时由于报文来回路径不一致对于引流前已经建立的会话Anti-DDoS设备上检查不到会话此时建议采用“基本模式”。当连续一段时间内ACK报文速率超过阈值时启动会话检查“基本模式”。
如果ACK报文没有命中会话表Anti-DDoS设备会允许第一个ACK报文通过并建立会话然后对后续ACK报文进行会话检查以确定是否允许后续同源IP发送的ACK报文通过。 如果ACK报文命中会话表则继续检查报文序列号序列号正确的报文允许通过不正确的报文则被丢弃。 载荷检查 载荷检查是Anti-DDoS设备对会话检查通过的报文进行的进一步验证如果ACK报文载荷内容全一致如载荷内容全为1等则丢弃该报文因为正常报文的载荷内容不会完全一致。 只有启用了“会话检查”才能启用“载荷检查”。 FIN/RST Flood攻击与防御原理 简要笔记
攻击原理
同ACK
防御方法
会话检查 (1) 不能匹配会话丢弃 (2匹配会话分2种情况
第一种情况 会话由SYN或SYNACK创建的通过 第二种情况 会话由ACK创建需要检查序列号正确通过 攻击原理 攻击者利用僵尸网络发送大量的变源变端口FIN/RST报文攻击这些攻击到达依靠会话转发的设备上很容易导致转发设备性能降低甚至会话耗尽造成网络瘫痪从而拒绝正常服务。 防御原理 当FIN/RST报文速率超过阈值时启动会话检查。
如果Anti-DDoS设备检查到FIN/RST报文没有命中会话直接丢弃报文。 如果Anti-DDoS设备检查到FIN/RST报文命中会话则根据会话创建原因和会话检查结果来判断该报文是否通过。
如果会话是由SYN或SYN-ACK报文创建的则允许该FIN/RST报文通过。 如果会话是由其他报文创建的例如ACK报文则进一步检查报文序列号是否正确序列号正确的报文允许通过不正确的报文则被丢弃。 TCP连接耗尽攻击与防御原理 攻击原理 连接耗尽攻击是指攻击者通过僵尸网络向服务器发起大量的TCP连接耗尽服务器的TCP连接资源。连接耗尽一般有以下几种攻击类型
完成三次握手后不发送任何报文一直维持这些TCP连接。 完成三次握手后立刻发送FIN或RST报文释放本端连接同时快速发起新的连接。 连接过程中呈现给服务器端很小的TCP windows size导致服务器TCP协议栈资源耗尽。 发送大量TCP重传请求以很小的流量即可导致被攻击网络上行链路拥塞。
防御原理 针对此攻击会耗尽服务器的TCP连接资源的特点Anti-DDoS设备对目的IP地址的新建连接速率和并发连接数分布进行统计当新建连接速率或并发连接数大于阈值时则触发对源IP地址的相应检查当检查发现异常时将异常源IP地址加入黑名单切断其TCP流量。 源IP地址新建连接速率检查启动源IP地址新建连接速率检查后如果某个源IP地址在检查周期内发起的TCP新建连接数大于阈值则将该源IP地址判定为攻击源。 源IP地址并发连接数检查启动源IP地址并发连接数检查后如果某个源IP地址的TCP并发连接数大于阈值则将该源IP地址判定为攻击源。 慢速连接速率检查启动慢速连接速率检查后统计同一源IP地址对同一目的IP地址的连接次数在各统计时间间隔内如果连续多次连接数相同则判定为TCP慢速连接攻击。 **异常会话检查**如果在检查周期内某个源IP地址发起的TCP异常会话的连接数大于阈值时则将该源IP地址判定为攻击源。判定TCP异常会话依据如下
空连接检查如果在检查周期内在某条TCP连接上通过的报文数小于阈值则判定该连接为异常连接。 重传会话检查当某条TCP连接上重传报文数量大于阈值时则判定该连接为异常连接。 慢启动连接检查当某条TCP连接上通过的报文窗口小于阈值时则判定该连接为异常连接。
当异常会话数超过一定数量时将此源加入黑名单。异常会话数量可配置。 TCP分片攻击与防御原理 攻击原理 正常的网络流量中很少出现TCP分片报文如果网络中TCP分片报文增多则很可能正受到DDoS攻击**。攻击者向攻击目标发送大量的TCP分片报文**通常会造成以下危害
大量的TCP分片报文消耗带宽资源造成被攻击者的响应缓慢甚至无法正常回应。 网络设备或服务器收到大量的TCP分片报文会进行分片重组这样会导致网络设备或服务器的性能降低甚至无法正常工作。
防御原理 TCP分片分为首分片和后续分片Anti-DDoS设备只对首分片执行防御动作如果首分片异常被丢弃了后续分片因找不到首分片的会话会直接被后续转发流程丢弃。Anti-DDoS设备基于目的地址对TCP首分片报文速率进行统计当TCP首分片报文速率超过阈值时按照以下处理方式
首先检查报文源IP地址是否命中白名单如果没有命中白名单则将该源IP所有发送的TCP分片报文直接丢弃。 如果命中白名单则报文允许通过。 对于真实源发送的分片报文攻击Anti-DDoS设备还支持对分片报文限速。
TCP异常报文攻击与防御原理 攻击原理 TCP报文标志位包括URG、ACK、PSH、RST、SYN、FIN六位攻击者通过发送非法TCP flag组合的报文对主机造成危害。 防御原理 检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN如果标志位异常则认为是TCP异常报文。当TCP异常报文的速率大于告警阈值时将所有TCP异常报文全部丢弃并记录攻击日志。
