IPv6时代如何防御DDoS攻击?

最新推荐文章于 2022-01-04 17:19:34 发布
最新推荐文章于 2022-01-04 17:19:34 发布
阅读量295 收藏 1
点赞数
文章标签: 操作系统 嵌入式
原文链接:https://yq.aliyun.com/articles/680963
版权
我们都知道现行版本的IP协议是IPv4协议,但由于最开始设计的时候没有考虑到互联网发展如此迅速,导致网络IP地址即将枯竭不够用了,于是推出IPv6协议用于代替IPv4协议,IPv6协议号称可以为全世界的每一粒沙子分配一个IP地址,完全不用再担心网络IP地址不够用了。从去年年底,国家也在大力推进IPv6协议,但随着IPv6时代的到来,IPv6网络下的攻击也开始出现。就在今年年初,Neustar宣称受到了IPv6DDoS攻击,这是首个对外公开的IPv6 DDoS攻击事件。

734641c1c1b0099e9f21269af7c9db44a93fc712

由于IPv4协议已经历十多年的发展,在IPv4下的防御系统已经非常成熟,但并不能直接用于IPv6协议的防护,需要全链路重构支持IPv6。IPv6协议的某一些新特性有可能被不法分子利用发起DDoS攻击:

1、IPv6新增NS/NA/RS/RA,可能会被用于DoS或DDoS攻击;

2、IPv6的NextHeader新特性可能被黑客用于发起DoS攻击,比如Type0路由头漏洞,通过精心制造的数据包,可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,让链路带宽耗尽,也可以绕过源地址限制,让合法的IP反弹报文;

3、IPv6支持无状态自动配置,同时子网下可能存在非常多可使用的IP地址,攻击者可以便利的发起随机源DDoS攻击;

4、IPv6采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包DoS攻击。


而且由于IPv6协议可以提供海量的网络IP地址,一个IDC就可能申请到非常大的可用地址块,这对IPv4协议下的传统防御算法简直就是噩梦,而且这几年智能物联网设备的大量增加且安全性不高,导致攻击者可以轻松获得海量僵尸网络,用来发起ddos攻击。

5f38363cd924dfb9569da9b152d25284370768c7

面对即将到来的IPv6协议,企业如何做好DDOS防御?

1、虽然IPv4网络已经非常成熟,但到了IPv6网络,现有的很多企业网络、服务器网络的大部分都需要更换设备和重新开发系统,才能支持IPv6网络以及IPv6网络下的安全防护;

