网络安全—DDoS攻防

背景简述:DDoS攻击分为很多类型,有消耗网络带宽的流量攻击,有消耗服务器资源的应用层攻击等。影响巨大,且让无论大公司还是小公司都肃然"起敬"的当属:流量攻击。在流量越来越廉价的今天,攻击流量小则几百兆,大则几个G,甚至更多。DDoS攻击的重灾区一般在竞争比较激烈的游戏行业,特别是在前几年私服流行的时候,各种攻击防不胜防。

常用防御方法:

1、 企业级DDoS防火墙:用过不少厂家的DDoS防火墙,金盾、绿盟、傲盾等,这些防火墙原理上都类似,基本上都有强大的计数计时器,然后结合TCP/IP协议族的特点来进行防御,比如:每秒产生多少SYN半开连接算是攻击,每IP每秒产生多少ICMP流量算是攻击,还有某些协议中从那些位开始携带了某些特殊的字节算是攻击等等。对于一些流量不算大的攻击防御效果还是比较明显的。

2、 运营商级DDoS防护:对于流量较大的攻击,也只有运营商来防护了,运营商拥有较大的网络资源优势。运营商一般会提供两种防御方法,一种是直接进行封IP处理,比如使用RTBH技术等;还有就是对IP进行流量清洗,比如上海提供在四核心下的流量清洗服务,很多银行、互联网企业所喜好选择的服务。

DDoS防火墙常用部署方式,如下图:

1、 如上图左边情况,直接串联在网络中,这种情况可以时刻为所有IP和服务提供防护。

2、 如上图右边情况,旁挂方式,完成网络引流、清洗、回注等功能。这种情况下,仅在有需要时才进行DDoS防护,比较灵活。

举几个以前处理过的例子:

1、 UDP流量攻击,也是比较常见的起流量的攻击方式。

从以上图可以看出,瞬间起了很大的UDP攻击流量,由于源IP比较固定,就直接把源IP进行封了,但是通常情况下源IP不固定,为了不影响其他人,只有把目的IP封了。

2、 ICMP流量攻击

3、 SYN攻击

记得当时此SYN攻击流量差不多2G,持续了几个小时,但基本上被DDoS防火墙拦截下来了,没有进行封IP,现在DDoS防火墙也是十分成熟了,对流量攻击和SYN攻击一般都有较好的防御

写在后面:DDoS攻击远没有完,源头的难以追踪,攻击成本的十分廉价,现在剩余的也许仅有被动。将来该如何有效解决此类问题:使用CDN?使用SDN?还是使用FIA\XIA等未来网络?

相关推荐
平生不喜凡桃李5 小时前
Linux网络:UDP
linux·网络·udp
weixiao04305 小时前
Linux网络 网络层
linux·网络·智能路由器
静若繁花_jingjing5 小时前
面试_项目问题_RPC调用异常
网络·网络协议·rpc
cai_huaer6 小时前
BugKu Web渗透之 cookiesWEB
前端·web安全
せいしゅん青春之我6 小时前
[JavaEE初阶] 防止网络传输中的中间人入侵---证书
服务器·网络·网络协议·java-ee
RTC老炮7 小时前
webrtc弱网-ReceiveSideCongestionController类源码分析及算法原理
网络·算法·webrtc
python百炼成钢8 小时前
3.Linux 网络相关
linux·运维·网络·stm32·单片机
Jtti8 小时前
香港硬防服务器防御DDOS攻击的优点
运维·服务器·ddos
2503_930123938 小时前
Kubernetes (四)网络插件详解:Flannel 与 Calico 的原理、数据流向与实战对比
网络·容器·kubernetes
星哥说事9 小时前
网络安全设备:入侵检测系统(IDS)、入侵防御系统(IPS)的配置与使用
网络·安全·web安全