CC攻击分析与新思路

www_ftp

原帖由 platinum 于 2006-1-5 12:53 发表
可否解释一下什么是“网拔技术”吗？
我只知道“网闸”，“网拔”我没查到是什么

网线拔掉的意思，platinum是个真正的技术人．

platinum

原帖由 www_ftp 于 2006-1-5 13:24 发表

网线拔掉的意思

。。。。。。。

benjiam

同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据（防止被解密）

很显然 这个资料会暂时被保存  所以防护服务器 会有session
session 时效得选取 决定效果

原理和http session 一样。


封掉ip 得方法 在普通的http + 脚本夜可以做 没有必要这么做

唯一的优点是 架设专门的服务器 做防护 比在http 端做会更强一点。

www_ftp

原帖由 benjiam 于 2006-1-5 21:31 发表
同时这个应答包中包括代理服务器真实的请求+上防火墙加密的动态数据（防止被解密）

很显然 这个资料会暂时被保存  所以防护服务器 会有session
session 时效得选取 决定效果

原理和http session 一样。

...

防护服务器上没有session的，不记录什么东西的。这就是要加密动态数据的作用，这个动态数据就是根据发起代理初始序号产生的，或通过它其它信息加密的，再次来ack包或说来了ack包他有加密信息并再解密，如果正确就放过，否则通知服务器断开连接．
对了，这儿的防护服务器，实际就是用linux或bsd做的专用的抗ddos设备，在内核中完成．
在这儿的封IP与HTTP服务器上用脚本是不一样的，用了脚本虽然也封了IP，可是代理服务器还是不断的连上http的，并不断的发请求的GET包，不断的重复处理．在防护服务器上就不一样了，只要IP被封了，来了syn就丢了，几乎不消耗什么cpu，当然这时http服务器根本收不到syn新建连接，所以不需要在脚本上反复处理已经判断出有不良行为的IP了，所以效率差别还是很大的．

colddawn

思路确实不错，但是应该有很多细节地方会影响具体实施，比如截获请求后多长时间内受到你思路中客户端对应你加密脚本的回应才判断为正常请求？这个时间长了会导致服务器连接状态保持在establish不释放，结果就是可能短期内造成服务器连接数满而挂掉，短了的话可能客户端正常请求都没返回，误杀正常连接。

www_ftp

原帖由 colddawn 于 2006-1-6 15:05 发表
思路确实不错，但是应该有很多细节地方会影响具体实施，比如截获请求后多长时间内受到你思路中客户端对应你加密脚本的回应才判断为正常请求？这个时间长了会导致服务器连接状态保持在establish不释放，结果就是可 ...

没错，是这样的。还有就是因为在正常的连接之间代http服务器回了个包，这时的seq不一至了，还需给http服务器发个包同步一下．这只是个思路，实施可能行，也可能不行，只是换个思路考虑解决的办法．

colddawn

CC本身属于应用层的攻击，如果要作到彻底防护的话（指网络环境可以正常承载的情况下），只能还从应用层考虑，比如加固应用程序等，如果要防火墙来做，只能是建立应用层代理，将请求排队分拣后，放入适量的正常请求给后端服务器。

www_ftp

应用层分析是个趋势，可现在的分析有两大难点，一是效率问题，对多个关键字的过滤没有太好的办法（我没有看snort源代码，有时间看看去），对于架设在网络关键部分的设备速度是个挑战。二是现在的应用各式各样，数据结构也不同，有的还不公开。对每种应用都进行应用层分析，将大大影响效率，编码也复杂。加固应用程序应是不错的办法，可也有两点问题，一是编写程序的人员，对攻击了解的并不多，可以学习，可这也是现状。二是应用程序对攻击处理也有一定的局限性，比如CC攻击吧，就是用防刷新的办法解决，效果也不会太好，原因是即使应用程序能识别出攻击，超码每个代理也进行了一次数据库查询，5000个就是5000次。还有就是应用程序识别出了攻击，也不能断开连接，更不能在协议栈的地层拒绝有有害IP的不断访问，增加服务器的负担。

loveKDE

不错不错哈

tom19830313

从应用层防护应该是个不错的选择，如果是从网络层防护的话从哪里找突破口呢？