DOS攻击:
反射型DOS包括: CharGen SNMP NTP SSDP Memcached 放大攻击
直接拒绝服务攻击 :带宽消耗DoS
RST攻击重置 teardrop分片 片偏移改为和上分片重叠或者错开的值
状态耗尽 slowloris http get flood(cc) syn flood 死亡ping(超大数据包) smurf(修改源为受害者) fraggle(udp)
应用层攻击 SQL injection dos XML bomb attack CSRF DOS 6.僵尸网络和botnet 7.反射型和分布式反射
防御:防火墙设置、IDS、IPS、CDN、流量清洗、抗D服务 增加带宽、负载均衡、限制并发连接数、部署WAF、IP黑名单、验证码技术,定期清理过期session
CC攻击: challenge collapsar
针对WEB程序的DOS攻击,控制多个客户端机器,模拟大量合法用户向目标发送请求,导致资源耗尽,从而无法为真正的用户提供正常服务。通常瞄准资源消耗多 操作 搜索查询、文件上传下载 访问数据库 执行复杂计算 文件系统操作,比起dos,cc更难防御。用了真实的ip地址
攻击者用工具或者脚本控制傀儡机,
CC攻击的方式:
HTTP Flood:通过大量发送HTTP GET或POST请求来消耗服务器资源。
Slowloris:每个连接只发送一小部分数据,使得服务器保持连接状态而占用大量资源。
Application Layer Attacks:针对特定应用层协议(如FTP、SMTP等)进行攻击。
User-Agent Flood:通过伪造不同的用户代理字符串来消耗服务器资源。
SYN Flood:虽然不是典型的CC攻击,但通过发送大量的半开连接请求也会导致服务器资源耗尽。
IDS:
IDS分析网络流量,检测可能的攻击和异常行为。根据网络活动行为特征和规则进行检测,检测到攻击时可以封锁攻击源、通知管理员。及时更新签名库,识别最新的dos攻击,可以与SIEM事件关联,识别更复杂的攻击。设置合理阈值。被动安全工具的,通常旁路部署
可以直路或者旁路,对所有经过的数据包进行检查,根据策略组织流量。旁路模式下IPS类似IDS
云镜:
云镜是腾讯云的云主机安全产品,实时监控,恶意文件查杀、风险发现和修复、系统加固。
一些安全公司可能会将他们的整体安全解决方案称为“云镜”,这类解决方案通常包括防火墙、入侵检测/防护系统(IDS/IPS)、安全信息和事件管理(SIEM)、日志管理和审计等功能。
WAF:
WAF 是一种位于 Web 应用和 Internet 之间的安全设备或软件,它可以识别并阻止对 Web 应用的恶意流量。通过监控、过滤和阻止异常请求,WAF 可以帮助防止各种攻击,如 SQL 注入、跨站脚本(XSS)、命令注入等。
WAF 的原理:
规则匹配:WAF 配置有预定义的规则库,这些规则可以识别出潜在的恶意请求。当请求到达时,WAF 将其与规则库进行比较,如果发现匹配项,则会采取相应的行动,例如拒绝请求、记录事件或发送警报。
行为分析:除了基于规则的检测外,一些高级的 WAF 还支持行为分析功能。这可以通过跟踪用户的活动模式来检测异常行为,即使攻击者试图规避传统的规则匹配方法,也可以识别出来。
学习模式:某些 WAF 支持学习模式,它可以根据正常流量的行为自动创建白名单,只允许符合白名单特征的流量通过。
堡垒机:
堡垒机,也称为运维安全审计系统,是一种网络安全设备,用于监控和记录运维人员对网络内服务器、网络设备、安全设备、数据库等设备的操作行为。它的目的是保障网络和数据不受来自外部和内部用户的入侵和破坏
举个例子,一个公司的IT部门可能使用堡垒机来管理员工对服务器的远程访问。当员工尝试登录服务器时,他们首先需要通过堡垒机进行身份验证。一旦认证成功,堡垒机会根据预设的权限控制员工可以访问的服务器和执行的操作。所有的操作都会被堡垒机记录下来,如果发生安全事件,这些记录可以用来追踪和确定责任人。
堡垒机记录操作的方式通常是通过会话录像和日志审计。它不仅记录命令行操作,还能够捕获图形界面的操作。这些记录包括用户的每一次登录、执行的每一个命令、访问的每一个文件,甚至是每一次屏幕上的点击动作。
在堡垒机上进行操作的流程是这样的:
用户通过堡垒机与目标设备建立连接。
用户在堡垒机上进行认证,通过后才能访问内部网络。
用户在堡垒机上进行操作,这些操作通过堡垒机转发到目标设备。
堡垒机实时记录用户的操作,并将这些记录存储在安全的审计数据库中。
这样,即使用户直接在目标设备上进行操作,所有的操作也都会通过堡垒机进行中转和记录,确保了操作的可追溯性和审计的可能性。这对于遵守合规要求、进行事后分析和调查潜在的安全事件非常重要。
3743
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
