免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819

生产环境中对于防范DDOS攻击的讨论(获奖名单已公布) [复制链接]

论坛徽章:
0
发表于 2012-04-25 21:53 |显示全部楼层
回复 32# Godbach


    如果说攻击者一方也使用了类似于SYN cookie的方法,修改SYN/ACK的封包从而完成TCP握手咧?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-25 21:54 |显示全部楼层
回复 37# 20032007

各种防御措施都有其应用的场合及其长处,实际中要结合公司自身的业务综合使用。



   

论坛徽章:
0
发表于 2012-04-25 21:56 |显示全部楼层
回复 41# Godbach


    这个确实,就算用到流量牵引、黑洞路由,也必须有一个好的带宽承载量,才能很好的进行数据分析,如果达到带宽承载的极限,那也就没有办法了

论坛徽章:
0
发表于 2012-04-25 21:58 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-25 22:21 |显示全部楼层
king_819 发表于 2012-04-25 21:53
回复 32# Godbach


我不太明白 king_819 兄所说的这个伪造的方式,能够详细说一下。

攻击者本身就是伪造源 IP,那么 SYN Cookie 应答的 SYN/ACK 包攻击者还能拦截得到吗?

论坛徽章:
0
发表于 2012-04-26 05:59 |显示全部楼层
回复 9# cgweb


老男孩回复:    
赞这个!很有实战性!

论坛徽章:
0
发表于 2012-04-26 06:05 |显示全部楼层
本帖最后由 老男孩linux培训 于 2012-04-26 06:07 编辑

回复 12# king_819


老男孩回复:
很好啊,分析问题,查找原因是非常重要的问题(仅次于防护了)。其次是解决问题。实际生产环境还有太多疑似但非DDOS攻击案例,也许更常见,比如:内部服务器中毒、CDN猛抓。都有搞过1G-3G带宽的实际案例。

论坛徽章:
0
发表于 2012-04-26 09:15 |显示全部楼层
回复 48# 老男孩linux培训


    是的,有些症状像DDOS攻击一样,但实际分析过后并不是真正的DDOS,就如:
   
   CDN设置不合理,前端缓存狂抓后端源服务器的资源

   程序bug出现死循环

   系统内核参数设置不合理

   交换机、路由器设置不合理

   。。。 。。。

   分析问题 ---  解决问题

论坛徽章:
0
发表于 2012-04-26 09:26 |显示全部楼层
回复 46# Godbach


    呵呵。。我只是提出这种假设,具体怎么伪造我不知道咧

论坛徽章:
7
双子座
日期:2013-09-09 15:55:31CU大牛徽章
日期:2013-09-18 15:22:06CU大牛徽章
日期:2013-09-18 15:22:20CU大牛徽章
日期:2013-09-18 15:22:26CU大牛徽章
日期:2013-09-18 15:22:31CU大牛徽章
日期:2013-09-18 15:22:37CU大牛徽章
日期:2013-09-18 15:22:46
发表于 2012-04-26 10:07 |显示全部楼层
king_819 发表于 2012-04-25 21:53
回复 32# Godbach


SYN COOKIE一般在服务器操作系统内核中启动,系统会维护一份已经正常连接的表,当新连接进来的时候会让那些在这些表的用户优先连接,也就是说想半连接来攻击启动SYN COOKIE的服务器会有一定难度。现在很多基于Linux的防火墙都有开这个。但是如果是完整的连接,比带宽什么的,就只能靠带宽之类的了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP