首页 > 企业 > 网络信息安全 > 网络安全技术> 正文

科普:DDoS攻击的3个发展阶段和应对防护

FreeBuf 整合编辑:太平洋科技 发布于:2015-07-13 00:15

  应对和防护

  对于DDoS攻击,普遍采用的防护手段包括:

  1、源验证/反向探测,对源进行探测和人机识别,段包括cookie、识别码等;
  2、限源,即对源IP或协议进行限制,blacklist是一个常见手段;
  3、特征丢弃,依据数据包的特征或访问行为进行丢弃,如基于Payload特征、发包行为特征、QPS特征等;
  4、限速,对流量/访问的速率进行限流。

  特别对于大流量DDoS攻击的防护,与电信运营商配合也是必不可少的。其中包括与运营商配合实施就源清洗,以及在运营商侧路由器上对特定协议或特定来源的IP进行限制都是降低防护开销的办法。

d09
典型的在线部署方案

  当然,针对于网络层DDoS(Layer-4 DDoS)和应用层DDoS(Layer-7 DDoS)攻击不同的攻击策略,在具体防护时,采取的手段也不尽相同。这里不再赘述。

  此外,对于网站来说,通过CDN进行DDoS防护也是一个不错的手段,CDN多节点彼此互备,以及对协议的限制,具有与生俱来的抗DDoS能力和高可用性。同时,CDN往往与云WAF系统配合工作,两者协同成为防护HTTP Flood的利器。

d10

  上面的方法是否就是防御DDoS攻击的全部了呢?当然不是。

  随着大数据的兴起,依托用户访问数据、包括QPS,IP-cookie,IP-Request分布、页面点击等行为数据结合信誉机制建立起完整的可视化防御系统。结合威胁情报,建立起运营商/ISP/DC/区域信息库、IP地址黑名单、代理库、黑暗网络库等丰富的情报库,线上、线下进行关联分析,一方面将防御时间点提前,甚至在攻击发起之前就可以预知;另一方面溯源追踪到攻击者,有效打击攻击者的嚣张气焰。

推荐阅读

  「视频」用轻轻松松的方式把DDoS看懂 //security.pconline.com.cn/631/6317176.html
  揭秘DDoS黑市:50块钱就能击瘫一家网站!//security.pconline.com.cn/594/5944840.html
123在本页浏览全文
键盘也能翻页,试试“← →”键
本文导航
第1页:DDoS发展三阶段之 僵尸网络和开发服务器利用
第2页:DDoS发展三阶段之 SSDP反射放大攻击的崛起
 第3页:DDoS攻击的应对和防护
DDoS攻击   DDoS防护   分布式拒绝服务
FreeBuf

网友评论

聚超值•精选

更多>
推荐 手机 笔记本 影像 硬件 家居 商用 企业 出行 未来
二维码 回到顶部