亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于Web端口的DDos防范策略

        2012-04-29 17:10:24譚小華
        2012年16期
        關(guān)鍵詞:源地址序列號(hào)防火墻

        譚小華

        摘要:就目前互聯(lián)網(wǎng)上的各種攻擊來(lái)看,針對(duì)Web的DDos攻擊是最難以讓人防范的,因?yàn)樗嬖诤茈y區(qū)分惡意攻擊者和正常用戶之間的問(wèn)題,所以很多管理員不是將攻擊者和用戶一起屏蔽了,就是完全對(duì)這樣的攻擊毫無(wú)辦法。

        關(guān)鍵詞:SYN攻擊技術(shù)、SYN Flood、SYN防火墻針對(duì)Web服務(wù)方面的攻防技術(shù),可大致分為2個(gè)部分,分別是針對(duì)Web端口的DDos攻防、針對(duì)Web腳本的DDos攻防。

        SYN FLOOD是利用TCP協(xié)議本身的缺陷發(fā)起的攻擊,所以要從根源上防御這樣的攻擊,需要對(duì)協(xié)議進(jìn)行修改或者拋棄這個(gè)協(xié)議,所以這些是基本上不可能出現(xiàn)的情況。如何從實(shí)用的角度來(lái)防范這樣的攻擊呢?

        近幾年普遍使用的防SYN攻擊技術(shù)大概包含SYN cookie防御、SYN proxy防御、SYN包判斷防御、SYN首包丟棄防御、地址狀態(tài)監(jiān)控防御等。以下分別對(duì)幾種防御技術(shù)進(jìn)行分析:

        一、 SYN cookie防御思路

        在正常情況下服務(wù)器接收的 TCP SYN 數(shù)據(jù)包,當(dāng)您更改立即連接請(qǐng)求分配一個(gè)緩沖區(qū),并返回一個(gè) SYN + ACK,這是形成一個(gè)半連接。SYN 洪水使用此 SYN 連接請(qǐng)求,發(fā)送大量的欺騙的來(lái)源地址,若要?jiǎng)?chuàng)建,而連接只需耗盡服務(wù)器上的資源。

        對(duì)于標(biāo)準(zhǔn) TCP 連接 SYN cookie 技術(shù)建立在資源配置中的缺陷的過(guò)程中,資源分配策略時(shí)后收到消息,服務(wù)器不會(huì)立即分配一個(gè)緩沖區(qū)中, 發(fā)生更改,但使用的連接信息來(lái)生成一個(gè) cookie,cookie 作為消息要返回的 SYN + ACK 初始序列號(hào)。當(dāng)客戶端,基于標(biāo)頭信息的 cookie,并返回確認(rèn)序列號(hào)返回 ACK 消息時(shí) (的初始序列號(hào) + 1) 比較第 24 位,如果是一樣的它是一個(gè)正常連接和分配資源,以建立連接。Cookie 的計(jì)算是實(shí)施這一技術(shù)的關(guān)鍵,cookie 的計(jì)算必須包含此連接的狀態(tài)信息,這樣,攻擊者不能偽造 cookie。

        二、 SYN proxy防御思路

        SYN 代理防御方法,一般來(lái)說(shuō),不使用服務(wù)器本身,但在服務(wù)器前端的防火墻中使用。后在防火墻上收到的 SYN 數(shù)據(jù)包,他們響應(yīng) SYN ACK 數(shù)據(jù)包回給發(fā)起人,在其自己的內(nèi)部連接,啟動(dòng)器返回 ACK 數(shù)據(jù)包之后, 新結(jié)構(gòu) SYN 數(shù)據(jù)包到服務(wù)器,建立一個(gè)真正的 TCP 連接。

        SYN ACK 發(fā)送到啟動(dòng)器的向防火墻 SYN ACK 數(shù)據(jù)包,此進(jìn)程防火墻 SYN 和 ACK 數(shù)據(jù)包由服務(wù)器啟動(dòng)器序列編號(hào)序列編號(hào) SYN ACK 數(shù)據(jù)包,因?yàn)橄嗤男蛄刑?hào)或確認(rèn)號(hào)碼,隨后包發(fā)送的數(shù)據(jù)包防火墻響應(yīng)您應(yīng)該知道的要調(diào)整修改提交到服務(wù)器的通信。

