- 1、本文档共41页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* (squid) access-list 152 permit tcp any host eq www access-list 153 permit tcp any host eq www established interface {int} rate-limit output access-group 153100000 100000 conform-action transmit exceed-action drop rate-limit output access-group 152 1000000 100000 100000 conform-action transmit exceed-action drop 是带宽的最大值 1000000 是SYN攻击速率 50% 到30% 的值 与ISP合作;对网络边界进行加固(阻断ICMP、UDP;对外来非法地址数据包过滤;对外出数据包过滤,如其他源ip包;禁止定向的ip广播 no ip directed-broadcast);限制访问量;对路由刷新做身份认证;sink hole - 来查看slammer蠕虫(向随机目的地址发送数据包) * 我们知道,TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目,当SYN请求不断增加,并这个空间,致使系统丢弃SYN连接。为使半连接队列被塞满的情况下,服务器仍能处理新到的SYN请求,SYN cookies技术被设计出来。 当半连接队列满时,SYN cookies并不丢弃SYN请求,而是通过加密技术来标识半连接状态。 在TCP实现中,当收到客户端的SYN请求时,服务器需要回复SYN+ACK包给客户端,客户端也要发送确认包给服务器。通常,服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数,但在SYN cookies中,服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算,加密得到的,称之为cookie。当服务器遭受SYN攻击使得backlog队列满时,服务器并不拒绝新的SYN请求,而是回复cookie(回复包的SYN序列号)给客户端, 如果收到客户端的ACK包,服务器将客户端的ACK序列号减去1得到cookie比较值,并将上述要素进行一次hash运算,看看是否等于此cookie。如果相等,直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。 * * * * * * * * * * * * * UDP DNS Query Flood攻击防护 字符串匹配查找是DNS服务器的主要负载 微软的统计数据,一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求 一台P3 的主机可以很轻易地发出每秒上万个请求 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求,引起连锁反应 蠕虫扩散带来的大量域名解析请求 攻击的危害性和 DNS 服务器的脆弱性 在通用 UDP Flood 防护算法上加入对 UDP DNS Query Flood 攻击的防护 根据域名 IP 自学习结果主动回应,减轻服务器负载(内建高速 DNS Cache) 根据域名信誉机制过滤部分解析请求 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制 结合 IP 信誉机制,在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级 限制每个源 IP 地址每秒的域名解析请求次数 UDP DNS Query Flood防护 Connection Flood 和蠕虫扩散 利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 蠕虫代码比较简单,行为也较简单,传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源如防火墙的连接数 Connection Flood防护机制 主动清除残余连接 对恶意连接的IP进行封禁 限制每个源IP的连接数 可以对特定的URL进行防护 反查Proxy后面发起HTTP Get Flood的源 Get Flood 防护算法 HTTP Get Flood 防护 对网络数据包进行HTTP协议解码,分析出HTTP Get请求及其参数(如URL等); 统计到达每个服务器的每秒钟的GET 请求数,如果超过设定的阈值触发防护机制: 判断某个GET 请求是否来自代理服务器;如果是,则直接回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求,这样HTTP Get请求就无法
文档评论(0)