防DOS攻击: 粗规则,细控制

最新推荐文章于 2024-08-19 12:53:40 发布
最新推荐文章于 2024-08-19 12:53:40 发布
阅读量300 收藏
点赞数
分类专栏: linux转载 文章标签: DOS 防火墙 网络应用 应用服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw06023273/article/details/83809294
版权
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn 

1. 前言

DOS攻击可以算是最没有技术含量,但却可算是最有效的攻击手段,如普通的TCP/IP层的ping flood,syn flood等到应用层的CC,或者是病毒引起的冲击波、振荡波等,都属于比较有效的DOS攻击手段,对于这种DOS攻击,除了根据统计特征判断是非属于非法包外,如果无法判断是否非法,就只能进行流量限制了。

2. 流量限制

流量限制包括通信流量限制、连接数限制、连接率限制等,普通的流量限制是针对这个规则的,也就是对符合规则的数据进行流控,但这样带来的问题是如果规则定义的是一个网段,有可能网段内的一两个IP的流量就会达到限值,网络内其他IP的通信就会受到严重影响。虽然可以按单个IP来制定规则,但这是不现实的,当网络一大时没有一个网管有那种耐心去一条一条为单个IP配规则。

3. 粗规则,细控制

解决方法是“粗规则,细控制”,就是说规则仍然是粗粒度的,规则中地址是一个大范围的地址,但能够控制到符合规则条件的单个源或目的IP的流量,每个IP的流量、连接数等都单独分开限制。实现这种效果后,虽然不能彻底消除DOS,但能最大限度的在DOS下保证正常的流量。

限制单IP的流量,可有效限制BT等下载工具的使用,因为不能再抢占其他人的带宽,所以没必要再去费心地去限制其使用,想用就用,但使用效果并没什么意义;

限制单IP的连接数和连接率,可有效防止syn flood, CC等基于连接的DOS攻击,对限制ping flood,冲击波、振荡波等也有较好的效果。对于限制来自内部的攻击,用连接数限制较好,对于服务器限制来自外部的攻击,同时使用源IP的连接数、目的地址的连接率限制比较好。