        SYN proxy的方法可以保證到達(dá)服務(wù)器的連接都是合法的連接,有攻擊時(shí)服務(wù)器并不會(huì)受到?jīng)_擊,都是由防火墻來(lái)承受,但是本質(zhì)上也不能真正防御SYN Flood,因?yàn)橐坏┯谐^(guò)防火墻負(fù)載能力的DDos攻擊出現(xiàn),首先被拒絕服務(wù)的就是防火墻本身。

        三、 SYN包異常判斷防御技術(shù)思路

        對(duì)于構(gòu)造出來(lái)的SYN攻擊,源地址、源端口等值都可能是隨機(jī)的,不能判斷是否真是攻擊包,但攻擊程序一般并不是真正完善,還是可以通過(guò)一定特點(diǎn)檢測(cè)出來(lái):

        1) 判斷SYN是否帶TCP選項(xiàng):一般的TCP SYN包中都要帶選項(xiàng),SYN 數(shù)據(jù)包的選項(xiàng)是法律理論中,是最有可能不具有偽假。

        2)確定 TCP 窗口中的值 ;此值提供了當(dāng)前機(jī)器接收數(shù)據(jù)作為發(fā)起連接的緩沖區(qū)大小是太小了,是不足夠的較小的值通常大多偽造。

        3) 確定的 IP TTL 值: 固定的服務(wù)器角色,TTL 值,可以檢測(cè)到提前到另一個(gè)地址,如果它找到的 TTL 值和理論值的差異是太大,大多是偽造。

        4)判斷IP ID:TCP window,TCP序列號(hào)等值在不同SYN包中相同的可能性很小,如果連續(xù)的SYN包這些值都相同,基本上都是偽造包。

        首包丟棄法是一種利用用戶行為進(jìn)行抵御SYN攻擊的方式。

        真正的 TCP 連接,如果沒有響應(yīng)到第一個(gè)包,用戶可以發(fā)送 SYN 數(shù)據(jù)包的嘗試再次連接,沒有重復(fù)攻擊的大多數(shù)程序,防火墻 SYN 數(shù)據(jù)包被丟棄,第一次就可,只是在后來(lái)接受。但如果要學(xué)習(xí)重復(fù)合同程序的攻擊,防御是無(wú)效的。

        四、 地址狀態(tài)監(jiān)控防御技術(shù)思路

        最后,地址狀態(tài)監(jiān)控是比較完善的解決SYN攻擊的方案。

        地址監(jiān)控解決方案是使用工具監(jiān)測(cè)治療中的 TCP 連接的數(shù)據(jù)包和專員的監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的聆訊,基于源地址的連接請(qǐng)求。

        每個(gè)源狀態(tài),匹配,有狀態(tài)的 4 種類型: ① 早期狀態(tài): 任何源地址剛開始狀態(tài) ;② 新的條件: 第一次您接收或也可以不是反復(fù)出現(xiàn)的結(jié)論是有源地址的狀態(tài) ;③ 好狀態(tài): 得出結(jié)論存在的國(guó)務(wù)院 ; 源地址④ 貧窮國(guó)家: 源地址不存在或不是國(guó)務(wù)院在石上。具體的行動(dòng)和根據(jù)狀態(tài)代碼值位 TCP 報(bào)頭中的過(guò)渡效果。

        五、 使用SYN防火墻防御

        上面的分析都是從技術(shù)層面上發(fā)起的,太理論化,而實(shí)際的工作過(guò)程中,有很多的防火墻可以幫助管理者防御SYN FLOOD。常見的硬件防火墻類產(chǎn)品大致包含3種類型。

        SYN SYN 數(shù)據(jù)包網(wǎng)關(guān)防火墻: 防火墻客戶端將直接轉(zhuǎn)到服務(wù)器 SYN/SYN ACK ACK,一方面,數(shù)據(jù)包轉(zhuǎn)發(fā)和防火墻服務(wù)器客戶端軟件包,另一方面,回發(fā)到服務(wù)器以完成未收到三向握手,TCP ACK 數(shù)據(jù)包,客戶端將連接到的服務(wù)器端的連接狀態(tài)。當(dāng)客戶端真正 ACK 數(shù)據(jù)包到達(dá),數(shù)據(jù)傳遞到服務(wù)器,否則該數(shù)據(jù)包將被丟棄。因?yàn)榉?wù)器連接狀態(tài)可以有效地一半 2 周可以承受比許多可以降低服務(wù)器攻擊多得多。

