基于Web端口的DDos防范策略
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于Web端口的DDos防范策略范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:就目前互联网上的各种攻击来看,针对Web的ddos攻击是最难以让人防范的,因为它存在很难区分恶意攻击者和正常用户之间的问题,所以很多管理员不是将攻击者和用户一起屏蔽了,就是完全对这样的攻击毫无办法。
关键词:SYN攻击技术、SYN Flood、SYN防火墙针对Web服务方面的攻防技术,可大致分为2个部分,分别是针对Web端口的DDos攻防、针对Web脚本的DDos攻防。
SYN FLOOD是利用TCP协议本身的缺陷发起的攻击,所以要从根源上防御这样的攻击,需要对协议进行修改或者抛弃这个协议,所以这些是基本上不可能出现的情况。如何从实用的角度来防范这样的攻击呢?
近几年普遍使用的防SYN攻击技术大概包含SYN cookie防御、SYN proxy防御、SYN包判断防御、SYN首包丢弃防御、地址状态监控防御等。以下分别对几种防御技术进行分析:
一、 SYN cookie防御思路
在正常情况下服务器接收的 TCP SYN 数据包,当您更改立即连接请求分配一个缓冲区,并返回一个 SYN + ACK,这是形成一个半连接。SYN 洪水使用此 SYN 连接请求,发送大量的欺骗的来源地址,若要创建,而连接只需耗尽服务器上的资源。
对于标准 TCP 连接 SYN cookie 技术建立在资源配置中的缺陷的过程中,资源分配策略时后收到消息,服务器不会立即分配一个缓冲区中, 发生更改,但使用的连接信息来生成一个 cookie,cookie 作为消息要返回的 SYN + ACK 初始序列号。当客户端,基于标头信息的 cookie,并返回确认序列号返回 ACK 消息时 (的初始序列号 + 1) 比较第 24 位,如果是一样的它是一个正常连接和分配资源,以建立连接。Cookie 的计算是实施这一技术的关键,cookie 的计算必须包含此连接的状态信息,这样,攻击者不能伪造 cookie。
二、 SYN proxy防御思路
SYN 防御方法,一般来说,不使用服务器本身,但在服务器前端的防火墙中使用。后在防火墙上收到的 SYN 数据包,他们响应 SYN ACK 数据包回给发起人,在其自己的内部连接,启动器返回 ACK 数据包之后, 新结构 SYN 数据包到服务器,建立一个真正的 TCP 连接。
SYN ACK 发送到启动器的向防火墙 SYN ACK 数据包,此进程防火墙 SYN 和 ACK 数据包由服务器启动器序列编号序列编号 SYN ACK 数据包,因为相同的序列号或确认号码,随后包发送的数据包防火墙响应您应该知道的要调整修改提交到服务器的通信。
SYN proxy的方法可以保证到达服务器的连接都是合法的连接,有攻击时服务器并不会受到冲击,都是由防火墙来承受,但是本质上也不能真正防御SYN Flood,因为一旦有超过防火墙负载能力的DDos攻击出现,首先被拒绝服务的就是防火墙本身。
三、 SYN包异常判断防御技术思路
对于构造出来的SYN攻击,源地址、源端口等值都可能是随机的,不能判断是否真是攻击包,但攻击程序一般并不是真正完善,还是可以通过一定特点检测出来:
1) 判断SYN是否带TCP选项:一般的TCP SYN包中都要带选项,SYN 数据包的选项是法律理论中,是最有可能不具有伪假。
2)确定 TCP 窗口中的值 ;此值提供了当前机器接收数据作为发起连接的缓冲区大小是太小了,是不足够的较小的值通常大多伪造。
3) 确定的 IP TTL 值: 固定的服务器角色,TTL 值,可以检测到提前到另一个地址,如果它找到的 TTL 值和理论值的差异是太大,大多是伪造。
4)判断IP ID:TCP window,TCP序列号等值在不同SYN包中相同的可能性很小,如果连续的SYN包这些值都相同,基本上都是伪造包。
首包丢弃法是一种利用用户行为进行抵御SYN攻击的方式。
真正的 TCP 连接,如果没有响应到第一个包,用户可以发送 SYN 数据包的尝试再次连接,没有重复攻击的大多数程序,防火墙 SYN 数据包被丢弃,第一次就可,只是在后来接受。但如果要学习重复合同程序的攻击,防御是无效的。
四、 地址状态监控防御技术思路
最后,地址状态监控是比较完善的解决SYN攻击的方案。
地址监控解决方案是使用工具监测治疗中的 TCP 连接的数据包和专员的监测网络数据包的聆讯,基于源地址的连接请求。
每个源状态,匹配,有状态的 4 种类型: ① 早期状态: 任何源地址刚开始状态 ;② 新的条件: 第一次您接收或也可以不是反复出现的结论是有源地址的状态 ;③ 好状态: 得出结论存在的国务院 ; 源地址④ 贫穷国家: 源地址不存在或不是国务院在石上。具体的行动和根据状态代码值位 TCP 报头中的过渡效果。
五、 使用SYN防火墙防御
上面的分析都是从技术层面上发起的,太理论化,而实际的工作过程中,有很多的防火墙可以帮助管理者防御SYN FLOOD。常见的硬件防火墙类产品大致包含3种类型。
SYN SYN 数据包网关防火墙: 防火墙客户端将直接转到服务器 SYN/SYN ACK ACK,一方面,数据包转发和防火墙服务器客户端软件包,另一方面,回发到服务器以完成未收到三向握手,TCP ACK 数据包,客户端将连接到的服务器端的连接状态。当客户端真正 ACK 数据包到达,数据传递到服务器,否则该数据包将被丢弃。因为服务器连接状态可以有效地一半 2 周可以承受比许多可以降低服务器攻击多得多。
被动防火墙设置防火墙 SYN SYN 超时请求网关,使它比服务器超时要小得多。防火墙客户端发送到服务器 SYN 数据包转发,SYN/ACK 包服务器发送到客户端,与客户端发送到服务器的 SYN 数据包。这种方式,在防火墙中计时器过期如果客户端不发送 ACK 数据包,一半的防火墙服务器连接从队列中删除,并向服务器发送一个 RST 数据包。防火墙超时参数小于服务器的超时期限,,因为有效防护 SYN 攻击。
SYN 中继防火墙: 防火墙,接收客户端的不传输 SYN 数据包状态信息但板服务器和客户端然后回显 SYN/ACK 数据包之后,您向客户表明这是正常访问获取确认包、 向服务器发送 SYN 数据包从防火墙和完成 3 次握手。防火墙行为作为服务器、 客户端和服务器端的连接可以实现完全过滤掉未连接到服务器。(作者单位:重庆工贸职业技术学院)
参考文献:
[1]《黑客web脚本攻击与防御技术核心剖析》郝永清编著科学出版社
[2]网络的攻击与防范牛少彰江为强编著北京邮电大学出版社