热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

ddos防御_DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道法术”

篇首语:本文由编程笔记#小编为大家整理,主要介绍了DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道法术”相关的知识,希望对你有一定的参考价值。

篇首语:本文由编程笔记#小编为大家整理,主要介绍了DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道法术”相关的知识,希望对你有一定的参考价值。










近日,利用Memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势。根据CNCERT 最新发现显示,截止本周,已发现反射型攻击峰值流量高达1.94Tbps。









一般而言,我们会根据针对的协议类型和攻击方式的不同,把DDoS攻击分成网络层攻击和应用层攻击两大类。

































网络层攻击

攻击原理

影响程度

SYN-FLOOD

4颗星

ACK-FLOOD

对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。

3颗星

UDP-FLOOD

3颗星

ICMP-FLOOD

Ping洪水,比较古老的方式,现在基本废弃掉了。

1颗星


























应用层攻击

攻击原理

影响程度

CC类

通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求,占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,这样就能用最小的攻击资源起到最大的拒绝服务效果。当CC攻击发生时,不仅OLTP的部分受到了影响,实际上CC会产生大量日志,直接会对后面的OLAP产生影响,影响包括两个层面,一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担,CC是目前应用层攻击的主要手段之一。

5颗星

DNS  FLOOD

4颗星

慢速连接攻击

针对http协议,以知名的slowloris攻击为起源:先建立http连接,设置一个较大的content-length,每次只发送很少的字节,让服务器一直以为http头部没有传输完成,这样的连接一多很快就会出现连接耗尽

现在已出现了一些变种,http慢速的post请求和慢速的read请求都是基于相同的原理。

4颗星



目前流行的攻击方式:


























混合型攻击

在实际大流量的攻击中,通常并不是以上述一种数据类型来攻击,往往是混杂了TCP和UDP流量,网络层和应用层攻击同时进行

5颗星

扫段攻击

4颗星

脉冲型攻击

很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。

之所以这样的攻击流行是因为“打-打-停-停”的效果最好,刚触发防御阈值,防御机制开始生效攻击就停了,周而复始的利用防御规则的生效灰度期,在触发防御前完成攻击会有不错的效果,在结果上就表现为脉冲效果。

4颗星

反射型攻击

5颗星


Memcached反射攻击,其实就是属于UDP反射攻击的一种,它的特点不是防御难度高,而是因为放大倍数足够大,以至于黑客越来越容易发动大规模的DDoS攻击,我们可预判随着Memcached反射攻击方式被更多人利用,未来将面对常态化的T级攻击事件,中新金盾愿与您携手同行,共同面对大规模DDoS攻击。




我们从“道、法、术”的角度看DDoS攻击,对于攻击者来说,最终的“道”就是完成其政治目的、经济目的等各类动机,使用的“法”就是造成目标客户的出口带宽资源拥塞或业务及服务资源不可用,通过的“术”就是上述的各类型DDoS攻击方式。





自古“攻”和“防”都是对立的,我们既然从攻击者的角度看清楚了DDoS的本质,那么从“防”的角度中新金盾为客户提供了全新的“道、法、术”防御体系——安道者立体DDoS防御体系。




从DDoS攻防的“道”上,我们可以发现,在DDoS攻防博弈的过程实际上就是资源对抗的过程,短时间以小博大、以少胜多的无非是造成防御资源紧张,中新金盾安道者平台提供了分布式单点T级别,电信、联通、北方、南方拥有多个单点至少1T的防御节点,全网高达8Tb的全球范围内的防御节点,通过金盾云平台实时调度,在应对大规模资源对抗的DDoS场景,做到稳如泰山、坚如磐石的防御基础。



DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道、法、术”


从DDoS攻防的“法”上,中新金盾安道者提供“云+端”一体化的防御理念,通过用户侧金盾硬件抗D端设备与金盾云平台一体化联动防御的策略,在大规模攻击过来时,用户侧硬件与金盾云平台实时联动配合,将大流量牵引至云端各个分布式清洗节点,由各个节点进行实时清洗,最终再将首次过滤后的流量回送至用户侧硬件设备,本地硬件设备再针对应用层攻击流量做二次精细化清洗,最终将干净的流量传送至业务服务器;整个过程,秒级调度实现了弹性、灵活的应对各类型的反射型、流量型攻击,并且做到全网8T级别的防御响应“快”、防御策略“准”、清洗效果“好”的防御目标。



从DDoS攻防的“术”上,中新金盾通过在用户侧本地网络出口部署金盾单台最大520G的高防级专业硬件(规格覆盖1G-520G各类型客户群体,也可集群实现最高20T的抗D硬件能力),通过端和云平台的实时一体化联动,实现攻击过来时的阈值自动触发(即按需牵引)和持续型接入安道者防护的两种灵活防护方式,满足各类型企业客户、IDC客户群、行业客户群的需求;同时中新金盾将连续十五年在DDoS防御领域的核心技术积累融合到防御算法里面,针对新型扫段攻击、脉冲型攻击及应用层例如CC类攻击和慢速攻击等具有高效的防御效果。中新金盾-安道者防御体系可以为以上用户群提供如下收益:









云端联动、立体协防







中新网安首家推出云清洗及端设备一体化协同管理和实时联动的理念,当攻击流量超出端设备预设阈值时,可自动将流量牵引至云清洗中心,同时进行短信、邮件预警通知,并且能够统一管控云清洗服务及端设备安全策略配置,可根据自身防御需求进行更灵活的防护策略变更,突破传统单兵作战思路,最大化缓解混合DDoS攻击压力。










海量清洗,全面防御







中新网安拥有庞大的硬件清洗节点,全网清洗能力高达8Tb,所有的流量经过安道者云防护及硬件防御设备的多层策略,足以对任何形式的DDoS攻击完成瞬间清洗,确保用户的网站与服务器随时处于安全状态。












精细策略、独享定制







中新网安的端前金盾DDoS防护设备为用户提供7x24h不间断的定制化清洗,从目前最低1G到最高单台520G的专业硬件设备,覆盖各类体量的用户群体。用户根据自身不同业务需求在端设备上部署高效、针对性的精细化、细颗粒的防护策略及功能插件,同时通过独享的金盾专家1对1服务及自助式的防护平台入口,有效防护各种复杂应用层攻击,并大量避免传统单一云防护所存在的误杀误判风险。










秒级调度、快速响应







中新网安在全球数十个百G以上的机房建立分布式清洗节点,在国内实现电信、联通、北方、南方多个单点1T的防御能力;独创的智能流量调度系统,能将各类型攻击流量以秒级响应速度分散到整个安全防御网络之中消化,从而降低单个节点的防御压力。











精准断源、态势感知







中新网安与CERT、运营商、IDC及互联网企业联动合作,对恶意网络攻击行为进行特征提取,精准定位攻击源头,并根据攻击源类型采用针对性的主动防御,在遭受重大损失时还可通过溯源技术提取电子证据,作为法律武器给予攻击者有效打击。











巧妙隐藏、按需接入










通过以上分析,我们的客户接入安道者“云+端”立体防御平台以后,中新金盾帮助各类客户群(IDC、运营商、互联网企业、政府、金融、能源、教育等)实现了既能满足大流量DDoS攻击防御能力,又能精细化防御应用层各类攻击,最擅长防御混合型、新型各类DDoS攻击,让我们的用户在今后面对更严峻的T级别、常态化的DDoS攻击的时候,可以从容面对,安枕无忧。










中新网安致力成为 “新时代网络空间信息安全守护者”,重点围绕国家关键基础设施(电信、交通、能源、电力等);重要信息系统(党政、金融、财税、经贸等);重要公众服务(互联网 + 政务、互联网 + 金融、互联网 +医疗、互网 + 民生等);重要监管单位(公安部、国家互联网应急响应中心、中国信息安全测评中心、等级保护测评中心等)为服务对象,秉承务实、正直、进取、创新的态度,为客户提供专业的信息安全一体化服务与用户共享和谐、安全、美好的网络空间。












