网络入侵检测
传统 NIDS
绿盟 IDS 体系架构
绿盟 IPS 体系架构
IDS/IPS 部署示意图
大型全流量 NIDS
由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系统负载会马上飙升,远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构一起扩展的安全解决方案最终都会掣肘
针对 IPS 一个打折扣的版本就是利用 DDoS 引流 - 清洗(过滤)- 回注的防护原理,将防护的流量迁移到清洗集群,清洗集群上的过滤规则只是有针对性的几条高危漏洞规则,做一层很轻的过滤
T 级 DDoS 防御
DDoS 分类
网络层攻击
- syn-flood:通过原始套接字发送源地址虚假的 SYN 报文,使目标主机永远无法完成 3 次握手,占满系统协议栈队列,进而拒绝服务。防御其攻击的常见方法有 syn proxy、syn cookies、第一次请求的 SYN 包丢弃等。近年攻击者开始采用 1000 字节的 SYN 包进行攻击,在消耗 CPU 资源的同时,阻塞边缘带宽,攻击流量相比标准 SYN 包大大增加
- ACK-flood:虚假的 ACK 包,目标设备会直接回复 RST 包丢弃连接
- UDP-flood:使用原始套接字伪造大量虚假源地址的 UDP 包
- ICMP-flood:ping 洪水
应用层攻击
- CC:通过傀儡主机或寻找匿名代理服务器,向目标发起大量真实 HTTP 请求,最终消耗掉大量并发资源
- DNS-flood:伪造源地址的海量 DNS 请求,用于淹没目标的 DNS 服务器。将源地址设置为各大 ISP DNS 服务器的 IP 地址,以突破白名单限制,将查询内容改为针对目标企业的域名做的随机化处理,查询无法命中缓存时间,消耗会进一步增加。DNS 不仅在 UDP-53 提供服务器,同样在 TCP 提供服务,防御可将 UDP 查询强制转为 TCP,如果是虚假地址则不予回应。源地址伪造为 ISP DNS 的请求,可以通过 TTL 值进一步判断
- 慢速连接攻击:针对 HTTP 协议,先建立 HTTP 连接,设置一个较大的 content-length,每次只发送很小的字节,让服务器以为 HTTP 头一直没有传输完成,这样连接一多就会出现连接耗尽
- DOS 攻击:服务器程序存在 bug、安全漏洞或架构性
最低0.47元/天 解锁文章
7655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
