第一天开通博客的学习记录
2017-10--7 学习心得
我之所以要努力,是因为想按照自己想的生活方式生活
第一次写东西,只是为了对学习的过程有个总结,也是看别人写的东西的小总结,我觉得在总结的过程自己对别人讲的东西才有更深刻的理解,文章并非本人原创,现在也远远没有写一篇好文章的水平,希望自己可以把写博客这件事坚持下去,不断提高
ddos攻击
防御手段:(1)本地清洗 (2)运营商清洗(3)云清洗
攻击类型:
流量型(直接型):syn/ack/icmp/udp/connection flood
反射型:ntp/dns/ssdp/icmp
Cc: 特点:流量变化不明显,业务访问缓慢,超时严重,大量访问请求指向同一个或者少数页面
http慢速:流量变化不明显,业务访问缓慢,严重超时,大量不完整的http get请求,出现有规律的http post 请求的报文
url反射 : 流量变化明显,业务访问缓慢,严重超时,大量请求的referer字段相同,表明来自同一跳转页面
防御ddos选用设备是要考虑的问题
1.所选的网络环境中,有多少条互联网出口,每一条带宽是多少。
2.每一套互联网出口的运营商是否支持ddos攻击清洗/紧急带宽扩容,我们是否可以购买或者紧急试用,当发生ddos需要运营商清洗时,具体的应急流程是否确定
3.每一条互联网出口线路,是否具备本地ddos攻击清洗能力
4.本地抗ddos攻击设备服务商,是否提供了ddos攻击应急预案。
5.所有需要防御的业务,是否都在抗ddos设备监控范围内
6.发生ddos攻击时,需要自动清洗的业务,是否可以自动牵引并清洗
7.当发生ddos攻击如何第一时间感知
应急ddos攻击应急预案
流量型(直接)-流量未超过链路带宽-本地清洗
流量型(直接)-流量超过链路带宽-通知运营商清洗||临时扩容||云清洗-本地清洗
针对sys,ack,udp,icmp类型的flood攻击
一般情况下:本地清洗设备防御算法可应对,首包丢弃,ip溯源
特殊情况下:增加限速,保证在遭受攻击时候保持业务基本可用性
通过排查发现攻击ip具有地域特性,可以根据地域进行限制
流量型:
针对ntp,dns,ssdp类型的反射攻击
一般情况下:对udp碎片包的丢弃,限速
特殊情况下:反射攻击的特征大多呈现固定源端口,固定目的ip地址的流量占用了整个链路宽度90%.可以针对这些特征配置丢弃原则
cc-本地清洗-本地清洗效果不佳-云清洗
对于cc攻击,如果清洗效果不明显,可以使用静态页面替换
http-本地清洗-效果不佳后-云清洗
对http body慢速攻击,攻击过程中分析出攻击工具的特征后,针对特征在本地防御设备配置
url(反射)-Benin清洗+云清洗
针对这种攻击,攻击过程中找出反射源,在本地防御设备进行高级配置
参考链接:http://blog.nsfocus.net/ddos-attack-plan/