免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819

生产环境中对于防范DDOS攻击的讨论(获奖名单已公布) [复制链接]

论坛徽章:
0
发表于 2012-04-25 16:20 |显示全部楼层
对于电商来说,前端CDN多点分布式部署,可以相对缓解DDOS攻击,但对于网游来说,想实现多点分布式部署就不太好操作了,不知在这方面有没有朋友分享下经验

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-25 17:17 |显示全部楼层
本帖最后由 Godbach 于 2012-04-25 17:29 编辑

回复 30# nicy0808
SYN Cookie:就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。但SYN Cookie依赖于对方使用真实的IP地址,如果攻击者利用SOCK_RAW随机改写IP报文中的源地址,这个方法就没效果了。

这段文字是你自己写的,还是从网络上摘取过来的。我感觉这里的描述有问题啊。

SYN Cookie 实际上是验证了建连的真实性。伪造源 IP 的报文,是不会通过 SYN Cookie 的校验,就不会为这个 IP 分配资源了。

而 Cookie 的相关信息是记录在应答的 SYN/ACK 报文中,因此,原始的算法也不会记录曾对某个 IP 发送过 SYN Cookie。因此,所谓的以后这个 IP 的包就会被丢弃,更是无从谈起。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-25 17:22 |显示全部楼层
回复 30# nicy0808

syn重传算法:该算法利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态,在该源IP的第2个syn包到达时进行验证,然后放行。

这个算法基本不可用,至少不能单独使用。因为 SYN Flood 攻击时,本身就是大量的伪造 IP 发送 SYN 包,如果目标设备做记录的话,再大的表,也会被很快撑满的。
   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-25 17:27 |显示全部楼层
本帖最后由 Godbach 于 2012-04-25 17:28 编辑

回复 30# nicy0808

综合防护算法:结合了以上算法的优点,并引入了IP信誉机制。当来自某个源IP的第一个syn包到达时,如果该IP的信誉值较高,则采用syncookie算法;而对于信誉值较低的源IP,则基于协议栈行为模式,如果syn包得到验证,则对该连接进入syncookie校验,一旦该IP的连接得到验证则提高其信誉值。有些设备还采用了表结构来存放协议栈行为模式特征值,大大减少了存储量。

这里怎么判断一个 SYN 包是某个源 IP 的第一个 SYN 包呢,是不是还是需要目标设备记录一张表,查表判断出呢?

如果是这种方法,仍然是有问题的。个人的经验,SYN Flood 的防御中,凡事在未经验证建连真实性之前就要预先记录源 IP 的话,这种防御方法都是有问题的。因为可以再很短时间内,伪造重复率较低的百万甚至千万数量级的 IP。

   

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-25 17:32 |显示全部楼层
回复 10# yuhongchun
是的,Flood 行的攻击用硬件级的防火墙是一个不错的选择。

法律手段也是需要考虑的。无利不起早啊,现在完全凭兴趣发起网络攻击的越来越少,很多攻击都是同行业间的竞争所致。


   

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2012-04-25 20:40 |显示全部楼层
作为ISP的管理员在防范DDoS时,除了需要与企业网络管理员一样管理好主机外,还要特别注意自己管理范围内的客户托管主机不要成为“肉鸡”,同时注意保护自己的网络设备。针对ISP的网络攻击越来越多,应付这些攻击除了自身技术水平高之外,还需要丰富的攻防经验和事倍功半的工作设备,分析网络流量,采取应对措施。目前,比较流行的防范方法是网络下水道技术。网络下水道技术应用网络上的Honey 收集发向ISP 的垃圾流量, 并通过对这些垃圾信息的分析来判断是否有人在扫描网络或进行攻击,从而实现预警和防范功能。如果有攻击者正在对ISP 网络展开攻击,网络下水道技术可将攻击的网络流量引导“下水道”通过一台路由来实现,可以是缺省的路由,也可以是一个特定的子网,ISP网络无法识别的网络流量都会送到这里。对于ISP来说,这些网络流量可能隐藏着许多有用的信息,想要获取这些信息可以在路由后面加上一个网络分析器, 如Linux下著名的IDS软件Snort,并配合Tcpdump协议分析工具,就可实现数据的截取和分析。如果ISP在监视过程中发现有攻击者正在攻击一个子网的网段,可以用BGP通知其他路由,把指向该子网的网络流量都送到下水道路由,从而改变攻击方向。

论坛徽章:
8
双鱼座
日期:2014-07-30 09:28:14辰龙
日期:2014-08-22 14:14:43水瓶座
日期:2014-12-02 15:36:392015年亚洲杯之朝鲜
日期:2015-02-06 09:28:592015亚冠之全北现代
日期:2015-09-10 14:40:18青铜圣斗士
日期:2015-11-18 09:22:56黄金圣斗士
日期:2015-11-26 09:17:2615-16赛季CBA联赛之新疆
日期:2016-08-15 17:00:22
发表于 2012-04-25 20:51 |显示全部楼层
yuhongchun 发表于 2012-04-25 14:16
恩,我比较推荐硬件级防火墙+CDN的方式来防御DDOS攻击。

以前我用iptables防御过一段时间,完全没什么效 ...


斑竹v5,和我现在搞的差不多,硬件防火墙一放,不用折腾了,小系统,集群都没有,都没人愿意来ddos

论坛徽章:
0
发表于 2012-04-25 21:23 |显示全部楼层
我顶你个肺

论坛徽章:
0
发表于 2012-04-25 21:26 |显示全部楼层
回复 36# cgweb


    这个“网络下水道”就相当于流量牵引技术了,这个就需要对网络数据包进行特征分析了

论坛徽章:
0
发表于 2012-04-25 21:32 |显示全部楼层
回复 35# Godbach


    同行的恶意竞争更多些,如果说是一些小量的攻击,通过正规渠道的网警有时也很难解决问题,不能总寄希望于网警,加强自己才是正道,对于flood类的攻击如果可以从ISP做一些特定类型数据包的过滤那样就更好,如过滤掉ICMP报文的封包,如果不用到UDP协议也可以屏蔽UDP包
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP