亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于Web端口的DDos防范策略

        2012-04-29 17:10:24譚小華
        2012年16期
        關(guān)鍵詞:源地址序列號(hào)防火墻

        譚小華

        摘要:就目前互聯(lián)網(wǎng)上的各種攻擊來(lái)看,針對(duì)Web的DDos攻擊是最難以讓人防范的,因?yàn)樗嬖诤茈y區(qū)分惡意攻擊者和正常用戶之間的問(wèn)題,所以很多管理員不是將攻擊者和用戶一起屏蔽了,就是完全對(duì)這樣的攻擊毫無(wú)辦法。

        關(guān)鍵詞:SYN攻擊技術(shù)、SYN Flood、SYN防火墻針對(duì)Web服務(wù)方面的攻防技術(shù),可大致分為2個(gè)部分,分別是針對(duì)Web端口的DDos攻防、針對(duì)Web腳本的DDos攻防。

        SYN FLOOD是利用TCP協(xié)議本身的缺陷發(fā)起的攻擊,所以要從根源上防御這樣的攻擊,需要對(duì)協(xié)議進(jìn)行修改或者拋棄這個(gè)協(xié)議,所以這些是基本上不可能出現(xiàn)的情況。如何從實(shí)用的角度來(lái)防范這樣的攻擊呢?

        近幾年普遍使用的防SYN攻擊技術(shù)大概包含SYN cookie防御、SYN proxy防御、SYN包判斷防御、SYN首包丟棄防御、地址狀態(tài)監(jiān)控防御等。以下分別對(duì)幾種防御技術(shù)進(jìn)行分析:

        一、 SYN cookie防御思路

        在正常情況下服務(wù)器接收的 TCP SYN 數(shù)據(jù)包,當(dāng)您更改立即連接請(qǐng)求分配一個(gè)緩沖區(qū),并返回一個(gè) SYN + ACK,這是形成一個(gè)半連接。SYN 洪水使用此 SYN 連接請(qǐng)求,發(fā)送大量的欺騙的來(lái)源地址,若要?jiǎng)?chuàng)建,而連接只需耗盡服務(wù)器上的資源。

        對(duì)于標(biāo)準(zhǔn) TCP 連接 SYN cookie 技術(shù)建立在資源配置中的缺陷的過(guò)程中,資源分配策略時(shí)后收到消息,服務(wù)器不會(huì)立即分配一個(gè)緩沖區(qū)中, 發(fā)生更改,但使用的連接信息來(lái)生成一個(gè) cookie,cookie 作為消息要返回的 SYN + ACK 初始序列號(hào)。當(dāng)客戶端,基于標(biāo)頭信息的 cookie,并返回確認(rèn)序列號(hào)返回 ACK 消息時(shí) (的初始序列號(hào) + 1) 比較第 24 位,如果是一樣的它是一個(gè)正常連接和分配資源,以建立連接。Cookie 的計(jì)算是實(shí)施這一技術(shù)的關(guān)鍵,cookie 的計(jì)算必須包含此連接的狀態(tài)信息,這樣,攻擊者不能偽造 cookie。

        二、 SYN proxy防御思路

        SYN 代理防御方法,一般來(lái)說(shuō),不使用服務(wù)器本身,但在服務(wù)器前端的防火墻中使用。后在防火墻上收到的 SYN 數(shù)據(jù)包,他們響應(yīng) SYN ACK 數(shù)據(jù)包回給發(fā)起人,在其自己的內(nèi)部連接,啟動(dòng)器返回 ACK 數(shù)據(jù)包之后, 新結(jié)構(gòu) SYN 數(shù)據(jù)包到服務(wù)器,建立一個(gè)真正的 TCP 連接。

        SYN ACK 發(fā)送到啟動(dòng)器的向防火墻 SYN ACK 數(shù)據(jù)包,此進(jìn)程防火墻 SYN 和 ACK 數(shù)據(jù)包由服務(wù)器啟動(dòng)器序列編號(hào)序列編號(hào) SYN ACK 數(shù)據(jù)包,因?yàn)橄嗤男蛄刑?hào)或確認(rèn)號(hào)碼,隨后包發(fā)送的數(shù)據(jù)包防火墻響應(yīng)您應(yīng)該知道的要調(diào)整修改提交到服務(wù)器的通信。

        SYN proxy的方法可以保證到達(dá)服務(wù)器的連接都是合法的連接,有攻擊時(shí)服務(wù)器并不會(huì)受到?jīng)_擊,都是由防火墻來(lái)承受,但是本質(zhì)上也不能真正防御SYN Flood,因?yàn)橐坏┯谐^(guò)防火墻負(fù)載能力的DDos攻擊出現(xiàn),首先被拒絕服務(wù)的就是防火墻本身。

        三、 SYN包異常判斷防御技術(shù)思路

        對(duì)于構(gòu)造出來(lái)的SYN攻擊,源地址、源端口等值都可能是隨機(jī)的,不能判斷是否真是攻擊包,但攻擊程序一般并不是真正完善,還是可以通過(guò)一定特點(diǎn)檢測(cè)出來(lái):

        1) 判斷SYN是否帶TCP選項(xiàng):一般的TCP SYN包中都要帶選項(xiàng),SYN 數(shù)據(jù)包的選項(xiàng)是法律理論中,是最有可能不具有偽假。

        2)確定 TCP 窗口中的值 ;此值提供了當(dāng)前機(jī)器接收數(shù)據(jù)作為發(fā)起連接的緩沖區(qū)大小是太小了,是不足夠的較小的值通常大多偽造。

        3) 確定的 IP TTL 值: 固定的服務(wù)器角色,TTL 值,可以檢測(cè)到提前到另一個(gè)地址,如果它找到的 TTL 值和理論值的差異是太大,大多是偽造。

        4)判斷IP ID:TCP window,TCP序列號(hào)等值在不同SYN包中相同的可能性很小,如果連續(xù)的SYN包這些值都相同,基本上都是偽造包。

        首包丟棄法是一種利用用戶行為進(jìn)行抵御SYN攻擊的方式。

        真正的 TCP 連接,如果沒有響應(yīng)到第一個(gè)包,用戶可以發(fā)送 SYN 數(shù)據(jù)包的嘗試再次連接,沒有重復(fù)攻擊的大多數(shù)程序,防火墻 SYN 數(shù)據(jù)包被丟棄,第一次就可,只是在后來(lái)接受。但如果要學(xué)習(xí)重復(fù)合同程序的攻擊,防御是無(wú)效的。

        四、 地址狀態(tài)監(jiān)控防御技術(shù)思路

        最后,地址狀態(tài)監(jiān)控是比較完善的解決SYN攻擊的方案。

        地址監(jiān)控解決方案是使用工具監(jiān)測(cè)治療中的 TCP 連接的數(shù)據(jù)包和專員的監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的聆訊,基于源地址的連接請(qǐng)求。

        每個(gè)源狀態(tài),匹配,有狀態(tài)的 4 種類型: ① 早期狀態(tài): 任何源地址剛開始狀態(tài) ;② 新的條件: 第一次您接收或也可以不是反復(fù)出現(xiàn)的結(jié)論是有源地址的狀態(tài) ;③ 好狀態(tài): 得出結(jié)論存在的國(guó)務(wù)院 ; 源地址④ 貧窮國(guó)家: 源地址不存在或不是國(guó)務(wù)院在石上。具體的行動(dòng)和根據(jù)狀態(tài)代碼值位 TCP 報(bào)頭中的過(guò)渡效果。

        五、 使用SYN防火墻防御

        上面的分析都是從技術(shù)層面上發(fā)起的,太理論化,而實(shí)際的工作過(guò)程中,有很多的防火墻可以幫助管理者防御SYN FLOOD。常見的硬件防火墻類產(chǎn)品大致包含3種類型。

        SYN SYN 數(shù)據(jù)包網(wǎng)關(guān)防火墻: 防火墻客戶端將直接轉(zhuǎn)到服務(wù)器 SYN/SYN ACK ACK,一方面,數(shù)據(jù)包轉(zhuǎn)發(fā)和防火墻服務(wù)器客戶端軟件包,另一方面,回發(fā)到服務(wù)器以完成未收到三向握手,TCP ACK 數(shù)據(jù)包,客戶端將連接到的服務(wù)器端的連接狀態(tài)。當(dāng)客戶端真正 ACK 數(shù)據(jù)包到達(dá),數(shù)據(jù)傳遞到服務(wù)器,否則該數(shù)據(jù)包將被丟棄。因?yàn)榉?wù)器連接狀態(tài)可以有效地一半 2 周可以承受比許多可以降低服務(wù)器攻擊多得多。

