Anti-DDos 笔记
杨慎之
Distributed Denial of Service
- Flood , NTP: monlist request
- Malformation, ICMP can't reached
- Scan&Probe
逐流检测
逐包检测
报文合法性: RFC
特征过滤:DNS NTP
QR 和 TC
TC源认证(TC=1 TCP方式发送) + 首包丢弃
CNAME模式,域名重命名
首包丢弃+ 虚假源认证
行为分析
|
|
|
|
| |
|
|
|
|
|
|
DNS Reply Flood
DNS反射攻击
DNS缓存投毒:会话检查模式(check 会话五元组信息)
JavaScript 注入,脚本攻击
HTTP 重定向
TCP/IP源认证(首包丢弃+ TCP代理)
应用层源认证:302重定向请求
用户源认证:验证码(人机交互)
HTTP协议解析
HTTP GET 和 HTTP POST 方法
URL(uniform Resource locator) URI(Uniform Resource identifier)
HTTP GET Flood
重定向认证:
TCP三次握手, -> request -> 302
验证码认证
HTPP post flood
TCP
2019年2月13日
17:07
SYN flood
首包丢弃 + 源认证反弹
首包丢弃:
基本源认证:
高级源认证:
TCP 异常标志位
基本源认证 高级源认证
TCP协议解析:
三次握手 SYN(序号)-> SYN-ACK(序号+确认序号)->ACK(确认序号),
四次挥手: FIN ACK(序号 )-> ACK(确认序号), FIN ACK(序号 )-> ACK(确认序号)
标志位:URG ACK PSH RST SYN FIN
NTP 反射放大攻击:monlist request
UDP协议解析
类似资料: