<noframes id="xtrzx">
      <form id="xtrzx"></form>

                DDOS攻擊:DDOS攻擊下基于TTL策略的數據安全方法研-墨者安全-墨者盾
                DDOS防御_CC防護_高防CDN服務器_【墨者安全】—墨者盾墨者盾—你的網站貼身保鏢!
                QQ:800185041
                高防免費接入:400-0797-119

                渠道合作:156 2527 6999

                主頁 > DDOS防御 > DDOS攻擊:DDOS攻擊下基于TTL策略的數據安全方法研

                DDOS攻擊:DDOS攻擊下基于TTL策略的數據安全方法研

                小墨安全管家 2018-10-17 10:34 DDOS防御 89 ℃
                DDoS防御
                DDOS攻擊:DDOS攻擊下基于TTL策略的數據安全方法研究

                主動防御DDOS攻擊,保護服務器端數據安全的核心是在發現可疑連接時,主動去鑒別這種連接是不是異常的,而不是被動等待更多的DDOS特征信息。在發現異常連接后,采用一種根據TTL字段和IP字段進行帶寬限制的方法,以扼制有害數據,以達到主動防御DDOS攻擊的目的。

                主動防御DDOS攻擊,保護服務器端數據安全的核心是在發現可疑連接時,主動去鑒別這種連接是不是異常的,而不是被動等待更多的DDOS特征信息。在發現異常連接后,采用一種根據TTL字段和IP字段進行帶寬限制的方法,以扼制有害數據,以達到主動防御DDOS攻擊的目的。

                1 主動檢測方法

                隨著Internet用戶上網帶寬的增加和互聯網上DDOS黑客工具的不斷發布,DDOS攻擊的實施越來越容易,DDOS攻擊事件正在呈上升趨勢。由于商業競爭、打擊報復和網絡敲詐等多種因素,很多企業長期以來一直為DDOS攻擊所困擾。隨之而來的是客戶投訴、法律糾紛、客戶流失等一系列問題。因此,防御DDOS攻擊,保護服務器端數據安全成為企業必須考慮的頭等大事。在所有的DDOS防范方法中,受害服務器端的防范方法受到了最多的重視,在這一端最大的困難是發現DDOS攻擊跡象時,已進入DDOS攻擊的高峰期,此時很難采取有效的防范方法來抑制攻擊的進行。本文提出的對策是盡量在早期發現DDOS攻擊,再使用準確的帶寬限制方法過濾惡意數據。

                1.1 半開連接分析

                在傳送數據包之前,TCP協議需要用三次握手在客戶端和服務器端之間建立連接。半開連接是指在服務器端收到客戶端發出的SYN請求后,發出ACK/SYN,此時在服務器上保留一定的資源來記錄此TCP連接狀況,實際上在系統的內存中有一個專門的隊列包含所有的半開連接,這個隊列的大小是有限的,因而只要有意使服務器建立過多的半開連接就可以使服務器無法再響應新的TCP連接請求。在正常情況下,如果產生半開連接,是因為網絡延遲或錯誤,比如第二次握手(ACK/SYN)或第三次握手(ACK)的TCP包由于延遲或錯誤發生了丟失,這時在服務器端就會產生半開連接。通常為了保證服務質量,服務器會重試幾次,重試的次數和重發的時間根據操作系統的不同而有所區別。重發的目的是為了提高三次握手的可靠性,降低網絡擁塞帶來的損失,這種半開連接我們稱做正常的半開連接。在SYN淹沒攻擊中,在受害服務器上也會產生大量的半開連接。在這種情況下,攻擊者向受害服務器發送大量的偽造了源IP地址的SYN包。當接受到這樣的SYN請求包后,服務器轉到“syn已接受”(syn-received)狀態,然后根據源IP地址發送一個ACK/SYN包到客戶端。然而這個源IP地址往往都是偽造的,因此這些ACK/SYN包不會被應答,服務器保留這些半開連接,并重試數次。這種類型的半開連接和前面討論的正常的半開連接是不同的。這些由DDOS攻擊產生的半開連接被稱為異常的半開連接。對于服務器來說,是很難靠其自身來判斷哪一個半開連接是由網絡擁塞造成的,哪一個是由DDOS攻擊產生的。避免此類DDOS攻擊的關鍵問題是區分正常的半開連接和異常的半開連接,對于異常的半開連接,對此連接發送RST指令重置此連接,釋放系統資源。大多數正常的半開連接是由于網絡擁塞造成的,而異常的半開連接卻與網絡擁塞沒有必然聯系。網絡擁塞可以通過一些特征來發現,比如網絡延時變長了,包的丟失率增加了,一些擁塞的路由器接近能力上限。如果這些信息能夠被捕獲,可以判斷這些在服務器上的半開連接是屬于正常的半開連接,否則屬于異常的半開連接。

                1.2 路由節點的延時測試方法

                路由路徑上結點的延時被一個叫做DARB(DelayProbing)的主動方法來探測。DARB方法沿著流量出去的方向,向著被探測目標發送具有特定TTL(Time To Live,存[1]時間(TTL)是IP分組中的一個值,指示了一個IP包可以在網絡上被路由器轉發的次數。網絡中的路由器通過察看這個值就可以判斷這個IP分組是不是已經在網絡中停留了很久,進而決定是否要將其丟棄。出于多種原因,一個IP分組可能在很長一段時間內不能抵達目的地。例如:錯誤的路由有可能導致一個IP分組在網絡中無限地循環。一種解決方法就是在一定時間后丟棄這個分組,然后發送一個信息通知這個分組的發送者,由它決定是否重發這個分組。TTL的初始值一般是系統缺省值,它位于IP分組的頭部,占用8個二進制位。最初設定TTL值的目的是讓它來指定一段特定的時間(以秒為單位),當這段時間耗盡的時候就將這個分組丟棄。由于每個路由器至少會讓這個TTL值減1,所以這個TTL值經常用來指定在一個分組被丟棄之前允許經過的路由器數。每個路由器收到一個分組后就將它的TTL值減1,一旦這個值被減為0,路由器就會丟棄這個分組,并發送一個ICMP信息給這個分組的最初的發送者。根據發送出去的包和收到返回的ICMP包的時間差值,我們可以計算出從此主機到該路由器的時間延時。通過設定不同的TTL值,可以得到探測主機到指定路由器的時間延時。

                1.3 評估半開連接


                DDoS防御

                當前位置:主頁 > DDOS防御 > DDOS攻擊:DDOS攻擊下基于TTL策略的數據安全方法研

                標簽列表
                DDoS防御
                網站分類
                X
                ?

                QQ客服

                400-0797-119

                安徽快三