2、由于IPv6的网络IP地址是IPv4网络IP地址的2的96次方倍,系统需要更强大的处理性能才能支持海量的IP的安全防御。

3、以前的传统DDOS防御算法和防御模式都应该做好升级的准备,适应IPv6的各种新特性和新挑战。
weixin_33962621
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPv6 时代如何防御 DDoS 攻击?
小王的储物间
01-06 1361
在互联网世界,每台联网的设备都被分配了一个用于标识和位置定义的 IP 地址。20 世纪 90 年代以来互联网的快速发展,联网设备所需的地址远远多于可用 IPv4 地址的数量,导致了 IPv4 地址耗尽。因此,协议 IPv6 的开发和部署已经刻不容缓。IPv6 除了比 IPv4 提供更充沛的 IP 地址数量,还有诸多其他优势。更快更安全,一直是互联网长期的追求。IPv6 是固定报头,不像 IPv4 那样携带一堆冗长的数据,简短的报头有效的提升了网络数据的转发效率;
Win7下Hyenae的安装
dius56650的博客
12-02 3794
Win7下Hyenae的安装 (1)下载 链接:http://sourceforge.net/projects/hyenae/ 资源:hyenae-0.36-1_fe_0.1-1-win32.exe (2)README ----------------...
该来的终于来了:“第一起”基于 IPv6DDoS 攻击
运维派
03-07 2255
互联网工程师们发现了据称业内第一起基于IPv6的分布式拒绝服务(DDoS)攻击。他们警告,这仅仅是个开头,下一波网络大破坏迫在眉睫。网络专家韦斯利•乔治(Wesley George)本周早些时候注意到了奇怪的流量,这是针对一台DNS服务器发动的大规模攻击的一部分,企图让服务器不堪重负。他供职于Neustar公司的SiteProtect DDoS保护服务部门,当时他在获取恶意流量的数据包,这是其工作
两款实用的DDos攻击工具
热门推荐
Man_In_The_Night的博客
04-04 6万+
两款实用的DDos攻击工具 2018-02-22Network•Security865 之前为了重现某个bug,需要对网络设备进行ddos攻击测试,同时也是对设备的网络攻击防护功能进行抗压测试。临阵磨枪,google了两款攻击工具,windows平台的hyenae,以及Linux平台的hping3,在此记录一下两者的用法。 Hyenae hyenae是在Windows平台上非常好用的一...
如何防护 DDoS 攻击?
QQ652351740的博客
01-04 405
若要缓解 DDoS 攻击,关键在于区分攻击流量与正常流量。 例如,如果因发布某款产品导致公司网站涌现大批热情客户,那么全面切断流量是错误之举。如果公司从已知恶意用户处收到的流量突然激增,或许需要努力缓解攻击。 难点在于区分真实客户流量与攻击流量。 在现代互联网中,DDoS 流量以多种形式出现。流量设计可能有所不同,从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。 多方位 DDoS 攻击采用多种攻击手段,以期通过不同的方式击垮目标,很可能分散各个层级的缓解工作注意力。 同时针对协议堆栈的多个层级
阿里云IPv6 DDoS防御被工信部认定为“网络安全技术应用试点示范项目”
阿里云技术
05-09 602
近日,阿里云数据中心骨干网IPv6 DDoS网络安全防御被工业和信息化部认定为“网络安全技术应用试点示范项目”,本次评选由工业和信息部网络安全管理局发起,从实用性、创新性、先进性、可推广性等维度展开,阿里云成为唯一一家入选IPv6 DDoS防护类项目的云服务商。 响应国家号召,率先布局IPv6 2019年,工信部签发《工业和信息化部关于开展2019年IPv6网络就绪专项行动的通知》,从网络基础...
华为AntiDDoS8000 DDoS防御系统简版彩页.pdf
09-23
这种精细的检测能力使得系统能准确识别60多种不同的攻击类型,并利用本地会话行为信誉、地理位置信誉和僵尸网络IP信誉等多维度信誉体系来防御应用型DDoS攻击,减少误判,保障用户体验。 华为AntiDDoS8000还提供了...
IPv6安全浅析
Mlib
03-13 1万+
原文链接 :IPv6安全浅析 - Huawei - 2010.12 第52期 “缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问 题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了 根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全。 IPv6协议设计的安全考虑 从...
IPv6环境下的网络安全观察.pdf
09-20
4. **热点态势分析**:IPv6相关的攻击事件逐年上升,首起记录的IPv6 DDoS攻击发生在2018年,且大部分攻击利用的是应用层漏洞。攻击者往往可以轻易地将IPv4攻击策略转移到IPv6环境中。 5. **漏洞分布与危害**:根据...
Hyenae-开源
05-02
Hyenae是高度灵活的独立于平台的网络数据包生成器。 它允许您重现几种MITM,DoS和DDoS攻击情形,并带有可群集的远程守护程序和交互式攻击助手。 ***鬣狗回来了***鬣狗将在此处继续:https://sourceforge.net/p/hyenae-ng
IPv6环境下基于包标记的DDoS防御机制的研究
10-13
IPv6环境下基于包标记的DDoS防御机制的研究
pyloris-3.2-win32
03-17
Using HTTPLoris is simple. In its most basic form, HTTPLoris merely needs a copy of Python 2.6. On a Linux machine, one must simply invoke the script in a terminal, stating a site to test: motoma@rocksalt:/home/motoma$ python pyloris-3.0.py motomastyle.com On Mac OS X, one invokes PyLoris the same way. Using the Terminal Application: hotdog:/Users/Motoma/ motoma$ python pyloris-3.0.py motomastyle.com Using HTTPLoris in Windows is a little different. One will need to know the location of the Python installation, and be in the proper directory. Load up a command prompt: C:\Users\Motoma\Desktop\pyloris-3.0>C:\Python26\python.exe pyloris-3.0.py motomastyle.com Advanced Options Invoking HTTPLoris by using the commands above start a limited to 500 connections across 50 threads, each sending at 1 byte/second and waiting until the connection is forced shut by the server. While this behavior will bog down an Apache server with the default settings, it is not a very thorough test. The following are some additionall options that will allow one to customize the way HTTPLoris works: -a, --attacklimit The --attacklimit flag restricts the number of total connections (current + completed) during a single session. Set this to zero to specify no limit. -c, --connectionlimit Adjusting the --connectionlimit flag can drastically change how well HTTPLoris performs. The --connectionlimit flag directly controls the number of concurrent connections held during the session. In a base Apache environment, when this number is above the MaxClients setting, the server is unresponsive. -t, --threadlimit This is the number of attacker threads run during the session. -b, --connectionspeed This is the connection speed for each individual connection in bytes/second. Comparing this with the lenght of the request, and you should have an accurate guess of how long each connection should linger. -f, --finish Specifying the --finish flag will cause HTTPLoris to finish and close connections upon
H3C华三 SecPath防火墙SYN Flood攻击防范的典型组网
11-30
H3C华三 SecPath防火墙SYN Flood攻击防范的典型组网
IPV6使用教程
09-13
支持ipv6安装使用 IPv6的安装及使用方法.pdf
什么是SYN Flood攻击?
weixin_30248399的博客
08-30 1167
SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。 说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open),行话叫建立TCP连接的3次握手(TCP three-way handshake...
网络攻击测试方法和工具简介
weixin_30496431的博客
08-07 1984
网络攻击测试方法和工具简介 目录 网络攻击测试方法和工具简介 1 说明 1 漏洞检测 1 扫描系统漏洞 2 网络攻击检测和防护 3 攻击模拟 3 攻击防护 5 说明 本文档内容根据网络上关于网络攻击测试方法和工具进行了分类整理,归纳出最适用于漏洞检测和 DDOS 攻防测试工具。本文中出现的工具大部分属于开源和可以免费获取到的网络工具。 漏洞检测 目前针对漏洞检测的工具分为两大类: 网络安全公司开...
使用nftables处理ARP Flood攻击
u010459931的博客
08-31 893
需要基于debian8 jessie处理arp flood——大量arp报文施加于设备某端口,设备业务通讯不受影响,查阅资料,比较好的方式是使用nftables工具; nftables工具在linux内核版本>3.13以上均支持使用,但debian8 jessie无法apt-get install获取,需要从源码自己编译,官网链接https://netfilter.org/projects/nftables/ 下载libmnl、libnftnl、nftables三个源码tar.bz2,先编译前两个,最后
ipv6 web 慢速ddos 攻击方法 攻击工具 攻击过程 防御方法
最新发布
04-29
首先,我必须强调,任何形式的DDoS攻击都是非法的,会对服务器造成严重的损害。因此,我不会教授任何恶意攻击的方法和工具,...总之,防范IPv6 Web慢速DDoS攻击需要综合考虑多种防御手段,以确保服务器的安全和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值