参考资料
-
SYN Flood攻击
-
识别特征:大量半连接状态(SYN_RECEIVED),耗尽服务器资源。
-
检测方法:监控SYN包速率与ACK响应比例异常。
-
-
UDP Flood攻击
-
识别特征:UDP流量激增(如DNS/SNMP端口),无正常交互模式。
-
检测方法:分析UDP包大小/频率,检查是否存在响应请求。
-
-
HTTP Flood攻击
-
识别特征:高频HTTP请求(GET/POST),模仿正常用户。
-
检测方法:统计请求速率,检测User-Agent/IP行为异常。
-
-
ICMP Flood攻击
-
识别特征:ICMP Echo请求(Ping)流量突发。
-
检测方法:监测ICMP包数量及来源IP分布。
-
-
NTP放大攻击
-
识别特征:小型请求触发大量NTP响应包。
-
检测方法:检查NTP服务器响应流量与请求比例。
-
-
DNS放大攻击
-
识别特征:伪造源IP的DNS查询导致响应激增。
-
检测方法:分析DNS响应包体积与查询包比例。
-
-
Slowloris攻击
-
识别特征:长期保持部分HTTP连接,耗尽连接池。
-
检测方法:监控不完整连接持续时间及数量。
-
-
SSDP反射攻击
-
识别特征:UPnP设备响应流量突增。
-
检测方法:检测SSDP响应包数量与来源设备分布。
-
通用检测手段:
-
流量基线比对
-
协议异常分析
-
源IP地理分布检查
-
包大小/速率阈值告警
-
行为模式机器学习分析
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
