DDOS检测之首包丢弃

已于 2022-07-28 15:43:41 修改
阅读量3.4k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 安全 ddos 企业安全 网络安全
于 2022-02-22 09:09:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/122864936
版权

攻击原理

对于有些攻击是不断变换源IP地址或者源端口号的,这样的攻击报文都不相同,而且攻击量很大。

通过首包丢弃,可以有效拦截这部分流量。

防御原理

正常情况下,对于TCP、DNS、ICMP报文都具有重传功能,如果在交互过程中报文被丢弃,则都会重传。

首包丢弃正式利用了报文的重传机制,将收到的第一个报文丢弃,以判定后续是否有重传报文。

首包丢弃就是为了防御大流量攻击,与源认证方式结合可有效防御变换源IP或源端口号的攻击。

判定报文是否属于重传报文是基于三元组及时间间隔来判断的。

三元组包含源IP地址、源端口和协议;时间间隔可以自定义配置。

当报文没有匹配到任何三元组时,认为该报文是首包将其丢弃。

当报文匹配到某三元组,则计算该报文与匹配该三元组的上一个报文到达的时间间隔。

如果时间间隔低于设定的下限,或者高于设定的上限,则认为是首包,将其丢弃;如果时间间隔落在配置的上限和下限之间,则认为是后续包,将其放行。

securitysun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于机器学习的DDOS检测.zip
08-07
基于机器学习的DDOS检测.zip
DDOS之首丢弃防护
focus on security
03-25 576
首包丢弃为了防御大流量攻击,与源认证方式结合,有效防御攻击源变换源IP、端口号。 对于TCP、DNS、ICMP报文都具有重传的特点,如在交互过程中报文被丢弃,则会重传。
DDos系列攻击原理与防御原理
最新发布
qq_45022073的博客
03-28 1737
了解7层防御体系,了解DDOS攻击原理和防御原理
防御保护知识
qq_66661781的博客
01-31 912
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。策略路由可以从多维 度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。会话保持 --- 开启该功能后,流量首次通过智能选路的接口后,会创建会话表,后续命中会话表的流量都将通过同一个接口来进行转发,选择源IP和目的IP的效果时,所有相同源IP或者目标IP的流量将通过同一个接口转发。
防火墙 | DDos攻击防范技术
yu_19980401的博客
11-07 2774
防火墙 | DDos攻击防范技术 DDos通用技术防范技术 静态过滤:直接丢弃位于黑名单中的IP地址发出的流量,或者直接让位于白名单的IP地址发出的流量通过。 畸形报文过滤:过滤利用协议栈漏洞的畸形报文攻击。 扫描窥探报文过滤:过滤探测网络结构的扫描型报文和特殊控制报文。 源合法性认证:基于应用来认证报文源地址的合法性,这些应用支持协议交互。清洗设备通过发送源探测报文及检查响应报文来防范虚假源或工具发出的攻击流量。 基于会话防范:基于会话来防御并发连接、新建连接或异常连接超过阈值的连接耗尽类攻击。 特征识别
TCP报文丢失判断
redwingz的博客
04-26 3445
主要介绍下RTO超时、NewReno、SACK以及RACK等情况下的报文丢失判断。 RTO超时标记丢失报文 在RTO超时处理中,套接口进入TCP_CA_Loss状态,由函数tcp_timeout_mark_lost标记套接口丢失报文。 /* Enter Loss state. */ void tcp_enter_loss(struct sock *sk) { tcp_timeout_mar...
JDCloud云计算基础之云安全模块DDOS防护
12-23
什么是DDOS防护? 基础防护是2G带宽免费的产品,而提升DDOS攻击防护能力的是付费产品,具有部署简单、网络延迟低、优质访问质量保证等特点。 产品特性: 1、直接对已经购买的公网IP,保留原公网IP进行防护能力的...
一种DDoS攻击的检测算法
01-20
对于骨干网中存在的DDoS攻击,由于背景流量巨大,且分布式指向受害者的多个攻击流尚未汇聚,因此难以进行有效的检测。为了解决该问题,本文提出一种基于全局流量异常相关分析的检测方法,根据攻击流引起流量之间...
DDoS攻击检测综述
11-01
结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统分析和研究,对不同检测方法进行比较,讨论了当前该领域存在的问题及今后研究的方向。
