WEB开发网
开发学院网络安全安全技术 DDOS攻击原理及防护方法论 阅读

DDOS攻击原理及防护方法论

 2009-03-17 13:58:04 来源:WEB开发网   
核心提示: 图片看不清楚?请点击这里查看原图(大图),图53端口的UDP Flood攻击抓图:图片看不清楚?请点击这里查看原图(大图),DDOS攻击原理及防护方法论(9),图UDP Flood大包攻击(占带宽,分片):图片看不清楚?请点击这里查看原图(大图),因此ICMP Flood出现的频度较低,比

图片看不清楚?请点击这里查看原图(大图)。

53端口的UDP Flood攻击抓图:

DDOS攻击原理及防护方法论

图片看不清楚?请点击这里查看原图(大图)。

UDP Flood大包攻击(占带宽,分片):

DDOS攻击原理及防护方法论

图片看不清楚?请点击这里查看原图(大图)。

3.3.2 UDP Flood防护

UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待:

判断包大小,如果是大包攻击则使用防止UDP碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP碎片。

攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

攻击端口为非业务端口:一个是丢弃所有UDP包,可能会误伤正常业务;一个是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。

3.4 ICMP Flood攻击

3.4.1 原理

ICMP Flood 的攻击原理和ACK Flood原理类似,属于流量型的攻击方式,也是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文,因此ICMP Flood出现的频度较低。比较下面两幅图,就应该可以看出是否有ICMP Flood攻击。

上一页  4 5 6 7 8 9 10  下一页

Tags:DDOS 攻击 原理

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接