防火墙 | DDos攻击防范技术

最新推荐文章于 2024-06-03 10:58:35 发布
最新推荐文章于 2024-06-03 10:58:35 发布
阅读量2.7k 收藏 11
点赞数 3
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yu_19980401/article/details/109551195
版权

防火墙 | DDos攻击防范技术

DDos通用技术防范技术

静态过滤:直接丢弃位于黑名单中的IP地址发出的流量,或者直接让位于白名单的IP地址发出的流量通过。

畸形报文过滤:过滤利用协议栈漏洞的畸形报文攻击。

扫描窥探报文过滤:过滤探测网络结构的扫描型报文和特殊控制报文。

源合法性认证:基于应用来认证报文源地址的合法性,这些应用支持协议交互。清洗设备通过发送源探测报文及检查响应报文来防范虚假源或工具发出的攻击流量。

基于会话防范:基于会话来防御并发连接、新建连接或异常连接超过阈值的连接耗尽类攻击。
特征识别过滤:主要靠指纹学习和抓包分析来获得流量特征,防范僵尸工具或通过代理发起的攻击流量,以区别正常用户的访问行为。

其中抓包分析是指对异常/攻击流量抓包以生成抓包文件,通过对抓包文件进行解析和提取指纹,能够获取流量特征。

流量整形:流量经过此前各分层过滤之后,流量依然很大,超过用户实际带宽,此时采用流量整形技术,确保用户网络带宽可用。

在这里插入图片描述

  • 基于接口的防御
    在配置防御策略时,管理员应该首先配置基于接口的防御策略,以应对大流量攻击。Anti-DDoS设备在收到报文时,首先在接口板对报文进行合法性检查。通过认证的报文允许通过;没有认证通过的报文禁止通过。

  • 基于全局的防御
    配置全局防御方式后,设备对流经的所有流量进行检测和清洗,不区分流量属于哪个防护对象。

  • 基于防护对象的防御

  • 基于网段的防御。基于网段的防御是指针对整个防护对象设置防御阈值,将每个防护对象的所有目的IP流量集中统计,一旦流量达到告警阈值则触发防御。

  • 基于服务的防御。清洗设备将到达防护对象的流量按照目的IP地址、协议类型和目的端口,定义为不同的服务类型,针对不同类型的服务配置不同的防御策略,进行精细化防御和差异化防御。

  • 基于防护对象的默认防御策略。默认防御策略中的各种防御方式主要是针对非服务流量进行防御的。到达防护对象的流量中,通常除了服务流量外,还有很多非服务流量。这些非服务的流量有的是用户操作产生的流量(比如:Telnet、Ping等),有的是冗余或者攻击流量,针对不同类型的流量,可以配置不同的防御手段。

在这里插入图片描述

首包丢弃

处理过程

开启首包丢弃功能后,SYN、TCP、DNS、UDP、ICMP各类流量超过阈值后,设备会丢弃报文首包。

基于三元组(源IP地址、源端口和协议)来匹配报文,并通过报文的时间间隔来判断首包:
当报文没有匹配到任何三元组时,认为该报文是首包,将其丢弃。

当报文匹配到某三元组,则计算该报文与匹配该三元组的上一个报文到达的时间间隔。
如果时间间隔低于设定的下限,或者高于设定的上限,则认为是首包,将其丢弃;如果时间间隔落在配置的上限和下限之间,则认为是后续包,将

