Ddos攻擊現(xiàn)在越來越普遍���、智能、低成本化��,因其攻擊具有突發(fā)性��,很難防御����,但是我們還是可以通過一些二攻擊特點,提取預(yù)判攻擊的來臨���,通過和智能防火墻結(jié)合���,就能起到很好的預(yù)防作用����,避免不必要的損失。
1.大量目標(biāo)主機域名解析:根據(jù)分析����,攻擊者在進(jìn)行 DDoS 攻擊前總要解析目標(biāo)的主機名�。BIND 域名服務(wù)器能夠記錄這些請求���。每臺攻擊服務(wù)器在進(jìn)行攻擊前會發(fā)出 PTR 反向查詢請求����,也就是說在 DDoS 攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo) IP 主機名的 PTR 查詢請求����。雖然這不是真正的 DDoS 通信,但能夠用來確定 DDoS 攻擊的來源�����。
2.極限通信流量:當(dāng) DDoS 攻擊一個站點時��,會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通信流量的現(xiàn)象�����,F(xiàn)在的技術(shù)能夠?qū)Σ煌脑吹刂酚嬎愠鰧?yīng)的極限值�����。當(dāng)明顯超出此極限值時就表明存在 DDoS 攻擊的通信���。因此可以在主干路由器端建立訪問控制列表(Access Control List��,ACL)和訪問控制規(guī)則�,以監(jiān)測和過濾這些通信。
3.特大型的 ICMP 和 UDP 數(shù)據(jù)包:正常的 UDP 會話一般都使用小的 UDP 包�,通常有效數(shù)據(jù)內(nèi)容不超過 10 B。正常的 ICMP 消息長度在 64128 B 之間����。那些明顯大得多的數(shù)據(jù)包很有可能就是 DDoS 攻擊控制信息,主要含有加密后的目標(biāo)地址和一些命令選項�����。一旦捕獲到(沒有經(jīng)過偽造的)控制信息�,DDoS 服務(wù)器的位置就暴露出來了,因為控制信息數(shù)據(jù)包的目標(biāo)地址是沒有偽造的���。
4.不屬于正常連接通信的 TCP 和 UDP 數(shù)據(jù)包:最隱蔽的 DDoS 工具隨機使用多種通信協(xié)議(包括基于連接的和無連接協(xié)議)發(fā)送數(shù)據(jù)�。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包�����。另外��,那些連接到高于 1024 而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也非常值得懷疑�����。
5.數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符:例如�����,沒有空格�、標(biāo)點和控制字符的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過 Base 64 編碼后的特征�����。TFN2K 發(fā)送的控制信息數(shù)據(jù)包就是這種類型���。TFN2K 及其變種的特征模式是在數(shù)據(jù)段中有一串 A 字符(AAA…)�����,這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果�����。如果沒有使用 Base64 編碼��,對于使用了加密算法的數(shù)據(jù)包�,這個連續(xù)的字符就是空格。
當(dāng)然�����,Ddos攻擊還有其他的特點和防御方法�,隨著網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展,相信我們的防御體系也會原來越全面和智能��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