4. 结论

用流量限制来防御DOS是每种防火墙都有的功能,但支持“粗规则,细控制”的流量限制就不是每个防火墙都能作的了,用户在选购防火墙时一定要注意问清这一点。
cxw06023273
关注
专栏目录
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
计算机网络一:因特网
weixin_41402069的博客
11-13 1716
计算机网络
DOS
赤赤三的博客
03-24 3169
DOS 拒绝服务 原理: 利用程序漏洞或一对一资源耗尽的Denial Service拒绝服务,一对一的攻击完全拼的是各自的资源,效果差(DOS攻击) DDOS分布式拒绝服务(多对一的攻击汇聚资源能力,重点在于量大,属于资源耗尽型) 分类: Dos网络:基于巨量的Flood耗尽目标网络带宽资源:ICMP Flood,UDP FLood Dos协议:攻击协议漏洞发起的拒绝服务攻击:Syn Flood、Ping of Death、ARP、DNS、SSL Dos应用:
网络服务器预dos攻击的层次
Netfilter
10-24 4074
web服务器在处理请求的时候会涉及三个层次,第一个层析是tcp连接的层次,第二个层次是http请求的层次,第三个层次是业务处理的层次,每个层次都可能存在dos攻击,所要作的预措施就是每个更低的层次未决之前不为其分配上层资源,具体来说就是,tcp三次握手没有完成就不为之分配连接所需的内存资源,这个通过syn cookie可以完成,syn cookie的linux实现中顺便携带了一个时间参数可以很好的处理超时,三次握手虽然完成了,但是http请求没有发到之前不为之指派处理进程,从完成三次握手到收到http请求
【linux命令讲解大全】141.hping3:测试网络及主机的安全
最新发布
qq_53058639的博客
08-19 767
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻专业人员…这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。本科计算机类、高职自动化类专业月收入较高。
dos攻击
weixin_30655219的博客
05-27 177
#!/bin/bash while [ 1 -eq 1 ] do block_ip=`awk '{IP[$1]++} END{for (i in IP) {print i,IP[i]}}' /var/log/httpd/access_log | awk '$2>1000{print $1}'` block_source=`firewall-cmd --zone=block --...
网络安全 | 如何预网站被DoS攻击
wuli1024的博客
01-08 940
DoS(Denial Of Service),拒绝服务的缩写,是指故意攻击网络协议实现的缺陷或直接通过野 蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应甚至崩溃。
安全御------Dos攻击
m0_63292411的博客
08-11 1460
本篇文章详地讲解了Dos攻击相关知识,概括了Dos攻击常见的攻击方式,包括DDos攻击,TCP,UDP类报文攻击以及DNS,HTTP类报文攻击的攻击原理以及御措施。还讲解了Anti-DDos系统的有关概念。
CBK-D4-通信与网络安全、访问控制.md
sdyu_peter的博客
08-06 1098
通信与网络安全osg11\12, 访问控制--osg13\14 CBK-D4-通信与网络安全、访问控制.md
CISSP-OSG-要点总结梳理
小虫先生的博客
10-19 2480
CISSP-OSG-各章节要点总结梳理
区块链:以太坊智能合约的安全调查
区块链:研究与应用2(2021)100028EtherClue:对以太坊智能合约攻击的数字调查Simon Joseph Aquilinaa,Fran Casinob,c,Mark Vellaa,*,Joshua Ellula,d,Constantinos Patsakisb,ca马耳他大学计算机科学系,...
DoS与DDoS攻击原理及其
03-03
这文档主要讲解DoS与DDoS攻击原理以及对于安全人员如何来进行范这种攻击
怎么样才能dos攻击
Zh2321784457的博客
07-09 1201
什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办
7种Dos攻击范方法
黑麦(Ryee) - 搜索引擎营销SEO 3.0
08-05 2129
网商除了做好产品,打通网络营销,提供优质的服务外,还应该了解和范这种潜在的网络风险。服务器攻击在今天已经如同垃圾信息一样普遍。其中不乏有很多入门的练习者,所以下面介绍几种攻击方法和避免方法。 7种DoS攻击方法简述 Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了...
什么是DOS攻击,如何护?
m0_49521873的博客
06-19 2550
DOS攻击(Denial of Service攻击)是指攻击者通过发送大量的流量请求或恶意数据包,使服务器无法正常运行,带宽和网络资源耗尽,从而使合法用户无法访问服务器。5. 限制连接请求:对于停留在某个IP地址上的用户,限制连接请求的数量,从而减少服务器的压力。总之,DOS攻击的最佳方法是在保持高度警惕的同时使用多种方法,以确保服务器的稳定运行。4. 使用攻击检测工具:安装御软件,检测可能的DOS攻击,并采取相应的措施应对。6. 启用网络流量监控:定期监控服务器上的网络流量,及时发现异常情况。
如何成功抵御DOS攻击?给你介绍四种方法
一代枭雄_宗某的博客
10-17 1478
抵御Dos攻击的四种方式
使用 NGINX 流控和 fail2ban 止 CC 攻击
weixin_34378767的博客
02-13 188
背景知识 CC 攻击 攻击者通过创建大量请求导致服务器资源耗尽,主要针对特定服务接口,属于实现 DoS 攻击的一种方式(DoS 攻击更多是针对网络端口,而不是具体服务接口)。 NGINX 流控 limit_req_zone:通过“漏桶”算法限制每个 IP 发起的请求频率。 limit_conn_zone:限制每个 IP 发起的连接数。 fail2ban...
典型DoS攻击原理及抵御措施
------吴 浩的blog
09-06 1911
smurf、trinoo、tfn、tfn2k以及stacheldraht是比较常见的DoS攻击程序,本文将对它们的原理以及抵御措施进行论述,以帮助管理员有效地抵御DoS风暴攻击,维护站点安全。 一、何为"smurf 攻击",如何抵御? Smurf是一种简单但有效的 DDoS 攻击技术,它利用了ICMP (Internet控制信息协议)。ICMP在Internet上用于错误处理和传递控制信息
PHP中范DDOS攻击一招
jackyrongvip的专栏
06-02 287
刚看到一个文章,是范DISCUZ的DDOS攻击的,其用法应该可以值得一借鉴 if(preg_replace("/https?:\/\/([^\/]+).*/i", "\\1", $HTTP_SERVER_VARS['HTTP_REFERER']) != $HTTP_SERVER_VARS['HTTP_HOST']) { exit('警告----你的操作已经被禁止。');}原文中有这样的论述这样修...
HTTP慢速攻击:DoS御与slowhttptest工具实践
文章提到了Slowloris和SlowHTTPPOST两种DoS攻击方式,并推荐了slowhttptest工具进行测试。 一、攻击原理 HTTP慢速攻击,如Slowloris和SlowHTTPPOST,基于HTTP协议的机制,即服务器必须等待接收完整请求才能开始处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值