        被動(dòng)防火墻設(shè)置防火墻 SYN SYN 超時(shí)請(qǐng)求網(wǎng)關(guān),使它比服務(wù)器超時(shí)要小得多。防火墻客戶端發(fā)送到服務(wù)器 SYN 數(shù)據(jù)包轉(zhuǎn)發(fā),SYN/ACK 包服務(wù)器發(fā)送到客戶端,與客戶端發(fā)送到服務(wù)器的 SYN 數(shù)據(jù)包。這種方式,在防火墻中計(jì)時(shí)器過(guò)期如果客戶端不發(fā)送 ACK 數(shù)據(jù)包,一半的防火墻服務(wù)器連接從隊(duì)列中刪除,并向服務(wù)器發(fā)送一個(gè) RST 數(shù)據(jù)包。防火墻超時(shí)參數(shù)小于服務(wù)器的超時(shí)期限,,因?yàn)橛行Х雷o(hù) SYN 攻擊。

        SYN 中繼防火墻: 防火墻,接收客戶端的不傳輸 SYN 數(shù)據(jù)包狀態(tài)信息但板服務(wù)器和客戶端然后回顯 SYN/ACK 數(shù)據(jù)包之后,您向客戶表明這是正常訪問(wèn)獲取確認(rèn)包、 向服務(wù)器發(fā)送 SYN 數(shù)據(jù)包從防火墻和完成 3 次握手。防火墻行為作為代理服務(wù)器、 客戶端和服務(wù)器端的連接可以實(shí)現(xiàn)完全過(guò)濾掉未連接到服務(wù)器。(作者單位:重慶工貿(mào)職業(yè)技術(shù)學(xué)院)

        參考文獻(xiàn):

        [1]《黑客Web腳本攻擊與防御技術(shù)核心剖析》郝永清編著科學(xué)出版社

        [2]網(wǎng)絡(luò)的攻擊與防范牛少彰江為強(qiáng)編著北京郵電大學(xué)出版社

        猜你喜歡
        源地址序列號(hào)防火墻
        國(guó)內(nèi)互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證研究進(jìn)展①
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        recALL
        下一代防火墻要做的十件事
        實(shí)現(xiàn)RSF機(jī)制的分布式域間源地址驗(yàn)證
        PP助手教你辨別翻新iPhone5小白不再中招
        網(wǎng)絡(luò)安全策略中防火墻技術(shù)的應(yīng)用
        天融信防火墻的雙線路路由和VPN設(shè)置
        溫度傳感器DS18B20序列號(hào)批量搜索算法
        筑起網(wǎng)吧“防火墻”
        狠狠色狠狠色综合日日不卡| 日本久久精品视频免费| 男女18视频免费网站| 亚洲午夜成人精品无码色欲 | 女人喷潮完整视频| 国产人碰人摸人爱视频| 国产aⅴ丝袜旗袍无码麻豆| 亚洲国产综合精品一区最新| 男人天堂这里只有精品| 国产精品亚洲综合色区| 亚洲av中文无码字幕色三| 99在线国产视频| 亚洲国产精品嫩草影院久久av | 粉嫩av一区二区在线观看| 国产精品高湖呻呤久久av| 亚洲精品宾馆在线精品酒店| 少妇私密会所按摩到高潮呻吟| 伊伊人成亚洲综合人网7777| 亚洲精品中文字幕乱码二区| 91国产自拍精品视频| 精品久久久久久无码专区| 无码日韩精品一区二区三区免费| 国产成人精品亚洲午夜| 亚洲高清一区二区三区视频| 91精品国自产拍老熟女露脸| 比较有韵味的熟妇无码| 亚洲有码转帖| 欧美亚洲另类 丝袜综合网| av网站免费观看入口| 久久午夜福利无码1000合集| 99精品国产99久久久久久97| 国产视频在线一区二区三区四区 | 免费无遮挡无码视频在线观看| 少妇被爽到自拍高潮在线观看| 日本亚洲系列中文字幕| 欧美丰满熟妇性xxxx| 真实国产乱啪福利露脸| baoyu网址国产最新| 国产在线精品成人一区二区三区| 少妇被粗大的猛进出69影院| 人妻影音先锋啪啪av资源|