DDoS攻击检测进展研究
11-01
DDoS 攻击是目前网络安全中最难解决的问题之一 ,也是当前DDoS研究的重点之一. 本文着重探讨了DDoS攻击检测技术所面临的挑战和国内外的研究进展,对不同检测方法进行了系统深入的分析和比较,并对DDoS攻击检测的...
网络层(TCP/UDP)攻击与防御原理
曹世宏的博客
05-16 8355
应用层攻击 :HTTP、DNS、FTP等 应用层攻击可参考:应用层(DNS/HTTP/HTTPS)攻击与防御原理 网络层攻击防御 网络层攻击防御主要分为以下三类: TCP类报文攻击防御 UDP类报文攻击防御 ICMP类报文攻击防御 TCP类报文攻击防御 TCP正常的交互过程: 图:TCP正常交互过程 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第...
ddos
Alps__的专栏
02-23 569
一,应用层 syn flood --1,提取syn cookie(串行设备上读取,序列号,hash出来的) 同一个,序列号+1,相同源地址请求的序列号是相同的。 syn proxy/syn gate也是相同的道理,用的少。 --2,首包丢弃 tcp会重传,但有缺点,会有延迟1-1.5s(源地址客户端重发) --3,主动探测 清洗设备主动要求
SYN FLOOD攻击防范
qq_47529104的博客
04-20 5309
概述 说起SYN FLOOD的攻击主要的攻击原理就是让服务器创建多个半连接由此来使得服务器的资源被消耗殆尽。下面是华为防火墙的三个主要防护手段: 1、TCP代理 TCP代理的核心思想就是代表服务器去建立TCP的半连接,与防火墙充当SSL的解密中间人类似,它主要是充当一个TCP的中间人的角色,当有TCP连接的时候先和FW进行TCP的三次握手,若客户端可以正常的完成三次握手,那么FW就代替客户端与内部服务器进行TCP的三次握手,其实整个流程下来总共完成了两次的TCP握手,于是后续的关于该TCP会话
DDoS攻击--Syn_Flood攻击防护详解(TCP)
热门推荐
一只IT小小鸟
08-22 5万+
Syn_Flood概述 Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。 这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,...
DDoS攻击的防范技术
嚴 帅的博客
03-13 2078
Anti-DDoS防御体系介绍 七层防御体系 第一步,畸形报文过滤:可以针对协议栈漏洞的畸形报文、特殊控制报文等进行过滤 第二步,特征过滤:全局静态过滤。首先基于报文内容特征的静态匹配过滤,主要针对没有连接状态的攻击进行防范,如UDP Flood、DNS Flood、ICMP Flood;然后基于黑名单静态过滤;最后提供对僵尸,木马,蠕虫病毒及协议漏洞的过滤。 第三步,基于传输协议层的...
《DNS攻击防范科普系列2》 -DNS服务器怎么防DDoS攻击
xt1233的博客
10-16 353
在上个系列《你的DNS服务真的安全么?》里我们介绍了DNS服务器常见的攻击场景,看完后,你是否对ddos攻击忧心重重?本节我们来告诉你,怎么破局!! 首先回顾一下DDoS攻击的原理。DDoS是Distributed Denial of Service的简称,即分布式拒绝服务攻击,其利用处于不同位置的足够数量的僵尸主机产生数目巨大的数据对一个或多个目标实施DoS攻击,耗尽受害端的网络带宽、系统资...
防病毒网关、ATP及密码学
weixin_57949883的博客
03-27 364
APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现。对称加密指的就是加密和解密使用同一个秘钥。特点:速度快、密文紧凑、密钥管理复杂、用于大量数据的传送非对称加密指的是:加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。
IDS、恶意软件、免杀技术、反病毒技术、APT、对称加密、非对称加密以及SSL的工作过程的技术介绍
qq_65975148的博客
03-27 988
IDS、恶意软件、免杀技术、反病毒技术、APT、对称加密、非对称加密、SSL的工作过程
分布式DDoS攻击检测与防御模型探究
DDoS攻击是互联网上最具破坏性的攻击形式之一,它通过控制大量僵尸网络对目标系统或网络发起海量请求,导致服务中断或瘫痪。 1. DDoS攻击的背景和意义 随着互联网的快速发展和广泛应用,DDoS攻击已经成为一个严重...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值