赵彦Ayazero
华为高端专家,互联网安全、云计算安全首席架构师,前奇虎60企业安全技术总监、久游网安全总监、绿盟科技资深安全专家,曾任某webgame公司CTO,白帽子时代是Ph4nt0m的核心成员。
DDOS分类
在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。
网络层攻击
SYN-FLOOD
利用TCP建立连接时次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量syn-flood的情况下可以缓解,但流量稍大时完全不抵用。防御syn-flood的常见方法有:synproxy、syncookies、首包(第一次请求的syn包)丢弃等。
ACK-FLOOD
对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。DDOS的一种原始方式。
UDP-FLOOD
使用原始套接字伪造大量虚假源地址的UDP包,目前以DNS协议为主。
ICMP-FLOOD
Ping洪水,比较古老的方式。
应用层攻击
CC
ChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”,通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的