DDoS攻击与CC攻击
一、DDoS攻击的方式
以前主要攻击是TCP Sync为主的DDOS,近期已经转变成基于ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击(IDC近期的攻击,单个IP遭受10G以上的攻击)。syn flood、synack flood、udp flood、udp 反射报文攻击、udp fragment flood、icmp flood
二、DDoS影响范围
–之前的TCP Sync攻击流量相对较小,主要受影响为用户主机或网络,目前的特大流量网络攻击已经影响到城域网的基础网络架构,主要表现为国干至城域网的中继中断,板卡转发异常,城域网内的网络中继拥塞等,受影响的不只是被攻击的用户,还波及相当数量的其他用户。
–城域网宽带用户受攻击严重,主要涉及IDC,网吧,近期甚至出现针对普通宽带拨号用户的攻击。
三、DDoS防御方式
针对TCP flood有以下防御方式:
1.TCP 重传
首包丢弃就是为了防御大流量攻击,与源验证方式结合可有效防御变换源IP或源端口号的攻击。
正常情况下,TCP报文具有重传功能,如果在交互过程中报文被丢弃,则都会重传。首包丢弃正式利用了报文的重传机制,将收到的第一个报文丢弃,以判定后续是否有重传报文。
2.源验证
接收到SYN报文,发送SYN-ACK探测报文到SYN报文中的源IP地址。
通过校验接收到的对探测报文的响应报文的真实性来确认源IP地址的真实性,以防止虚假源攻击。
3.TTL检测
设置TTL检测功能后,对接收到的TCP报文(未建立会话),进行TTL合理性的检测,从而滤掉一定量的非法报文。
针对UDP flood和ICMP flood可以采取超过阈值限流的方式进行防御。
四、CC攻击原理
CC攻击的本名叫做HTTP-FLOOD,是一种专门针对于Web的应用层FLOOD攻击,攻击者操纵网络上的资源,对目标Web服务器进行海量http request攻击,是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。
五、CC攻击防御方式
1.清洗设备通过返回JS代码的方式验证。这种防护方式的依据是,攻击者们使用肉鸡上的DDoS工具模拟大量http request,这种工具一般不会解析服务端返回数据,更不会解析JS之类的代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。
2.通过HTTP头部的X-Forwarded-For字段判断是否代理,可以阻止通过代理服务器进行的非人为访问