Please enable JavaScript.

Coggle requires JavaScript to display documents.

拒绝服务攻击与防御技术 - Coggle Diagram

- - - - 利用系统审计，当大于64KB，丢弃就行
  - - - 正常的PSH，每一段长度相同，序号紧接着
        
        PSH 1:1025
        
        PSH 1025:2049
        
        PSH 2049:3073
      - 异常的PSH，将无法重组，使协议栈崩溃
        
        PSH 1:1025
        
        PSH 100:2049
        
        PSH 2049:3077
    - - 添加系统补丁，丢弃病态的分片数据包。
  - - - 假如一个合法用户1.1.1.1，与服务器建立了正常连接。
      - 攻击者伪装成为1.1.1.1，向服务器发送RST
      - 服务器认为1.1.1.1发送的连接有错误，清空缓存区建立好的连接
  - - - UDP
        
        chargen
        
        echo
  - - - 缩短SYN Timeout时间
      - 设置SYN Cookie
        
        每一个请求连接的IP地址分配一个Cookie，如果短时间内受到某个IP重复SYN报文，以后从这个IP来的都丢弃
      - 负反馈策略
        
        当SYN连接数达到一定的限制后，系统自动修改SYN Timeout、清空缓存区等一些参数。
      - 退让策略
        
        当检测到被攻击，修改自己IP地址，或者修改DNS解析IP地址
      - 分布式DNS负载均衡
      - 防火墙
  - - - 双11
  - - - 端口
        
        139
        
        138
        
        137
        
        113
        
        53
    - - 制造特殊的报文，其指针字段与数据的实际位置不符，存在重合。Windows在处理这样数据会崩溃
      - URG 位设置为 1
- - - - 为被授权的用户过量的使用资源
    - - 合法用户无意的操作使资源不可用
        
        淘宝双11抢购
  - - - 不容易确定攻击者的位置
      - 完全阻止是不可能的，但是适当的防范工作可以减少被攻击的机会
    - - 有效完善的设计
      - 带宽限制
      - 及时给系统安装补丁
      - 运行尽可能少的服务
      - 只运行必要的通信
      - 封锁敌意IP
- - - - 控制台，发起攻击的主机
    - - 攻击服务，客户端发来的控制命令，它来完成
    - - 攻击器、攻击代理，它直接或者间接与攻击目标进行通信
  - - - 异常的网络交通流量
    - - 大量的DNS PTR查询请求
      - 超出网络正常工作时的极限通讯流量
      - 特大型的ICMP和UDP数据包
      - 不属于正常连接通讯的TCP和UDP数据包
      - 数据段内容只包含文字和数字字符的数据包
  - - - 类型
        
        基于网络的IDS
        
        基于主机的IDS
      - 匹配
        
        样式匹配技术
        
        不规则探测系统