心情留言板
 登录  注册 忘记密码  本版精华 帮助RSS订阅 
精点留言 → 浏览主题发表帖子
[点击:869]
 
楼主 发表于:2009-8-22 12:45:25 

§各种常见的DDOS的原理和防范分析-转载newlife的BLOG

  
1,SYN-DDOS

攻击原理:

  利用TCP协议3次握手的机制,在第2次握手的时候强制断掉一方的连接应答,使

另一方的半连接保持一段时间来占用主机的资源,如果半连接保持过多,会使主

机资源耗尽,无法响应正常请求。

防范分析:

  SYN攻击其实利用了2点来达到他攻击的目的,一是 TCP协议的工作机制,二是

半连接的资源损耗,我们现在的实力无法改变TCP的工作机制,只能从半连接的资

源损耗来下手了,如果半连接的超时时间过长,就会保留有大量的半连接,如果

按照以前的思路,我们只能缩短半连接的保留时间来减少半连接,这个方法是有

效的,但是如果攻击的强度非常高,这个办法就有点不那么优秀了,

不过现在好了点了,国外几个专家前段时间就提出了TCP SYNCOOKIE,就是增加的

TCP连接的验证机制,没通过验证的 TCP连接是不分配给系统资源的,非常好用,

在LINUX核心的 机器上运行的很顺利,ROS2.9.27以后的版本 也支持 TCP

SYNCOOKIE,很不错的。ROS在 修改SYN保留时间那里的下面有个SYNCOOKIE的选

项,勾上就可以了。

2,UDP-DDOS

攻击原理:

  这种攻击方法实在是太恶心了,由于的UDP协议的无连接特性,这种攻击没有

任何的技巧性,完全就是靠流量把对方撑死,当然攻击方也产生足够大的数据量

,一般在大群的肉鸡同时攻击的时候并且对方没有对UDP数据做专门的流控,这

种方法就很有效。

防范分析:

  由于UDP协议的简单机制和自己的能力限制,我们不能从协议上下手,但是用

SNIFFER仔细分析UDP攻击的数据,得出一个结论,我用了几个最常见的UDP攻击器

,发现所产生的IP包的分片位都已置位,表明这是一个被分片的数据包,而且数

据的总量的 95%是无UDP封装的 IP包碎片,用一个 ADSL大猫做试验,在大猫里把

所有的IP包碎片都丢弃了,马上问题就解决了,内网同时开2台机器,都是CPUP4

-2.4的,512的内存一起攻击大猫,大猫完全正常,其他机器上网没有发现异常,

当然,这只是最常见的几个攻击软件,其他软件我还没有测试,如果你们谁有更

刁钻的攻击软件,可以的话发给我,我测试后,会第一时间发出来结果。

3,ICMP-DDOS

攻击原理:

  与UDP攻击类似,因为IP协议本身没有错误发现机制,ICMP只是IP协议的一个补

丁协议,PING 和 TRACERT 等命令调用的就是ICMP协议,比较欣慰的是,ICMP不

参与业务数据的发送,所以就比较好解决了。

防范分析:
  
  由于ICMP的主要功能就是察看对方是否存在并且主机工作状态是否正常,并且

ICMP协议不参加数据的转发。如果我们有其他的机制保证我们的主机没问题,那

么,最省事的方法就是 不用ICMP,完全封掉。

先写几个最常见的 DDOS,还有很多,慢慢来。

其实网上也有很多很好的防范方法,但是很多人都说没用,我只能劝你们,DDOS

是有好多种类的,不要拿防SYN的方法去防UDP,那当然没用了,认清楚是哪种

DDOS,才能对症下药吧。

还有好多人说 ROS 不能防DDOS,原因是 ROS是个路由软件,并不是防火墙,因此

好多人 都改用 ISA了。

我只能说,ROS不仅仅是个路由软件,他内置全套的IPTABLES的功能,IPTABLES在

防火墙的领域里决不是浪得虚名的,有多少LINUX主机在IPTABLES的保护下毫发无

伤.


 
不断学习,不断进步!
返回列表  返回顶部  
 
本版言论纯属发表者个人意见,不代表心情留言板立场
页面执行时间:{执行时间}ms ,备案号:
© Jd100 Gbook 4.0