DDOS抗拒绝服务幻灯片.pptVIP

* （squid） access-list 152 permit tcp any host eq www access-list 153 permit tcp any host eq www established interface {int} rate-limit output access-group 153100000 100000 conform-action transmit exceed-action drop rate-limit output access-group 152 1000000 100000 100000 conform-action transmit exceed-action drop 是带宽的最大值 1000000 是SYN攻击速率 50% 到30% 的值 与ISP合作；对网络边界进行加固（阻断ICMP、UDP；对外来非法地址数据包过滤；对外出数据包过滤，如其他源ip包；禁止定向的ip广播 no ip directed-broadcast）；限制访问量；对路由刷新做身份认证；sink hole － 来查看slammer蠕虫（向随机目的地址发送数据包） * 我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYN cookies技术被设计出来。　　当半连接队列满时，SYN　cookies并不丢弃SYN请求，而是通过加密技术来标识半连接状态。　　在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN＋ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的SYN序列号）给客户端， 如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手（注意：此时并不用查看此连接是否属于backlog队列）。 * * * * * * * * * * * * * UDP DNS Query Flood攻击防护 字符串匹配查找是DNS服务器的主要负载 微软的统计数据，一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求 一台P3 的主机可以很轻易地发出每秒上万个请求 随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应 蠕虫扩散带来的大量域名解析请求 攻击的危害性和 DNS 服务器的脆弱性 在通用 UDP Flood 防护算法上加入对 UDP DNS Query Flood 攻击的防护 根据域名 IP 自学习结果主动回应，减轻服务器负载（内建高速 DNS Cache） 根据域名信誉机制过滤部分解析请求 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制 结合 IP 信誉机制，在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级 限制每个源 IP 地址每秒的域名解析请求次数 UDP DNS Query Flood防护 Connection Flood 和蠕虫扩散 利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫代码比较简单，行为也较简单,传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源如防火墙的连接数 Connection Flood防护机制 主动清除残余连接 对恶意连接的IP进行封禁 限制每个源IP的连接数 可以对特定的URL进行防护 反查Proxy后面发起HTTP Get Flood的源 Get Flood 防护算法 HTTP Get Flood 防护 对网络数据包进行HTTP协议解码，分析出HTTP Get请求及其参数（如URL等）； 统计到达每个服务器的每秒钟的GET 请求数，如果超过设定的阈值触发防护机制： 判断某个GET 请求是否来自代理服务器；如果是，则直接回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的请求，这样HTTP Get请求就无法