推荐阅读
  • 网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • REST与RPC:选择哪种API架构风格?
    在探讨REST与RPC这两种API架构风格的选择时,本文首先介绍了RPC(远程过程调用)的概念。RPC允许客户端通过网络调用远程服务器上的函数或方法,从而实现分布式系统的功能调用。相比之下,REST(Representational State Transfer)则基于资源的交互模型,通过HTTP协议进行数据传输和操作。本文将详细分析两种架构风格的特点、适用场景及其优缺点,帮助开发者根据具体需求做出合适的选择。 ... [详细]
  • SQL Server 2008 默认使用1433端口进行通信,但有时会误认为是5432端口,后者实际上已被IANA(互联网号码分配机构)指定为PostgreSQL的默认端口。本文详细解析了SQL Server 2008的端口配置,并提供了增强安全性的配置建议,包括更改默认端口、启用防火墙规则和实施严格的访问控制策略,以减少潜在的安全风险。 ... [详细]
  • 西北工业大学作为陕西省三所985和211高校之一,虽然在农业和林业领域不如某些顶尖院校,但在航空航天领域的实力尤为突出。该校的计算机科学专业在科研和教学方面也具有显著优势,是考研的理想选择。 ... [详细]
  • Redis支持哪几种数据类型?支持多种类型的数据结构1.string:最基本的数据类型,二进制安全的字符串,最大512M。2 ... [详细]
  • 在线教育平台的搭建及其优势
    在线教育平台的搭建对于教育发展来说是一次重大进步。未来在线教育市场前景广阔,但许多老师不知道如何入手。本文介绍了在线教育平台的搭建方法以及与传统教育相比的优势,包括时间、地点、空间的灵活性,改善教育不公平现象以及个性化教学的特点。在线教育平台的搭建将为学生提供更好的教育资源,解决教育不公平的问题。 ... [详细]
  • 本文介绍了如何利用HTTP隧道技术在受限网络环境中绕过IDS和防火墙等安全设备,实现RDP端口的暴力破解攻击。文章详细描述了部署过程、攻击实施及流量分析,旨在提升网络安全意识。 ... [详细]
  • php更新数据库字段的函数是,php更新数据库字段的函数是 ... [详细]
  • 本文对SQL Server系统进行了基本概述,并深入解析了其核心功能。SQL Server不仅提供了强大的数据存储和管理能力,还支持复杂的查询操作和事务处理。通过MyEclipse、SQL Server和Tomcat的集成开发环境,可以高效地构建银行转账系统。在实现过程中,需要确保表单参数与后台代码中的属性值一致,同时在Servlet中处理用户登录验证,以确保系统的安全性和可靠性。 ... [详细]
  • 在JavaWeb项目架构中,NFS(网络文件系统)的实现与优化是关键环节。NFS允许不同主机系统通过局域网共享文件和目录,提高资源利用率和数据访问效率。本文详细探讨了NFS在JavaWeb项目中的应用,包括配置、性能优化及常见问题的解决方案,旨在为开发者提供实用的技术参考。 ... [详细]
  • TCP三次握手过程详解与图示解析
    本文详细解析了TCP三次握手的过程,并通过图示清晰展示了各个状态的变化。同时,文章还介绍了四次挥手的图解,解释了在TIME_WAIT状态中,客户端最后一次发送的ACK包的作用和重要性。 ... [详细]
  • 深入理解Linux网络编程:UDP协议实战解析
    深入理解Linux网络编程:UDP协议实战解析 ... [详细]
  • 本文探讨了文件传输过程中的优化与安全策略。具体而言,研究了如何将客户端的文件高效上传至服务器。通过使用结构体对象,可以封装文件的相关信息,如位置和大小,并利用缓冲区存储实际数据,从而实现高效的数据传输。此外,文章还讨论了在传输过程中确保数据完整性和安全性的多种方法,包括加密技术和身份验证机制。 ... [详细]
  • 作为第一个正式项目,感触颇多,系统刚做完没多久,写点笔记记录下来吧。本系统主要功能是进行数据统计,比如统计学院的进馆次数,平均次数,进馆排行,图书馆年报等等在接到这个商用项目时,听 ... [详细]
  • Linux负载均衡LVS(IPVS)
    一、LVS简介LVS是LinuxVirtualServer的简称,也就是Linux虚拟服务器,是一个由章文嵩博士发起的自由软件项目,现在已经是Linux ... [详细]
author-avatar
手浪用户2602884673
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有