防火墙DDOS攻击防范技术上-1 听课笔记

防火墙DDOS攻击防范技术上-1 听课笔记
7层防御体系
1，命中黑名单 例如 DENY source 180.76.76.76
2，畸形报文 例如sourece 127.0.0.1 这个报文是直接交给自己TCP处理
3，扫描探测 目标IP：端口频繁变动
4，虚假源攻击 伪造源，让流量反回到别的主机
5， 异常连接威胁 不符合会话规律
6.具有攻击特征流量 针对某些漏洞攻击等
7。突发流量 流量整型
8. 正常流量 ~~~

具体策略

基于接口
基于防护对象
基于全局

DDOS防范技术
首包丢弃-技术 （三元组 IP 端口 协议 和时间间隔）

攻击过程

1，tcp/IP协议速度达到阈值
2，通过丢弃只发送了一次的包的SYN
3,正常主机通讯
4，攻击主机不会发送奇怪的数据包

报文构成：
发个带错误ACK包（错误序号）
数据包表现收到RST（由于是伪造 报文是没办法到攻击者然后他是没办法回复的）
然后在用原来的端口号再发。

TCP代理的方式~~~

由抗D设备完成

DDOS-防范技术 限流阻断 新方法
限制报文阈值
丢弃不要的东西

DDOS-防范技术-静态指纹过滤

载荷信息指纹信息读取（就是看谁重复的多多的就扔了）

4次挥手是为了释放两边资源

SYN FLOOD 攻击
针对三次握手攻击
同步泛洪攻击
源地址是假的
产生大量的TCP半开连接
导致等待消耗性能

带宽还是用了尼玛····

SYN-ACK FLOOD
伪造第二次握手的
对SYN-ACK 速度验证、

ACK攻击
需要检查
需要RST
会话检查 对于没有建立会话的直接拆了

载荷检查 报文都是一样的直接BLOCK

FIN/RST FLOOD
超过阈值 检查会话
检查会话有没有创建
检查 FIN有没有命中会话

UDP FLOOD关联TCP
TCP验证身份 UDP交互数据

指纹学习
载荷检测