|
DDos防禦需要根據不同的攻擊類型和不同的攻擊方式指定對(duì)應的策略才能(néng)達到最有效的防禦。常見的DDos包括:Flood、CC和反射等。
1、flood攻擊
Flood類的攻擊最常見并簡單有效,黑客通過(guò)控制大量的肉雞同時(shí)向(xiàng)服務器發(fā)起(qǐ)請求,進(jìn)而達到阻塞服務端處理入口或網卡隊列。
針對(duì)消耗性Flood攻擊,如:SYN、Flood、ACK、Flood、UDP。
Flood,最有效并可靠的防禦方法是做源認證和資源隔離,即:在客戶端和服務端建立回話時(shí)對(duì)請求的源進(jìn)行必要的認證,并將(jiāng)認證結果形成(chéng)可靠的白名單或黑名單,進(jìn)而保證服務端處理業務的有效性。若黑客肉雞足夠多并僞造數據包的真實性較高時(shí),隻能(néng)通過(guò)提升服務端的處理速度和流量吞吐量來達到較好(hǎo)的對(duì)抗效果。
2、CC攻擊
CC攻擊是一種(zhǒng)針對(duì)Http業務的攻擊手段,該攻擊模式不需要太大的攻擊流量,它是對(duì)服務端業務處理瓶頸的精确打擊,攻擊目标包括:大量數據運算、數據庫訪問、大内存文件等,攻擊特征包括:
a、隻構造請求,不關心請求結果,即發(fā)送完請求後(hòu)立即關閉會(huì)話;
b、持續請求同一操作;
c、故意請求小字節的數據包(如下載文件);
d、qps高。
針對(duì)CC的攻擊的防禦需要結合具體業務的特征,針對(duì)具體的業務建立一系列防禦模型,如:連接特征模型,客戶端行爲模型,業務訪問特征模型等,接收請求端統計客戶信息并根據模型特征進(jìn)行一系列處理,包括:列入黑名單,限制訪問速率,随機丢棄請求等。
3、反射類攻擊
|
