国内DDOS防御的专业防火墙技术

 国内DDOS防御的专业防火墙技术

 

很多人对ddos很感兴趣,但对深层的防御技术不怎么很会有效的进行设置,下面介绍一下防御的一些知识。

什么是DDOS攻击?有什么办法防御?

DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻 止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOSDOS还是有所不同,DDOS的攻击策略侧重于 通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布 式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝 服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN FloodACK FloodUDP FloodICMP FloodTCP FloodConnections FloodScript FloodProxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见 的DOS攻击手段有TearDropLandJoltIGMP NukerBoinkSmurfBonkOOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击, 通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。

当前主要有三种流行的DDOS攻击:

1SYN/ACK Flood攻击:这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYNACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支 持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键 盘和鼠标。普通防火墙大多无法抵御此种攻击。

2TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDropLandDOS攻击的能 力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IISApacheWeb服务器)能接受的TCP连接数是有限的,一旦有大量的 TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到 服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸 主机的IP是暴露的,因此容易被追踪。

3、刷Script脚本攻击:这种攻击主要是针对存在ASPJSPPHPCGI等脚本程序,并调用MSSQLServer、 MySQLServerOracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数 据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GETPOST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求 却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却 是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢 如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理 就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。

国内首家DDOS防火墙公司,当属冰盾DDOS防火墙,后又诞生了多家防火墙公司,很多防火墙公司模仿冰盾防火墙,但时值今日,冰盾防火墙已经销售在国内很多大型IT公司,冰盾防火墙十一年的历史,经历了多次更新,技术全面升级,主要功能有:

 

★ 阻止DOS攻击
    
    TearDropLandJoltIGMP NukerBoinkSmurfBonkBigPingOOB等数百种。

★ 抵御DDOS攻击

     SYN/ACK FloodUDPFloodICMP FloodTCP Flood等所有流行的DDOS攻击。

★ 拒绝CCTCP全连接攻击 
     
     自动阻断某一IP对服务器特定端口的大量TCP全连接资源耗尽攻击,包括抵御多种CC变种攻击。

★ 防止脚本攻击 

     专业防范ASPPHPPERLJSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。

★ 对付DDOS工具 

XDOSHGODSYNKILLERCCGZDOSPKDOSJDOSKKDOSSUPERDDOSFATBOYSYNKFW等数十种。

★ 超强Web过滤 

     过滤URL关键字、Unicode恶意编码、脚本木马、防止木马上传等。

★ 侦测黑客入侵 
   智能检测Port扫描、SQL注入、密码猜测、Expolit利用等2000多种黑客入侵行为并阻断。

★ ARP欺骗防护 
     
     可通过IPMAC的静态绑定,以最安全的方式和最好的性能实现ARP欺骗防护。

    冰盾防火墙技术,历史十一年,经过十一年的沧桑,2014年冰盾重新更新数据,更新技术,壮大了研发团队,24小时响应机制。相信冰盾防火墙将来的路会更远更长。

 

原文链接:https://www.cnblogs.com/bdkj/p/3997945.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/20988

(0)
上一篇 2024年2月17日
下一篇 2024年2月17日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml