DDoS攻击原理(ddos攻击检测原理)
ip有可疑的攻擊行為怎么解決?
惡意ip加入黑名單即可解決該問題。IP攻擊是利用IP地址并不是出廠的時(shí)候與MAC固定在一起的,攻擊者通過自封包和修改網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址,冒充某個(gè)可信節(jié)點(diǎn)的IP地址,進(jìn)行攻擊,可以對(duì)惡意攻擊IP進(jìn)行拉黑處理。
TCP/IP協(xié)議從開始設(shè)計(jì)時(shí)候并沒有考慮到網(wǎng)絡(luò)上如此多的威脅,由此導(dǎo)致了許多形形色色的攻擊方法,一般針對(duì)協(xié)議原理的攻擊(尤其是DDOS)我們無能為力。
ddos是什么意思?
DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)),俗稱洪水攻擊。很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDOS攻擊,DDOS 最早可追溯到1996年最初,在中國2002年開始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模。
——以上引自互動(dòng)百科
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的,當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。
隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長,內(nèi)存大大增加,同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò),這使得DoS攻擊的困難程度加大了 - 目標(biāo)對(duì)惡意攻擊包的"消化能力"加強(qiáng)了不少。
例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包,但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包,這樣一來攻擊就不會(huì)產(chǎn)生什么效果。
這時(shí)候分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話,它的原理就很簡單。
如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍,用一臺(tái)攻擊機(jī)來攻擊不再能起作用的話,攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢?用100臺(tái)呢?DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻,以比從前更大的規(guī)模來進(jìn)攻受害者。
什么是CC攻擊,與DDOS的區(qū)別?
DDoS
全稱:分布式拒絕服務(wù)(DDoS:DistributedDenialofService)該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源,使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。
拒絕服務(wù)攻擊問題一直得不到合理的解決,目前還是世界性難題,究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。
DDoS攻擊打的是網(wǎng)站的服務(wù)器,而CC攻擊是針對(duì)網(wǎng)站的頁面攻擊的。
CC
全稱:ChallengeCollapsar,中文意思是挑戰(zhàn)黑洞,因?yàn)橐郧暗牡挚笵DoS攻擊的安全設(shè)備叫黑洞,顧名思義挑戰(zhàn)黑洞就是說黑洞拿這種攻擊沒辦法,新一代的抗DDoS設(shè)備已經(jīng)改名為ADS(Anti-DDoSSystem),基本上已經(jīng)可以完美的抵御CC攻擊了。
CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個(gè)用戶訪問目標(biāo)網(wǎng)站的動(dòng)態(tài)頁面,制造大量的后臺(tái)數(shù)據(jù)庫查詢動(dòng)作,消耗目標(biāo)CPU資源,造成拒絕服務(wù)。
CC不像DDOS可以用硬件防火墻過濾,CC攻擊本身就是正常請(qǐng)求。建議中小型網(wǎng)站采用靜態(tài)頁面的方式,減少了對(duì)數(shù)據(jù)庫的交互,CPU消耗少。
以上分析可以看出,ddos攻擊和cc攻擊區(qū)別主要是針對(duì)對(duì)象的不同。DDoS是主要針對(duì)IP的攻擊,而CC攻擊的主要是網(wǎng)頁。CC攻擊相對(duì)來說,攻擊的危害不是毀滅性的,但是持續(xù)時(shí)間長;而ddos攻擊就是流量攻擊,這種攻擊的危害性較大,通過向目標(biāo)服務(wù)器發(fā)送大量數(shù)據(jù)包,耗盡其帶寬,更難防御。
在了解ddos攻擊和cc攻擊的區(qū)別和原理之后,剩下的就是防御了。要知道網(wǎng)站被攻擊防不勝防,但是我們平時(shí)可以做一些防護(hù)措施來預(yù)防網(wǎng)站攻擊,或者減少網(wǎng)站攻擊帶來的危害。如果網(wǎng)站規(guī)模不大,自身防御能力非常弱,又沒有太多的資金投入,那么選擇ddos.cc這樣的就是最好的選擇。
請(qǐng)問電感測試的原理是什么?
電感測試的原理是通過監(jiān)測氣動(dòng)、輕載液壓、制動(dòng)壓力、機(jī)油壓力、傳動(dòng)裝置、以及卡車/拖車的氣閘等關(guān)鍵系統(tǒng)的壓力、液力、流量及液位來維持重載設(shè)備的性能。
重載壓力傳感器是一種具有外殼、金屬壓力接口以及高電平信號(hào)輸出的壓力測量裝置。許多傳感器配有圓形金屬或塑料外殼,外觀呈筒狀,一端是壓力接口,另一端是電纜或連接器。
入侵防護(hù)系統(tǒng)(IPS)的原理?
IPS原理 防火墻是實(shí)施訪問控制策略的系統(tǒng),對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查,攔截不符合安全策略的數(shù)據(jù)包。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源,尋找違反安全策略的行為或攻擊跡象,并發(fā)出報(bào)警。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過,因此防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施。絕大多數(shù) IDS 系統(tǒng)都是被動(dòng)的,而不是主動(dòng)的。也就是說,在攻擊實(shí)際發(fā)生之前,它們往往無法預(yù)先發(fā)出警報(bào)。而IPS則傾向于提供主動(dòng)防護(hù),其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后,再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在IPS設(shè)備中被清除掉。 IPS工作原理 IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器,能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后,IPS就會(huì)創(chuàng)建一個(gè)新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路,可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2(介質(zhì)訪問控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對(duì)Layer 3或Layer 4進(jìn)行檢查,不能檢測應(yīng)用層的內(nèi)容。防火墻的包過濾技術(shù)不會(huì)針對(duì)每一字節(jié)進(jìn)行檢查,因而也就無法發(fā)現(xiàn)攻擊活動(dòng),而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類,分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息,如源IP地址和目的IP地址、端口號(hào)和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對(duì)應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn),包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄,被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。 針對(duì)不同的攻擊行為,IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則,為了確保準(zhǔn)確性,這些規(guī)則的定義非常廣泛。在對(duì)傳輸內(nèi)容進(jìn)行分類時(shí),過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù),并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析,以提高過濾準(zhǔn)確性。 過濾器引擎集合了流水和大規(guī)模并行處理硬件,能夠同時(shí)執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng),不會(huì)對(duì)速度造成影響。這種硬件加速技術(shù)對(duì)于IPS具有重要意義,因?yàn)閭鹘y(tǒng)的軟件解決方案必須串行進(jìn)行過濾檢查,會(huì)導(dǎo)致系統(tǒng)性能大打折扣。 IPS的種類 * 基于主機(jī)的入侵防護(hù)(HIPS) HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序,防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。基于主機(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵服務(wù)器核心防護(hù)都屬于這類產(chǎn)品,因此它們在防范紅色代碼和Nimda的攻擊中,起到了很好的防護(hù)作用。基于主機(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為,整體提升主機(jī)的安全水平。 在技術(shù)上,HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑,利用由包過濾、狀態(tài)包檢測和實(shí)時(shí)入侵檢測組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護(hù)服務(wù)器的敏感內(nèi)容,既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中,通過攔截針對(duì)操作系統(tǒng)的可疑調(diào)用,提供對(duì)主機(jī)的安全防護(hù);也可以以更改操作系統(tǒng)內(nèi)核程序的方式,提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。 由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上,它不但能夠利用特征和行為規(guī)則檢測,阻止諸如緩沖區(qū)溢出之類的已知攻擊,還能夠防范未知攻擊,防止針對(duì)Web頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān),不同的平臺(tái)需要不同的軟件代理程序。 * 基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS) NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量,提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式,所以一旦辨識(shí)出入侵行為,NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話,而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線,NIPS需要具備很高的性能,以免成為網(wǎng)絡(luò)的瓶頸,因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備,提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。 NIPS必須基于特定的硬件平臺(tái),才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測和阻斷功能。這種特定的硬件平臺(tái)通常可以分為三類:一類是網(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片),一類是專用的FPGA編程芯片,第三類是專用的ASIC芯片。 