現有的DoS DDoS 防禦技術整理

2021-10-12 17:45:57 字數 2956 閱讀 1869

dos產生的主要原因:

系統存在耗資源的操作,包括記憶體和 cpu 以及頻寬

使用共享資源的操作 ,容易導致死鎖

緩衝區溢位

記憶體洩漏

不正確的快取機制

服務使用的工具或者系統的配置不當

存在注入問題,如 sql 注入 ,命令列注入等

協議級別的攻擊:syn flood,icmp攻擊, 這些攻擊都有一些特徵,可以通過防火牆定製規則過濾這些包, 公升級使用最新版的協議

抵抗dos攻擊

通過對 dos /ddos的原理和特點分析 , 可以看 出對 dos /ddos的防範是很困難的 , 除了網際網路的 開放性外 , dos /ddos 攻擊手段其實也是一種合法 的訪問請求 , 只是這種訪問的強度遠遠超過伺服器 可承受的程度而已。因此需要分析哪些請求是正常的使用者訪問 , 哪些是惡意的訪問。

提高ddos攻擊檢測率:基於bo神經網路的方法

預防:及時安裝系統補丁程式和定時公升級 , 並經常使用漏洞掃瞄軟體對內部網路進行檢查,提高系統安全效能

在主要 isp的核心路由器上安裝防火牆

鑑別與過濾:

套實時鑑別系統 , 對伺服器所在的網段進行實時監控 , 以便及時發現攻擊並採取必要的措施 。 例如通訊流量突然持續增大 , 出現特大型的udp或icmp資料報, 以及短時間內集**現超量的相同資料報等。

通常採用的過濾策略有: 同時採用的輸入分組過濾 , 本地攻擊檢測 , 基於路由的分組過濾等

緩減dos攻擊

流量過濾

流量過濾主要是對服務端接收到的流量進行ip、埠等過濾;

服務端擴容

主要是在檢測出ddos攻擊後,為防止服務斷線而採用的增加伺服器節點個數等方式擴大對ddos流量的容忍度。

基於p2p的攻擊減緩技術

1、 隱藏減緩技術

基本思路是在使用者(包括攻擊者)與被保護伺服器之間放置乙個p2p網路作為隔離帶,使攻擊者無法找到實際伺服器的真實位置,從而無法直接接觸攻擊目標。

2、 漂移減緩技術

伺服器在乙個p2p網路內時間、位置上的非**性移動,使 dos試圖攻擊的目標位置飄忽不定,從而使攻擊者難以鎖定攻擊目標。它建立在tcp遷移技術的基礎上。tcp遷移技術可以無縫的將乙個tcp連線從乙個伺服器上透明地移到另乙個位置。位置漂移可以是物理的也可以是邏輯的,如採用動態修改伺服器的ip位址。

3、聯盟減緩技術

聯盟減緩技術利用了p2p網路資源共享的特性。提供web服 務的isp伺服器通過p2p網路形成某種合作聯盟,當乙個isp伺服器被攻擊時,將服務複製到聯盟內的其他伺服器上以保持服務的連續。

基於非p2p的攻擊減緩技術

1、 客戶難題

基本原理是:伺服器在提供服務前要求客戶端主機求解乙個給出的題目,如一些加密/解密計算等,對不同的使用者給出不同難度等級的題目,合法使用者可能只需求解乙個十分簡單的問題,而對於可能是dos攻擊的主機給出乙個需要消耗大量資源的難題以遏制攻擊請求的流量。

2、 圖靈測試

一種可用於區分使用者為自然人或者為機器的一種人工智慧技術。圖靈測試攻擊減緩技術的基本原理是:自然人對一些特殊的影象內容具有強大的、 快速的識別能力,而機器沒有這種能力,dos攻擊者直接發出大量虛假請求的為傀儡主機,利用圖靈測試可以有效的識別傀儡主機,減低dos攻擊效果。

3、 qos服務技術

各種資源預留協議、區分服務協議均可以作為 dos攻擊的可行對策,因為它們從資源控制使用的角度來保持重要使用者服務的資源需求和優先權。對資料流進行有效的檢測或分類,以區分服務的優先級別,進而在dos攻擊下做出各種響應。對於虛假源位址的dos攻擊,通過識別虛假的源位址,過濾 掉dos攻擊分組;對於使用真實源位址的dos攻擊分組,採用公平服務排程演算法限制流量以丟棄攻擊者的大部分攻擊分組,減輕dos攻擊的作用。

