DDOS防护原理

2018-06-19 19:07:05 35

针对刚才介绍到的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp,udp协议,和针对应用层的协议,比如http,游戏协议,软件视频音频协议,现在的新的攻击越来越多的针对应用层协议漏洞攻击,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本无法很好的防护新型的攻击。

  目前防护网络攻击效果比较好的有几类防火墙是基于连接状态检测的防火墙,防护SYN攻击和上面介绍的这类的攻击,效果都差不多,难分上下。3-7类攻击因为涉及到网络软件自己的网络协议,所以基于连接状态检测的各个防火墙厂商各有优势些,关键取决于由于其核心是基于包过滤型的防火墙。

  根据安全通实验室测试,针对第3种攻击,可以基于连接状态检测的记录每个UDP包所属的连接,判断此连接是否登陆,是否通过验证,如果没有通过验证,无论发送的数据包是否合法都会被拦截掉。第4,5,6 种攻击,可以基于连接状态检测的彻底分析HTTP协议,分析每个数据包所归属的HTTP连接,此连接是否是正常请求,如果不是正常请求,就进行拦截。也可以在防火墙里设置HTTP验证标记,这样防火墙处理新的HTTP协议的时候会随机生成一个HTTP标记,肉鸡攻击的时候不会处理这个标记,正常的IE打开的时候,会处理这个标记,这样防火墙就可以区分是不是正常IE打开的网页。对于第7种攻击,基于连接状态检测可以通过多种策略混合过滤来达到效果,比如可以判断这个登陆进来的连接有没有发送过非法的特殊攻击包,因为肉鸡模拟的攻击假人毕竟是程序控制的,动作很少而且一直重复,或者一直不动,这样就可以判断这个连接在游戏里的动作10秒内是不是一直重复,重复多少次,或者是不是一直不动,来达到封锁假人的效果。