6个标志位全为1。 6个标志位全为0。 SYN和FIN位同时为1。 SYN和RST位同时为1。 FIN和RST位同时为1。 PSH、FIN和URG位同时为1。 仅FIN位为1。 仅URG位为1。 仅PSH位为1。 SYN/RST/FIN标记位为1的分片报文。 带有载荷的SYN、SYN-ACK报文。
UDP类报文攻击与防御 UDP Flood攻击与防御原理 UDP类攻击中的报文源IP和源端口变化频繁但报文负载一般保持不变或具有规律的变化。防御有效方法是使用关联防御和指纹学习。 简要笔记
攻击原理
发送大量伪造UDP报文来拥塞链路消耗设备和服务器性能。
Anti-ddos 防御方法 (1) 关联TCP防御 想法发UDP报文触发阈值启动TCP报文 (2) 指纹学习 UDP分片攻击
防御方法指纹学习
NGFW 防御方法
指纹学习 分片指纹学习 限流 攻击原理 攻击者通过僵尸网络向目标服务器发起大量的UDP报文这种UDP报文通常为大包且速率非常快通常会造成以下危害。从而造成服务器资源耗尽无法响应正常的请求严重时会导致链路拥塞。
一般攻击效果是消耗网络带宽资源严重时造成链路拥塞。 大量变源变端口的UDP Flood会导致依靠会话转发的网络设备性能降低甚至会话耗尽从而导致网络瘫痪。 如果攻击报文达到服务器开放的UDP业务端口服务器检查报文的正确性需要消耗计算资源影响正常业务。
Anti-DDoS防御原理 载荷检查和指纹学习 当攻击报文负载有特征时则可以采用动态指纹学习或特征过滤防御。
载荷检查当UDP流量超过阈值时会触发载荷检查。如果UDP报文数据段内容完全一样例如数据段内容都为1则会被认为是攻击而丢弃报文。 指纹学习当UDP流量超过阈值时会触发指纹学习。指纹由Anti-DDoS设备动态学习生成将攻击报文的一段显著特征学习为指纹后匹配指纹的报文会被丢弃。动态指纹学习适用于以下类型的UDP Flood攻击。
报文载荷具有明显特征。 报文负载内容完全一致。 图UDP指纹学习 UDP Flood关联TCP类服务防范 UDP是无连接的协议因此无法通过源认证的方法防御UDP Flood攻击。如果UDP业务流量需要通过TCP业务流量认证或控制则当UDP业务受到攻击时对关联的TCP业务强制启动防御用此TCP防御产生的白名单决定同一源的UDP报文是丢弃还是转发。 比如有些服务例如游戏类服务是先通过TCP协议对用户进行认证认证通过后使用UDP协议传输业务数据此时可以通过验证UDP关联的TCP类服务来达到防御UDP Flood攻击的目的。当UDP业务受到攻击时对关联的TCP业务强制启动防御通过关联防御产生TCP白名单以确定同一源的UDP流量的走向即命中白名单的源的UDP流量允许通过否则丢弃。
图UDP Flood关联TCP类服务防御过程 防火墙防御原理 UDP指纹学习 TCP关联防御 限流 FW采用限流技术对UDP flood攻击进行防范将去往同一目的地址的UDP报文限制在阈值之内直接丢弃超过阈值的UDP报文以避免网络拥塞。 由于限流技术本身无法区分正常转发报文还是攻击报文故建议在指纹防范技术和关联防御无法防住UDP flood时才采用限流技术防范UDP flood。 UDP分片攻击与防御原理 攻击原理 攻击者向攻击目标发送大量的UDP分片报文通常会造成以下危害。
一般攻击效果是消耗网络带宽资源严重时造成链路拥塞。 大量UDP分片报文会导致具有会话重组功能的网络设备性能急剧降低。 大量变源变端口的UDP分片报文会导致依靠会话转发的网络设备性能降低甚至会话耗尽导致网络瘫痪。 如果攻击报文达到服务器开放的UDP业务端口服务器检查报文的正确性需要消耗计算资源造成服务器响应缓慢甚至无法正常回应。
防御原理 UDP分片分为首分片和后续分片Anti-DDoS设备只对首分片执行防御动作如果首分片异常被丢弃了后续分片因找不到首分片的会话会直接被后续转发流程丢弃。UDP首分片防御方法和UDP flood防御方法一致。
载荷检查 指纹学习 防火墙针对UDP分片攻击支持指纹学习和限流两种防御方式
ICMP Flood攻击与防御 攻击原理 攻击者短时间内发送大量的ICMP报文到被攻击目标导致依靠会话转发的网络设备会话耗尽引起网络瘫痪如果采用超大报文攻击也会导致网络链路拥塞。 防御原理 基本上没有业务承载在ICMP协议上而ICMP flood至今仍旧是DDoS攻击的一大类因此直接限流即可将流量限制在较小范围内超过阈值部分的报文直接丢弃。
限流 FW针对目的IP进行统计当到达同一目的IP地址的ICMP流量达到告警阈值时启动限流策略丢弃超过上限的ICMP报文。 阻断 同时FW支持在入接口上阻断ICMP报文。当FW发现对同一目的地址的ICMP报文超过阈值就认为发生攻击FW将没有命中白名单的ICMP报文全部丢弃从而保证不被ICMP Flood攻击影响正常服务。 ———————————————— 版权声明本文为CSDN博主「曹世宏的博客」的原创文章遵循CC 4.0 BY-SA版权协议转载请附上原文出处链接及本声明。 原文链接https://blog.csdn.net/qq_38265137/java/article/details/90267266