基於改進dhcp協議的位址跳變方法

這種方法增加了攻擊者進行拒絕服務攻擊的難度。通過構建動態、異構、不確定的資訊系統,增加其多樣性、隨機性和動態性,提公升攻擊難度和代價,有效限制脆弱性暴露及被攻擊的機會。

位址跳變指通訊雙方按照既定協議偽隨機地改變通訊位址,實現網路主動防禦。 改進後的位址跳變方案利用 dhcp協議保留字段,在不改變現有協議的基礎上為同一主機同時分配多個位址,以滿足位址跳變的多樣性需求;基於現有 dns協議建立客服雙方的位址對映關係以及伺服器固有位址與跳變位址的關聯關係,在不改變伺服器固有位址的情況下完成跳變通訊,以滿足位址跳變的隨機性需求;利用基於動態時間彎曲距離 dtw的時間序列相似性度量演算法檢測網路異常並調整位址租用期,以滿足位址跳變的動態性需求。

在抗連通性 dos 攻擊方面, 設可用跳變位址數為m ,攻擊資料報中包含當 前活動位址的數目為k , r 為攻擊速率,k 的期望為 e(k

)=rt

tol/

me(k)=rt_/m

e(k)=r

ttol

​/m, 可見,m 越大,單位平均攻擊強度越小;tto

lt_

ttol

​ 越小, 位址跳變越快,遭受持續攻擊的概率越小。

基於代價的形式化分析方法

適合對資源消耗型dos攻擊進行建模,該建模方法通過設定容忍關係,比較產生乙個資料和驗證這個資料所要花費的代價大小,判斷協議是否存在dos攻擊;基於這個模型可以指出,jfk協議能夠抵抗dos攻擊,而sts協議不具有抗dos攻擊能力

基於資料探勘的抗dos攻擊模型(dmadm)

採取資料探勘演算法,結合bp網路演算法,建立的乙個基於資料探勘的抗dos攻擊的防範模型。(data mining-based anti-dos attack model),本模型可以從網路中抓取網路流量資訊和資料報資訊,然後根據知識庫中已經建立的模型和訓練好的流量趨勢曲線,對網路資訊進行判別,看是否有攻擊產生。將感應模組抓取的網路連線資訊利用關聯規則演算法、序列模式演算法挖掘出關聯模型和序列模式模型,作為判斷攻擊是否發生的重要方法。針對某些特徵比較明顯的攻擊,本模型用埠挖掘模組和 ip 挖掘模組進行直接處理,並不對其進行過深的分析,一定程式上避免了模型本身遭受 dos 攻擊。

該模型由 8 個模組組成,它們分別是:感應模組、開採模組、分析模組、ip 挖掘模組、埠挖掘模組、控制模組、執行模組。在實驗中,其抗 dos攻擊效果比較顯著。

xshell中現有的快捷鍵

每個軟體都會有各自的快捷鍵,例如photoshop中使用ctrl j組合鍵就可以複製圖層,xshell中也帶有這樣的快捷鍵,本集就為大家整理一些目前xshell中的快捷鍵及其解釋說明。快捷方式鍵 說明 alt n 與檔案選單的新建相同 alt o 與檔案選單的開啟相同 alt c 與檔案選單的斷開相...

現有的DRM數字版權保護技術大全

一 對於電子書的drm保護 對於電子書的drm保護技術國外有microsoft das adobe content server等,國內的ebook drm 系統有方正 apabi 數字版權保護技術 書生的sep技術 超星的pdg等。1.microsoft 的digital asset server...

量子計算與現有的安全體系

你會希望某黑客假冒你的銀行嗎?近年來,量子計算機quantum computer已經出現在大眾的視野當中。量子計算機被認為是第六類計算機,這六類計算機包括 人力humans 在人造的計算工具出現之前,人類只能使用人力去進行計算。而承擔計算工作的人,只能被稱為 計算者 模擬計算工具mechanical...