最低0.47元/天 解锁文章
农夫山泉瓶子
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
互联网创业公司如何防御DDoS攻击
a2215798338的博客
04-22 6862
DDoS(Distributed Denial of Service,分布式拒绝服务)主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御的攻击之一。 什么是DDoS攻击? 看到一个好玩的解释,源自百度百科,一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺
防火墙报文转发流程
sgslwms的博客
08-09 5185
网络设备对流量的处理最终都是通过对单个报文的识别、转发、丢弃和改造来实现的。根据报文的类型和所配置的策略不同,FW对报文的处理过程也有所不同。USG6000典型的IP报文从接收到发送的简化转发流程如下图所示:总体可以分为三个阶段:分析会话前、会话中、会话后的转发流程。......
【网络安全】DDoS攻击详解
最新发布
abao6690的博客
06-03 948
【网络安全】DDoS攻击详解
DDoS 攻击与防御
qq_45378738的博客
07-02 1639
分布式拒绝服务攻击(Distributed Denial of Service),是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。DDoS 是一种基于 DoS 的特殊形式的拒绝服务攻击。单一的 DoS 攻击一般是采用一对一方式,利用网络协议和操作系统的缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与 DoS 相比,DD
【网络攻击与防御】关于防御DDoS攻击防火墙技术概述
yugioh001的博客
01-08 3176
在关键网络节点部署防火墙是目前较为主流且适用场景最广的DDoS攻击防范手段,能够有效抵御或减缓各种常见的DDoS攻击,保证内部网络主机的正常运行。
【网络安全之—DDoS攻击
m0_37922995的博客
07-07 4723
DDoS的防护是个系统工程,想仅仅依靠某种系统或产品防住DDoS是不现实的,可以肯定的说,完全杜绝DDoS目前是不可能的,但通过适当的措施抵御大多数的DDoS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDoS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。同时也能够更好地协调进攻,因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。
不用防火墙自动对付CC攻击防范vbs
09-30
面对CC攻击,传统的防火墙可能难以有效防御,因为它难以区分正常用户和恶意用户的行为。因此,我们需要采取其他措施来防范: 1. **限制并发连接数**:设置Web服务器限制每个IP地址的最大并发连接数,超出限制的连接...
计算机安全技术大作业实验报告-DDoS攻击的原理及防范.pdf
10-06
DDoS攻击防范防范DDoS攻击的关键在于检测和缓解。首先,可以通过防火墙和入侵检测系统(IDS)来识别异常流量和行为。其次,使用流量清洗服务,过滤掉恶意流量,只让合法请求到达目标。此外,网络和系统优化也...
DDOS攻击类型以及iptables防范ddos脚本.docx
10-29
可以使用iptables防火墙防范DDOS攻击。例如,可以使用以下脚本来统计处于SYN_RECV状态的IP地址,并将其加入到iptables的INPUT链中: ```bash #!/bin/bash netstat -an|grep SYN_RECV|awk '{print $5}'|awk -F: '{...
借路由器抗DDoS攻击.pdf
10-09
由于防火墙位于路由设备内侧,无法为其提供安全服务,因此在遭受DDoS攻击后,需要从H3C MSR系列路由器自身出发,以攻击检测AP为主要防范手段,避免核心路由设备遭到DDoS攻击。 四、攻击检测AP 攻击检测AP是H3C ...
冰盾DDOS防火墙 版本12.0
03-16
 SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻击。  拒绝CC等TCP全连接攻击  自动阻断某一IP对服务器特定端口的大量TCP全连接资源耗尽攻击,包括抵御多种CC变种攻击。  防止脚本攻击  ...
DDOS检测之首包丢弃
focus on security
02-22 3454
攻击原理 对于有些攻击是不断变换源IP地址或者源端口号的,这样的攻击报文都不相同,而且攻击量很大。 通过首包丢弃,可以有效拦截这部分流量。 防御原理 正常情况下,对于TCP、DNS、ICMP报文都具有重传功能,如果在交互过程中报文被丢弃,则都会重传。 首包丢弃正式利用了报文的重传机制,将收到的第一个报文丢弃,以判定后续是否有重传报文。 首包丢弃就是为了防御大流量攻击,与源认证方式结合可有效防御变换源IP或源端口号的攻击。 判定报文是否属于重传报文是基于三元组及时间间隔来判断的。 三元组包含源
DDOS之首包丢弃防护
focus on security
03-25 561
首包丢弃为了防御大流量攻击,与源认证方式结合,有效防御攻击源变换源IP、端口号。 对于TCP、DNS、ICMP报文都具有重传的特点,如在交互过程中报文被丢弃,则会重传。
华为防火墙笔记-报文处理流程
weixin_46622350的博客
12-06 6303
全系列状态检测防火墙报文处理流程 状态检测与会话机制是华为防火墙对报文处理的关键环节,即防火墙收到报文后,何时、如何创建会话,命中会话表的报文如何被转发。我们自然而然地就会把防火墙上的报文处理过程分为查询会话表前、中、后三个阶段。 查询会话前的处理过程:基础处理 这个阶段的主要目的是解析出报文的帧头和IP头,并根据报文头部中的信息进行一些基础的安全检测(单包攻击防范)。 查询会话中的处理过程:转发处理,关键是会话建立 这个阶段是防火墙对报文转发处理的核心。建立会话表,根据会话...
DDoS攻击原理及防御
xiaoweids的博客
07-24 3016
转自:微点阅读 https://www.weidianyuedu.com 随着网络时代的到来,网络安全变得越来越重要。在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击者最青睐的攻击方式,它严重威胁着互联网的安全。那么,DDoS攻击原理是什么?下面微点阅读小编就为大家介绍一下相关知识点,我们一起来看看吧!  DDoS攻击原理及防护措施介绍:  一、DDoS攻击的工作原理  1.1 DDoS的定义  DDos的前身
DDOS攻击防范防御的大致方法
qq_47529104的博客
04-20 649
1、系统启用流量统计 由于不同的攻击类型采用的攻击报文不同,因此FW需要开启流量统计功能,对经过自身的各种流量进行统计。以区分攻击流量以及正常流量。另外,开启了流量统计功能便于系统根据统计结果来判断攻击流量是否超过预先设定的阈值。FW使用绑定接口的方式去开启流量的统计功能,并对来自绑定接口的流量按照目的地址的方式进行统计。FW主要用户来沪内网服务器或主机不受外网主机的攻击,因此被绑定的接口应为FW连接外网的接口。 2、流量超过设定的阈值 FW需要为不同的攻击类型设置不同的防范阈值,当某一类型的流量
DDOS攻击解决方法
qq_43245628的博客
04-21 2464
1.首先要做的,是屏蔽海外的访问(如果没有海外业务的话),因为目前来说大部分ddos攻击额流量都来自于海外,所以通过服务器的防火墙,或者是其它的软件设置,完全屏蔽海外的ip请求,是有一定几率恢复访问的。 2.假如有数据的备份,请立刻购买新的服务器(根据上面的建议,新服务器建议购买高防,但是高延迟的欧洲区域,这样可以在攻击时期临时顶替),在备用服务器上恢复数据后,就可以立刻恢复业务。等待主服务器恢复或者攻击结束,请及时更换主服务器ip,并且设置cdn等安全服务。 3.假如没有数据备份?请立刻将域名解析取消,然
ddos攻击防范方法
05-29
1. 使用防火墙防火墙可以识别和过滤掉恶意流量,这是防范DDoS攻击的基本措施之一。 2. 加强网络安全:网络安全是防止DDoS攻击的关键,包括加密通信、强密码、身份验证、安装最新的更新和补丁等。 3. 使用CDN:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值