DDoS检测策略:
策略+阈值
多维度联合判定攻击:
维度1(D1):流量阈值(一期)
维度2(D2):流量速率突增
维度3(D3):源站异常响应占比突增
维度4(D4):手工开关(保底、一期
CC检测:
XFF字段:
通过设置xff字段,用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。如若不然,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者的角色,如果连接的原始IP地址不可得,恶意访问的检测与预防的难度将大大增加
user-agent字段:
标识请求的浏览器身份
referer字段:
这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。以上文银行操作为例,Referer字段地址通常应该是转账按钮所在的网页地址,应该也位于www.examplebank.com之下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,不会位于www.examplebank.com之下,这时候服务器就能识别出恶意的访问。
CC攻击,可能存在伪造xff字段的情况,因此不能见了xff就拿来用,需要有一个可信源列表,只有列表中的地址发来的xff才可信
3层攻击检测:
IP分片攻击:ip分片增多,设置ip分片报文阈值
ICMP Flood:ICMP报文数增多,设置ICMP报文数阈值(禁用ICMP服务,仅在测试时开放?)
4层攻击检测:
4层攻击
SYN FLood:pps突增
判定方法:syn的数量远远大于完成3次握手的ack的数量
SYN+ACK Flood:
空连接/并发连接攻击:连接数突增(CPS)|| 连接数极高
判定方法:1.Session增多 2.CPS增多
UDP Flood: UDP报文突增
判定方法:UDP BPS超出阈值(100M)
UDP 反射放大攻击: 源端口一致的UDP报文突增
判定方法:源端口的UDP BPS 超出阈值(100M)
7层攻击检测:
CC攻击:
检测方法:统计源ip的QPS、状态码(4XX、5XX)、URL、UA、Referer字段
三层检测:
三层检测
session是一种很好的防御手段,通过session可以辨识用户,避免误封。
网友评论