免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819

生产环境中对于防范DDOS攻击的讨论(获奖名单已公布) [复制链接]

论坛徽章:
0
发表于 2012-04-26 15:47 |显示全部楼层
回复 59# scyzxp


    针对DNS服务器的流量攻击意义不大,一般针对DNS服务器攻击都是DNS篡改和DNS欺骗


   针对UDP flood 的防护:

   攻击端口为业务端口:根据该业务UDP最大包长设置UDP异常流量过滤规则

   攻击端口为非业务端口:直接在上层丢弃所有UDP包

论坛徽章:
0
发表于 2012-04-26 16:11 |显示全部楼层
本帖最后由 inwing 于 2012-04-26 16:41 编辑

DDOS攻击中不得不面对的一个问题就是攻击带宽,攻击带宽小的时候解决办法是多种多样的,软硬结合都是不错的办法。但是如果攻击流量达到一定程度,防御便变得异常困难。应对大流量攻击(>20G),采取法律措施是必须的(如果你从事的是正规行业 )。其次就是烧钱,找冗余带宽充足设备齐全的机房。

论坛徽章:
0
发表于 2012-04-26 16:29 |显示全部楼层
学习了,都是高手啊!

论坛徽章:
0
发表于 2012-04-26 16:44 |显示全部楼层
expert1 发表于 2012-04-25 12:23
首先说明真正流量型的ddos无解,比如铁道部购票网站和ddos没啥不同,准确说的类似cc。拖垮数据库。 ...


就是拼冗余 谁带宽多 谁就能立于不败之地 烧钱呗

论坛徽章:
0
发表于 2012-04-26 16:50 |显示全部楼层
回复 28# expert1

纯带宽的无解 就得烧钱 走法律途径


   

论坛徽章:
0
发表于 2012-04-26 19:19 |显示全部楼层
king_819 发表于 2012-04-25 21:53
如果说攻击者一方也使用了类似于SYN cookie的方法,修改SYN/ACK的封包从而完成TCP握手咧?

不太理解
SYN/ACK 是服务端返回的
攻击者如果是伪造的虚假 IP,根本就看不到 SYN/ACK,这是其一
其二,即便看到了,修改 SYN/ACK 的意义何在呢?

论坛徽章:
0
发表于 2012-04-26 19:22 |显示全部楼层
Godbach 发表于 2012-04-26 10:38
回复 50# king_819

嗯,如果能骗过 SYN Cookie 的话,我觉得至少需要拦截到 SYN/ACK 报文。

还有一种方法,就是一直 server 的 TCP initseq 算法
之前有过这样的案例,使用的特殊的算法来通过计算 seq 来识别是否是真实建连
结果算法被攻击者知道了,发完伪造的 SYN 后发伪造的 ACK,结果 server 的 ESTABLISHED 瞬间耗尽。。。。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-26 21:49 |显示全部楼层
回复 61# king_819

攻击端口为非业务端口:直接在上层丢弃所有UDP包

   
这个上层就是上层的交换机或者路由器了吧

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-26 21:51 |显示全部楼层
回复 67# platinum

结果算法被攻击者知道了,发完伪造的 SYN 后发伪造的 ACK,结果 server 的 ESTABLISHED 瞬间耗尽。。。。

算法被知道的话,就悲剧了。
   

论坛徽章:
4
CU大牛徽章
日期:2013-04-17 11:48:26CU大牛徽章
日期:2013-04-17 11:48:40CU大牛徽章
日期:2013-04-17 11:48:45摩羯座
日期:2013-12-06 18:10:04
发表于 2012-04-26 22:08 |显示全部楼层
本帖最后由 fire_cpp 于 2012-04-26 22:20 编辑

从技术角度看DDOS攻击者——鄙视;从金钱的角度看DDOS攻击者——你妹的我也想干这种事!

真正的流量型DDOS攻击,除了以暴抑暴之外,我觉得没有优雅的解法。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP