- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
DDOS攻击分析方法与分析案例、解决方案
针对系统或者网络设备自身的bug的攻击
代表者有比较有名的pingofdeath,land-based和teardrop等。这类攻击大多设计精巧,利用系统自身的漏洞造成服务器或网络设备宕机或重启,从而无法提供正常的服务,此类攻击在现实中已经很少见到。
DDOS攻击分析
DDOS攻击造成的现实是比较明显的,例如网络带宽被大量的消耗,网络利用率接近100%,服务器的CPU和内存消耗很大,正常的服务响应很慢或完全无响应等。当客户遇到这种现象的时候第一个反应就是:我被攻击了。但究竟是什么攻击?怎么采取措施?我们建议采用抓包分析的方式来了解和分析。
使用抓包分析能够比较直观和准确的反应网络现状,了解攻击行为和方式。只有在对攻击有很清楚的认识后,我们才能采取有针对性的防御,这样的防御才是积极有效的。
这里我们使用几种比较常见的DDOS攻击来分析
SYNflood。
具体原理不再阐述,SYNFlood攻击是一项比较容易实现而且是比较难以防御的攻击。分析此种攻击前,我们先利用科来强大的图表自定义功能来设定自己的TCP参数,我指定了两个TCP请求监控表,如图:点击“我的图表”右上角的“新建面板”
我们选中TCP同步发送,和TCP同步确认发送两个选项
针对SYNflood我们还可以利用科来的告警提示来进行预防,如图我们设置告警:
我们设定当TCPSYN请求超过1000并持续了5秒后发出警报,档TCPSYN每秒钟个数少于500持续5秒后解除报警。
然后将以前的DDOS攻击数据包导入进行分析。
首先我们在端点视图会发现被攻击的端点的接受和发送数据包比例失调。接受大量数据包,但发送较少。而且流量较大,TCP会话很多。如图:
我们在图表中可以很直观的看到TCP同步和TCP同步确认的数据包。如图:
我们看到针对被攻击主机每秒的SYN请求接近20000个,而TCP同步确认却几乎为0。
设置的TCPSYN警报也已经产生告警如图:
而通过其他传统的一些功能也能很清楚的了解网络中的SYNflood攻击。我们可以查看TCP会话,如图:
我们看到大量的互联网主机利用不同的端口在向192.168.10.104的135端口进行同步请求,TCP会话数在段几秒内到达几万。
增强型的矩阵视图也直观显示了针对被攻击主机的通信连接情况:远端主机超过10000,只接受收据包,没有发送。
数据包视图利用“解码字段”选项可以直观看到TCPSYN值为1的数据包占了网络数据包的绝大部分如图:
通过以上丰富的图表和不同的界面的展现,我们就可以很快的了解是哪种DDOS攻击,从而采取应对的措施,减少损失。
防范SYNflood攻击可以做以下几点措施:
边界路由过滤RFC1918规定的一些不能在公网传输的私网地址段。
缩短路由器或FW上的SYN超时时间,以及使用SYN代理技术
加固服务器TCP/IP的协议栈。增加最大半连接数,缩短SYN超时时间,使用SYNcookies技术等
使用防DDOS攻击的硬件设备或模块。
UDPflood
UDPFlood是一种混合攻击,即能快速的消耗网络带宽,也可以消耗系统资源。
分析UDPflood攻击之前我们可以利用图表功能设置对UDP会话的监控,如图:
我们做好设置后,将UDPflood数据包导入,进行分析。
首先我们在图表视图中看到UDP会话的情况如图:
UDP每秒钟会话数超过300,峰值能到480个,而服务器并未提供UDP服务。统计视图也可以看到UDP会话数在40秒内就产生了24328个UDP会话,如图:
查看UDP会话我们发现,大量的互联网随机IP在向192.168.10.104的不同UDP端口进行访问。如图:
在数据包视图中我们可以看到时间间隔很短的时间内发送大量的UDP数据包。如图:
针对UDPflood的攻击防护可以从以下几点来做:
增大网络带宽和服务器性能
路由器和防火墙设置UDP会话限制。
利用SP的一些类似源地址过滤手段来丢弃没有回传路由的UDP请求。
ICMPflood
ICMPflood攻击主机发起大量的ICMPecho来堵塞网络,淹没正常服务请求的一种攻击,主要是针对网络带宽进行攻击。
这种DDOS的特征比较明显,通过抓取攻击数据包可以很直观的了解其攻击现象,如图:首先我们可以看到概要视图中的IP会话数很多,远远超出TCP和UDP会话。
协议视图里我们看到ICMPecho的协议流量过大,而echoreplay很少,比例失衡如图:
矩阵视图中我们看到被攻击IP的与上万(矩阵中对方主机默认最多10000,)IP进行通信。被攻击主机只
您可能关注的文档
最近下载
- 党的自我革命.pptx VIP
- 第1章 有理数数学七年级上册-单元测试卷-沪科版(含答案).docx VIP
- 初中生物:七年级下册生物识图题专项练习(含答案).docx
- 2020最新AHA心肺复苏指南PPT.pptx VIP
- 《跟着书本去旅行》1083集观看目录和课文对照.pdf
- 《从众危机:量化投资与金融浩劫ch01(美)路德维希 B. 钦塞瑞尼(Ludwig B. Chincarini)》.pdf
- 附表1建筑施工现场安全风险分级管控清单(含填写内容).docx
- 2022-2023学年成都市高一上英语期末考试题(含答案).docx
- 建筑装饰装修施工组织设计..doc
- 《追忆长征历史,传承红色精神》教学案例_894003.doc
文档评论(0)