        被動(dòng)防火墻設(shè)置防火墻 SYN SYN 超時(shí)請(qǐng)求網(wǎng)關(guān),使它比服務(wù)器超時(shí)要小得多。防火墻客戶端發(fā)送到服務(wù)器 SYN 數(shù)據(jù)包轉(zhuǎn)發(fā),SYN/ACK 包服務(wù)器發(fā)送到客戶端,與客戶端發(fā)送到服務(wù)器的 SYN 數(shù)據(jù)包。這種方式,在防火墻中計(jì)時(shí)器過(guò)期如果客戶端不發(fā)送 ACK 數(shù)據(jù)包,一半的防火墻服務(wù)器連接從隊(duì)列中刪除,并向服務(wù)器發(fā)送一個(gè) RST 數(shù)據(jù)包。防火墻超時(shí)參數(shù)小于服務(wù)器的超時(shí)期限,,因?yàn)橛行Х雷o(hù) SYN 攻擊。

        SYN 中繼防火墻: 防火墻,接收客戶端的不傳輸 SYN 數(shù)據(jù)包狀態(tài)信息但板服務(wù)器和客戶端然后回顯 SYN/ACK 數(shù)據(jù)包之后,您向客戶表明這是正常訪問(wèn)獲取確認(rèn)包、 向服務(wù)器發(fā)送 SYN 數(shù)據(jù)包從防火墻和完成 3 次握手。防火墻行為作為代理服務(wù)器、 客戶端和服務(wù)器端的連接可以實(shí)現(xiàn)完全過(guò)濾掉未連接到服務(wù)器。(作者單位:重慶工貿(mào)職業(yè)技術(shù)學(xué)院)

        參考文獻(xiàn):

        [1]《黑客Web腳本攻擊與防御技術(shù)核心剖析》郝永清編著科學(xué)出版社

        [2]網(wǎng)絡(luò)的攻擊與防范牛少彰江為強(qiáng)編著北京郵電大學(xué)出版社

        猜你喜歡
        源地址序列號(hào)防火墻
        國(guó)內(nèi)互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證研究進(jìn)展①
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        recALL
        下一代防火墻要做的十件事
        實(shí)現(xiàn)RSF機(jī)制的分布式域間源地址驗(yàn)證
        PP助手教你辨別翻新iPhone5小白不再中招
        網(wǎng)絡(luò)安全策略中防火墻技術(shù)的應(yīng)用
        天融信防火墻的雙線路路由和VPN設(shè)置
        溫度傳感器DS18B20序列號(hào)批量搜索算法
        筑起網(wǎng)吧“防火墻”
        国产精品成人久久电影| 亚洲桃色蜜桃av影院| 午夜免费观看国产视频| 曰韩内射六十七十老熟女影视 | 久久综合激情的五月天| 偷拍一区二区视频播放器| 国产青榴视频在线观看| 小12箩利洗澡无码视频网站| 中文精品久久久久中文| 中文字幕日韩一区二区不卡| 亚洲va视频一区二区三区| 台湾佬中文娱乐网22| 一本大道无码av天堂| 99精品国产第一福利网站| 亚洲天堂线上免费av| 亚洲视频网站大全免费看| 国产又色又爽又高潮免费视频麻豆| 狠狠色噜噜狠狠狠狠888奇禾 | 亚洲中文字幕人妻诱惑| 成av人大片免费看的网站| 久久综合久中文字幕青草| 亚洲国产精品久久无人区| 日日摸天天摸97狠狠婷婷| 国产精品久久久久久无码| 天堂在线观看av一区二区三区| 亚洲国产精品天堂久久久 | 在线免费观看蜜桃视频| 欧美丰满熟妇性xxxx| 久久日本三级韩国三级| 亚洲色偷偷偷综合网另类小说 | 日本一区三区三区在线观看| 欧美黑寡妇特a级做爰| 天天影视色香欲综合久久| 国产免费的视频一区二区| 一本色道久久88加勒比| 亚洲第一最快av网站| 蜜臀av一区二区| 人成视频在线观看免费播放| 久久精品国产亚洲av不卡国产| 人人妻人人狠人人爽天天综合网 | 久久99精品久久久66|