DDoS攻擊防護(hù)遇見DDoS攻擊的時(shí)���,目前的防護(hù)技術(shù)中避免不了的會(huì)出現(xiàn)流量清洗過濾等詞����,客戶都會(huì)很疑惑流量清洗,是怎么清洗的���,會(huì)不會(huì)把正常的訪問請求一起過濾清洗掉呢?這是站在客戶角度最關(guān)心的一個(gè)問題��,這種想法很正常��,因?yàn)檎l都不想損失客戶嘛���。那接下來分享下DDoS防御中流量清洗的技術(shù)方法吧。
流量清洗的意思是全部的網(wǎng)絡(luò)流量中區(qū)分出正常的流量和惡意的流量�����,將惡意流量阻斷和丟棄����,而只將正常的流量回源給源服務(wù)器。墨者安全一般建議選擇優(yōu)秀的流量清洗設(shè)備����。有些漏報(bào)率太高的���,對大量的正常請求過程中會(huì)造成中斷,有可能會(huì)影響到業(yè)務(wù)的正常運(yùn)行����,相當(dāng)于優(yōu)秀的清洗設(shè)備�,可以降低漏報(bào)率以及誤報(bào)率,在不影響業(yè)務(wù)正常運(yùn)行的情況下可以將惡意攻擊流量最大化的從網(wǎng)絡(luò)流量中去除����。但是做到這一步需要用到準(zhǔn)確而高效的清洗技術(shù)。如:
1�����、攻擊特征的匹配:在發(fā)動(dòng)DDoS攻擊過程中是需要借助一些攻擊工具的���,比如僵尸網(wǎng)絡(luò)等�����。同時(shí)網(wǎng)絡(luò)犯罪分子為了提高發(fā)送請求的效率��,攻擊工具發(fā)出的數(shù)據(jù)包通常是編寫者偽造并固化到工具當(dāng)中的���。因此每種攻擊工具所發(fā)出的數(shù)據(jù)包都有一些特征存在��。那么流量清洗技術(shù)將會(huì)利用這些數(shù)據(jù)包中的特征作為指紋依據(jù)�����,通過靜態(tài)指紋技術(shù)或者是動(dòng)態(tài)指紋技術(shù)識(shí)別攻擊流量�。靜態(tài)指紋識(shí)別的原理是預(yù)先將多種攻擊工具的指紋特征保存在流量清洗設(shè)備中的數(shù)據(jù)庫��,因此所有的訪問數(shù)據(jù)都會(huì)先進(jìn)行內(nèi)部數(shù)據(jù)庫比對����,如果是符合的會(huì)選擇直接丟棄。動(dòng)態(tài)指紋識(shí)別清洗設(shè)備對流過的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行若干個(gè)數(shù)據(jù)包學(xué)習(xí)����,然后將攻擊特征記錄下來,后續(xù)有訪問數(shù)據(jù)命中這些特征的直接丟棄�����。
2�����、IP信譽(yù)檢查:IP信譽(yù)機(jī)制是互聯(lián)網(wǎng)上的IP地址賦予一定的信譽(yù)值.有一些經(jīng)常用來當(dāng)作僵尸主機(jī)的,會(huì)發(fā)送垃圾郵件或被用來做DDOS攻擊的IP地址����。會(huì)被賦予較低的信譽(yù)值.說明這些IP地址可能成為網(wǎng)絡(luò)攻擊的來源。所以當(dāng)發(fā)生DDOS攻擊的時(shí)候會(huì)對網(wǎng)絡(luò)流量中的IP信譽(yù)檢查�����,所以在清洗的時(shí)候會(huì)優(yōu)先丟棄信譽(yù)低的IP�,一般IP信譽(yù)檢查的極端情況是IP黑名單機(jī)制。
3.協(xié)議完整性驗(yàn)證:為提高發(fā)送攻擊請求的效率���,大多數(shù)的都是只發(fā)送攻擊請求,而不接收服務(wù)器響應(yīng)的數(shù)據(jù)����。因此.如果采取對請求來源進(jìn)行交替嚴(yán)重,就可以檢測到請求來源協(xié)議的完整性����,然后在對其不完整的請求來源丟棄處理。在DNS解析的過程中��,攻擊方的工具不接收解析請求的響應(yīng)數(shù)據(jù)���,所以不會(huì)用TCP端口進(jìn)行連接�。所有流量清洗設(shè)備會(huì)利用這種方式區(qū)分合法用戶與攻擊方,攔截惡意的DNS攻擊請求��。這種驗(yàn)證方式也適用于HTTP協(xié)議的Web服務(wù)器���。主要是利用HTTP協(xié)議中的302重定向來驗(yàn)證請求�����,確認(rèn)來源是否接收了響應(yīng)數(shù)據(jù)并完整實(shí)現(xiàn)了HTTP協(xié)議的功能�����。正常的合法用戶在接收到302 重定向后會(huì)順著跳轉(zhuǎn)地址尋找對應(yīng)的資源��。而攻擊者的攻擊工具不接收響應(yīng)數(shù)據(jù)����,則不會(huì)進(jìn)行跳轉(zhuǎn)���,直接會(huì)被清洗攔截�,WEB服務(wù)器也不會(huì)受到任何影響。
針對精準(zhǔn)的流量清洗還需要很多種的精確技術(shù)��,比如速度檢查與限制���、協(xié)議代理和驗(yàn)證�����、客戶端真實(shí)性驗(yàn)證等技術(shù)方法���。因?yàn)闀r(shí)間原因,剩下的三種方法后續(xù)分享給大家����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