在技術(shù)上,NIPS吸取了目前NIDS所有的成熟技術(shù),包括特征匹配、協(xié)議分析和異常檢測。特征匹配是最廣泛應(yīng)用的技術(shù),具有準(zhǔn)確率高、速度快的特點(diǎn)。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征,還要檢查當(dāng)前網(wǎng)絡(luò)的會(huì)話狀態(tài),避免受到欺騙攻擊。 協(xié)議分析是一種較新的入侵檢測技術(shù),它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性,并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析,來快速檢測某種攻擊特征。協(xié)議分析正在逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析能夠理解不同協(xié)議的工作原理,以此分析這些協(xié)議的數(shù)據(jù)包,來尋找可疑或不正常的訪問行為。協(xié)議分析不僅僅基于協(xié)議標(biāo)準(zhǔn)(如RFC),還基于協(xié)議的具體實(shí)現(xiàn),這是因?yàn)楹芏鄥f(xié)議的實(shí)現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)。通過協(xié)議分析,IPS能夠針對(duì)插入(Insertion)與規(guī)避(Evasion)攻擊進(jìn)行檢測。異常檢測的誤報(bào)率比較高,NIPS不將其作為主要技術(shù)。 * 應(yīng)用入侵防護(hù)(AIP) NIPS產(chǎn)品有一個(gè)特例,即應(yīng)用入侵防護(hù)(Application Intrusion Prevention,AIP),它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計(jì)成一種高性能的設(shè)備,配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上,以確保用戶遵守設(shè)定好的安全策略,保護(hù)服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上,直接對(duì)數(shù)據(jù)包進(jìn)行檢測和阻斷,與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無關(guān)。 NIPS的實(shí)時(shí)檢測與阻斷功能很有可能出現(xiàn)在未來的交換機(jī)上。隨著處理器性能的提高,每一層次的交換機(jī)都有可能集成入侵防護(hù)功能。 IPS技術(shù)特征 嵌入式運(yùn)行:只有以嵌入模式運(yùn)行的 IPS 設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù),實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包,并對(duì)該數(shù)據(jù)流的剩余部分進(jìn)行攔截。 深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經(jīng)被攔截,根據(jù)攻擊類型、策略等來確定哪些流量應(yīng)該被攔截。 入侵特征庫:高質(zhì)量的入侵特征庫是IPS高效運(yùn)行的必要條件,IPS還應(yīng)該定期升級(jí)入侵特征庫,并快速應(yīng)用到所有傳感器。 高效處理能力:IPS必須具有高效處理數(shù)據(jù)包的能力,對(duì)整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平。 IPS面臨的挑戰(zhàn) IPS 技術(shù)需要面對(duì)很多挑戰(zhàn),其中主要有三點(diǎn):一是單點(diǎn)故障,二是性能瓶頸,三是誤報(bào)和漏報(bào)。設(shè)計(jì)要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中,而這就可能造成瓶頸問題或單點(diǎn)故障。如果IDS 出現(xiàn)故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設(shè)備出現(xiàn)問題,就會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。如果IPS出現(xiàn)故障而關(guān)閉,用戶就會(huì)面對(duì)一個(gè)由IPS造成的拒絕服務(wù)問題,所有客戶都將無法訪問企業(yè)網(wǎng)絡(luò)提供的應(yīng)用。 即使 IPS 設(shè)備不出現(xiàn)故障,它仍然是一個(gè)潛在的網(wǎng)絡(luò)瓶頸,不僅會(huì)增加滯后時(shí)間,而且會(huì)降低網(wǎng)絡(luò)的效率,IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步,尤其是當(dāng)加載了數(shù)量龐大的檢測特征庫時(shí),設(shè)計(jì)不夠完善的 IPS 嵌入設(shè)備無法支持這種響應(yīng)速度。絕大多數(shù)高端 IPS 產(chǎn)品供應(yīng)商都通過使用自定義硬件(FPGA、網(wǎng)絡(luò)處理器和ASIC芯片)來提高IPS的運(yùn)行效率。 誤報(bào)率和漏報(bào)率也需要IPS認(rèn)真面對(duì)。在繁忙的網(wǎng)絡(luò)當(dāng)中,如果以每秒需要處理十條警報(bào)信息來計(jì)算,IPS每小時(shí)至少需要處理 36,000 條警報(bào),一天就是 864,000 條。一旦生成了警報(bào),最基本的要求就是IPS能夠?qū)瘓?bào)進(jìn)行有效處理。如果入侵特征編寫得不是十分完善,那么"誤報(bào)"就有了可乘之機(jī),導(dǎo)致合法流量也有可能被意外攔截。對(duì)于實(shí)時(shí)在線的IPS來說,一旦攔截了"攻擊性"數(shù)據(jù)包,就會(huì)對(duì)來自可疑攻擊者的所有數(shù)據(jù)流進(jìn)行攔截。如果觸發(fā)了誤報(bào)警報(bào)的流量恰好是某個(gè)客戶訂單的一部分,其結(jié)果可想而知,這個(gè)客戶整個(gè)會(huì)話就會(huì)被關(guān)閉,而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問都會(huì)被"盡職盡責(zé)"的IPS攔截。 IPS廠商采用各種方式加以解決。一是綜合采用多種檢測技術(shù),二是采用專用硬件加速系統(tǒng)來提高IPS的運(yùn)行效率。盡管如此,為了避免IPS重蹈IDS覆轍,廠商對(duì)IPS的態(tài)度還是十分謹(jǐn)慎的。例如,NAI提供的基于網(wǎng)絡(luò)的入侵防護(hù)設(shè)備提供多種接入模式,其中包括旁路接入方式,在這種模式下運(yùn)行的IPS實(shí)際上就是一臺(tái)純粹的IDS設(shè)備,NAI希望提供可選擇的接入方式來幫助用戶實(shí)現(xiàn)從旁路監(jiān)聽向?qū)崟r(shí)阻止攻擊的自然過渡。
總結(jié)
以上是生活随笔為你收集整理的DDoS攻击原理(ddos攻击检测原理)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 基金备案编号查询(基金备案编号)
- 下一篇: 安卓时间控件怎么设置(安卓时间控件)