DDoS攻防战:CC攻击防御系统部署

1. 系统效果

此DDOS应用层防御系统已经部署在了http://www.yfdc.org网站上(如果访问失败,请直接访问位于国内的服务器http://121.42.45.55进行在线测试)。

此防御系统位于应用层,可以有效防止非法用户对服务器资源的滥用:

只要是发送高频率地、应用层请求以实现大量消耗系统资源的攻击方式,皆可有效防御。

其实现的基本思想是:

定期分析所有访问用户在过去各个时间段内的请求频率,将频率高于指定阈值的用户判定为资源滥用者,将其封杀一段时间,时效过后,防御系统自动将其解封。

在线效果测试:

进入http://www.yfdc.org ->点击右上侧在线查询,此时将会进入/shell/yf域内,/shell/yf是一个用bash scripts写的动态web-cgi程序,用户每一次提交信息,此程序将会执行一些服务器端的查询操作,然后将数据处理后返回到客户端。

为了防止非法用户高频率地访问这个程序,而影响到其他正常用户的访问,故需要进行一些保护措施。

最终效果:

DDoS攻防战:CC攻击防御系统部署

被封信息页面

在/shell/yf域内,按住F5不放,一直刷新,几秒后松开,就能看到被封信息和解封时间。 只要某个用户对/shell/yf的访问超过了正常的频率,服务将会对这个用户关闭一段时间,期满后自动解封。

2. 系统原理

操作系统: CentOS 6.5 x86_64
开发语言: Bash Shell Scripts
Web服务器: Apache Httpd

DDoS攻防战:CC攻击防御系统部署

2.1 自定义日志:/etc/httpd/logs/yfddos_log

DDoS攻防战:CC攻击防御系统部署

在httpd.conf的日志参数中,加入如下两行:

LogFormat "%a \"%U\" %{local}p %D %{%s}t " yfddos CustomLog logs/yfddos_log yfddos

我们接下来重点分析日志文件/etc/httpd/logs/yfddos_log.

LogFormat "%a \"%U\" %{local}p %D %{%s}t " yfddos

解释:

%a -> 用户的IP %U -> 请求的URL地址,但并不包含query string(The URL path requested, not including any query string.) %{local}p -> 用户请求的服务器端口(一般为80) %D -> 这个请求共消耗了服务器多少微秒(The time taken to serve the request, in microseconds.) %{%s}t -> 服务器收到这个请求时,时间戳的值(seconds since 1970-01-01 00:00:00 UTC)

例子:

192.168.31.1 "/shell/yf" 80 118231 1417164313

译为:IP为192.168.31.1的主机,在时间戳为1417164313的时候,访问了/shell/yf,并由服务器的80端口向其提供服务,共耗时118231微秒

或为:IP为192.168.31.1的主机,在2014-11-28 16:45:13的时候,访问了/shell/yf,并由服务器的80端口向其提供服务,共耗时0.118231秒

至于为什么不使用httpd.conf中官方定义的日志,原因如下:

- 用户访问日志的一条记录可大约控制在60Bytes以内,数据量小,便于后期分析,官方定义的日志太过臃肿,影响分析速度 - 使用时间戳标志时间,便于后期分析,官方定义的日志时间参数为常规的表达方式,不便于直接进行处理 - httpd的日志系统本身就是从旧到新进行排序记录的,所以/etc/httpd/logs/yfddos_log日志条目的时间戳,亦为从小到大进行排序的,数据记录更加鲜明

2.2 yfddosd黑名单文件格式

DDoS攻防战:CC攻击防御系统部署

黑名单文件格式

yfddosd黑名单文件/etc/yfddos/web-yf-search.b格式如下:

# ip add-stamp rmv-stamp 1.2.3.4 1416046335 1416046395 1.2.3.5 1416046336 1416046396 1.2.3.6 1416046339 1416046399

每一行为一个黑名单条目,上面第一个条目的意义为:

IP地址 :1.2.3.4 开始时间:时间戳1416046335,即 2014-11-15 18:12:15 终止时间:时间戳1416046395,即 2014-11-15 18:13:15

直观意义为:

IP地址:1.2.3.4,从2014-11-15 18:12:15开始,被封杀1分钟,在2014-11-15 18:13:15时自动解封。

这个文件将由驻留在系统中的daemon守护进程yfddosd进行维护更新。

2.3 守护进程yfddosd:防御系统的逻辑核心

DDoS攻防战:CC攻击防御系统部署

守护进程的原理图

守护进程yfddosd是整个CC防御系统的核心,而function analyze_and_insert_black()则是yfddosd的核心。

yfddosd的配置参数:

yfddos_blackfilePath='/etc/yfddos/web-yf-search.b' yfddos_accesslogPath='/etc/httpd/logs/yfddos_log' function analyze_and_insert_black() { # analyze_and_insert_black() : # $1:max frequency(seems as abuse if above that) $2:blackip-ttl,time to live,unit is seconds (s) # $3:the access log ${3} seconds before will be analyzed to generate the abuse ip lists that we will block # example : analyze_and_insert_black "limit" "ttl" "time" # example : analyze_and_insert_black "4" "10" "5" # 分析在过去5s内的用户访问日志 如果有人在这5s内访问量>=4 系统将视其为资源滥用者 将其加入服务黑名单 # 一条黑名单的作用时间为10s 即在10s之后 系统自动删除此黑名单条目 服务则继续向其开放 # global vars: # stamp logtmpfile yfddos_blackfilePath # ...... }

函数analyze_and_insert_black有三个输入参数:

例子: analyze_and_insert_black "4" "10" "5"

解释: 分析日志文件/etc/httpd/logs/yfddos_log中,在过去5s内的用户访问日志,如果有IP在这5s内访问量>=4,守护进程yfddosd将视其为资源滥用者, 然后将这个IP加入到黑名单文件/etc/yfddos/web-yf-search.b中,此条黑名单的作用时间为10s,在10s之后,守护进程yfddosd将删除此黑名单条目。

例子: analyze_and_insert_black "150" "2700" "905"

解释: 分析日志文件/etc/httpd/logs/yfddos_log中,在过去905s内的用户访问日志,如果有IP在这905s内访问量>=150,守护进程yfddosd将视其为资源滥用者, 然后将这个IP加入到黑名单文件/etc/yfddos/web-yf-search.b中,此条黑名单的作用时间为2700s,在2700s之后,守护进程yfddosd将删除此黑名单条目。

简记为: analyze_and_insert_black "limit" "ttl" "time"

解释: 分析日志文件/etc/httpd/logs/yfddos_log中,在过去(time)s内的用户访问日志,如果有IP在这(time)s内访问量>=limit,守护进程yfddosd将视其为资源滥用者, 然后此IP将会被加入到黑名单文件/etc/yfddos/web-yf-search.b中,作用时间为(ttl)s,在(ttl)s之后,守护进程yfddosd将自动删除此条目。

从上述中可看出,守护进程yfddosd至少需要完成如下三个任务:

- 分析日志文件/etc/httpd/logs/yfddos_log中指定时间内的用户访问记录 - 将资源滥用者的IP加入文件/etc/yfddos/web-yf-search.b,并设置封杀TTL参数值 - 将/etc/yfddos/web-yf-search.b中已经过期的条目全部及时删除

守护进程yfddosd是如何实现上面三个逻辑的:

- 分析日志文件/etc/httpd/logs/yfddos_log中指定时间内的用户访问记录: (1) 取出/etc/httpd/logs/yfddos_log中过去time秒的访问日志数据,使用二分法将这一操作的时间复杂度压缩到K*log2(N)以内, 其中N为/etc/httpd/logs/yfddos_log中日志总行数,K为一次测试的耗时量,一般为1ms以内,即如有1048576条访问记录,这一操作将仅需要20*1ms (2) 使用正则RE对这些数据进行二次处理,过滤出所有访问指定URL的用户IP(这个URL为想要防御的http服务url,例如在系统中, 所防御的就是/shell/yf,这个服务向访问者提供信息的search与get服务),再次使用sort与uniq对这些IP进行处理,以统计出每个IP的访问次数并进行高低排序 - 将资源滥用者的IP加入文件/etc/yfddos/web-yf-search.b,并设置封杀TTL参数值 将所有访问次数超过阈值limit的IP更新到黑名单文件/etc/yfddos/web-yf-search.b中,每个黑名单条目的封杀时间为ttl秒 - 将/etc/yfddos/web-yf-search.b中已经过期的条目全部及时删除 遍历/etc/yfddos/web-yf-search.b中所有黑名单条目,结合当前时间戳,将所有已经过期的条目一一删去

下面是守护进程yfddosd状态机的伪代码:(略去了一些处理细节)

#init and FSM start work... counter=0 while true do sleep 5 counter=counter+1 delete obsolete items #将/etc/yfddos/web-yf-search.b中已经过期的条目全部删除 if # every 5 seconds : 5s then analyze_and_insert_black "6" "10" "5" # 分析在过去5s内访问的用户 如果有人其访问量大于等于6 系统将视其为资源滥用者 # 遂将其加入服务黑名单 其作用时间为10s 在10s之后 daemon进程自动删除这个ip黑名单条目 fi if #every 5*3 seconds : 15s then analyze_and_insert_black "14" "45" "15" fi if #every 5*3*4+5 seconds : 65s then analyze_and_insert_black "40" "840" "65" fi if #every 5*3*4*3*5+5 seconds : 905s : 15min then analyze_and_insert_black "150" "2700" "905" fi if #every 5*3*4*3*5*4+5 seconds : 3605s : 1h then analyze_and_insert_black "300" "7200" "3605" fi if #every 5*3*4*3*5*4*3+5 seconds : 10805s : 3h then analyze_and_insert_black "400" "21600" "10805" if #在每天的00:01-04:59时间区间 一天仅执行一次 then #备份日志 fi fi done

防御者应斟酌调整每个检测时间点的参数值(封杀时间ttl与判定阈值limit),以调节系统应对CC攻击到来时的反应时间。

3. 源代码

#!/bin/bash ##################################### vim /usr/local/bin/yfddosd.sh : ##################################### nohup bash /usr/local/bin/yfddosd.sh &>"/etc/yfddos/""yfddosd-log-`date +%Y-%m-%d`" & ##################################### yfddos daemon mkdir /etc/yfddos yfddos_blackfilePath='/etc/yfddos/web-yf-search.b' yfddos_accesslogPath='/etc/httpd/logs/yfddos_log' ### refresh tll logtmpfile=`mktemp` stamp=`date +%s` touch "$yfddos_blackfilePath" if grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null then cat "$yfddos_blackfilePath" | while read i do deadstamp=`echo "$i" | grep -Po '[0-9]+$'` if [ "$stamp" -le "$deadstamp" ] then echo "$i" >>"$logtmpfile" fi done fi chmod o+r "$logtmpfile" mv -f "$logtmpfile" "$yfddos_blackfilePath" if ! grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null then echo '255.255.255.255 0 0' >> "$yfddos_blackfilePath" fi function analyze_and_insert_black() { # analyze_and_insert_black() : # $1:max frequency(seems as abuse if above that) $2:blackip-ttl,time to live,unit is seconds (s) # $3:the access log ${3} seconds before will be analyzed to generate the abuse ip lists that we will block # example : analyze_and_insert_black "limit" "ttl" "time" # example : analyze_and_insert_black "4" "10" "5" # 分析在过去5s内的用户访问日志 如果有人在这5s内访问量>=4 系统将视其为资源滥用者 将其加入服务黑名单 # 一条黑名单的作用时间为10s 即在10s之后 系统自动删除此黑名单条目 服务则继续向其开放 # global vars: # stamp logtmpfile yfddos_blackfilePath local threshold="$1" local ttl="$2" local stamp_pre="$3" local i=0 local num="" local fre=0 local ip=0 local localbuf=0 local linenum=0 local deadstamp=0 stamp_pre="$((stamp-stamp_pre))" #二分查找初始化 local temp=0 local yf_x='1' local yf_y=`cat "$logtmpfile" | wc -l` if [ "$yf_y" -le "1" ] then yf_y=1 fi local yf_I=$(((yf_x+yf_y)/2)) temp=`cat "$logtmpfile" | wc -l` if [ "$temp" -gt "0" ] then temp=`sed -n '$p' "$logtmpfile" | grep -Po '[0-9]+ $'` if [ "$temp" -lt "$stamp_pre" ] then num="" else while true #使用二分查找的方法 快速地分析访问日志 do temp=`sed -n "${yf_x}p" "$logtmpfile" | grep -Po '[0-9]+ $'` if [ "$temp" -ge "$stamp_pre" ] then break fi if [ "$((yf_y-yf_x))" -le "1" ] then yf_x="$yf_y" break fi temp=`sed -n "${yf_I}p" "$logtmpfile" | grep -Po '[0-9]+ $'` if [ "$temp" -lt "$stamp_pre" ] then yf_x="$yf_I" yf_y="$yf_y" yf_I="$(((yf_x+yf_y)/2))" continue fi yf_x="$yf_x" yf_y="$yf_I" yf_I="$(((yf_x+yf_y)/2))" continue done temp=`sed -n "${yf_x}p" "$logtmpfile" | grep -Po '[0-9]+ $'` if [ "$temp" -ge "$stamp_pre" ] then num="$yf_x" else num="" fi fi if [ -n "$num" ] then sed -n "${num},\$p" "$logtmpfile" | grep -Po '^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort -n | uniq -c | sort -rn | while read i do fre=`echo "$i" | grep -Po '[0-9]+' | head -1` ip=`echo "$i" | grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' ` if [ "$fre" -ge "$threshold" ] then #insert illegal ips : cat "$yfddos_blackfilePath" # ip add-stamp rmv-stamp #1.2.3.4 1416046335 1416046395 temp=`grep -Pn "${ip//./\\.} " "$yfddos_blackfilePath"` if [ -n "$temp" ] then linenum=`echo "$temp" | grep -Po '^[0-9]+' | head -1` deadstamp=`echo "$temp" | grep -Po '[0-9]+$' | sort -rn | head -1 ` if [ "$((stamp+ttl))" -gt "$deadstamp" ] then sed -i "${linenum}s/.*/${ip} ${stamp} $((stamp+ttl))/g" "$yfddos_blackfilePath" fi else sed -i "\$a ${ip} ${stamp} $((stamp+ttl))" "$yfddos_blackfilePath" fi else break fi done fi fi } #init and yfddosd's FSM start work... counter=0 while true do sleep 5 counter=$((counter+1)) echo -n `date +%Y-%m-%d\ %H:%M:%S`" ""counter ${counter}:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " echo -n "refresh tll:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " ### refresh tll #refresh ttl: analyze file: "$yfddos_blackfilePath" if some items'ttl has been reach the date , we will remove it and open service to the ip had been banned before. #insert illegal ips : cat "$yfddos_blackfilePath" # ip add-stamp rmv-stamp #1.2.3.4 1416046335 1416046395 #sed -i "/^.* $((stamp-5))$/d;/^.* $((stamp-4))$/d;/^.* $((stamp-3))$/d;/^.* $((stamp-2))$/d;/^.* $((stamp-1))$/d;/^.* $((stamp))$/d;/^$/d" "$yfddos_blackfilePath" logtmpfile=`mktemp` stamp=`date +%s` touch "$yfddos_blackfilePath" if grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null then cat "$yfddos_blackfilePath" | while read i do deadstamp=`echo "$i" | grep -Po '[0-9]+$'` if [ "$stamp" -le "$deadstamp" ] then echo "$i" >>"$logtmpfile" fi done fi chmod o+r "$logtmpfile" mv -f "$logtmpfile" "$yfddos_blackfilePath" if ! grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null then echo '255.255.255.255 0 0' >> "$yfddos_blackfilePath" fi logtmpfile=`mktemp` stamp=`date +%s` cat "$yfddos_accesslogPath" | grep -P ' "/shell/yf" ' >"$logtmpfile" if true # every 5 seconds : 5s then echo -n "analyze_and_insert_black 6 10 5:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " #analyze yfddos log : analyze_and_insert_black() $1:max frequency(seems as abuse if above that) $2:blackip-ttl $3:the access log ${3} seconds before will be analyzed to generate the abuse ips that we will block analyze_and_insert_black "6" "10" "5" # 分析在过去5s内访问的用户 如果有人其访问量大于等于6 系统将视其为资源滥用者 遂将其加入服务黑名单 其作用时间为10s 在10s之后 daemon进程自动删除这个ip黑名单条目 fi if [ "$((counter%(3)))" -eq "0" ] #every 5*3 seconds : 15s then echo -n "analyze_and_insert_black 14 45 15:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " # example : analyze_and_insert_black "limit" "ttl" "time" analyze_and_insert_black "10" "45" "15" fi if [ "$((counter%(3*4+1)))" -eq "0" ] #every 5*3*4+5 seconds : 65s then echo -n "analyze_and_insert_black 40 840 65:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " # example : analyze_and_insert_black "limit" "ttl" "time" analyze_and_insert_black "25" "840" "65" fi if [ "$((counter%(3*4*3*5+1)))" -eq "0" ] #every 5*3*4*3*5+5 seconds : 905s : 15min then echo -n "analyze_and_insert_black 150 2700 905:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " # example : analyze_and_insert_black "limit" "ttl" "time" analyze_and_insert_black "150" "2700" "905" fi if [ "$((counter%(3*4*3*5*4+1)))" -eq "0" ] #every 5*3*4*3*5*4+5 seconds : 3605s : 1h then echo -n "analyze_and_insert_black 300 7200 3605:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " # example : analyze_and_insert_black "limit" "ttl" "time" analyze_and_insert_black "300" "7200" "3605" fi if [ "$((counter%(3*4*3*5*4*3+1)))" -eq "0" ] #every 5*3*4*3*5*4*3+5 seconds : 10805s : 3h then echo -n "analyze_and_insert_black 400 21600 10805:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " # example : analyze_and_insert_black "limit" "ttl" "time" analyze_and_insert_black "400" "21600" "10805" #### "${yfddos_accesslogPath}" backup : 在每天的00:01-04:59时间区间内 备份日志一次 if [ "`date +%H`" -le "5" ] && ! [ -f "${yfddos_accesslogPath}-`date +%Y-%m-%d`" ] then service httpd stop mv "${yfddos_accesslogPath}" "${yfddos_accesslogPath}-`date +%Y-%m-%d`" service httpd start fi fi rm -fr "$logtmpfile" echo "sleep:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`" " done

分类:默认分类 时间:2012-01-04 人气:2
本文关键词:
分享到:

相关文章

  • 浅谈预防DDoS攻击的十项安全策略 2012-01-16

    本文是由编写分布式拒绝服务攻击工具TFN和TFN2K(这些工具曾被用于攻击Yahoo等大型网站)的德国著名黑客Mixter(年仅20岁)提供。 简单地说,掌握所有可能导致被入侵和被用于实施拒绝服务攻击的原因和安全漏洞是非常复杂的。详细地说,没有简单和专门的方法保护不受到这些攻击,而只能尽可能地应用各种安全和保护策略。对于每个面临安全威胁的系统,这里列出了一些简单易行和快速的安全策略以保护免a受这些攻击。 对于面临拒绝服务攻击的目标或潜在目标,应该采取的重要措施: 1、消除FUD心态 FUD的意思

  • 拒绝服务攻击(DDOS)现状分析 2012-01-16

      拒绝效劳技能的立异现已根本尘埃落定,而上个世纪结尾十年的创造也逐步悠远。可是,跟着宽带接入、自动化和如今家庭核算机功用的日益强壮,使得对拒绝效劳进犯的研讨有些剩余。特别是当咱们发现一些本已在90年代末隐姓埋名的陈腐的进犯方法,(例如land ,其运用类似的源和方针 IP 地址和端口发送 UDP 信息包)这些进犯技能 如今又东山再起时,这个定论就愈加清楚明了。在这一方面仅有的前进就是可以建议并行使命,然后可以颠末简略的 486 处置器所无法完成的方法来明显进步进犯强度。   另一个要思考的重点

  • DDOS专题详细讲解 2012-01-19

      一、 DDos进犯原理   DDOS是英文Distributed Denial of Service的缩写,即“散布式拒绝效劳”,DDoS进犯原理大致分为以下三种:   1.经过发送大的数据包阻塞效劳器带宽形成效劳器线路瘫痪;   2.经过发送特别的数据包形成效劳器TCP/IP协议模块消耗CPU内存资源结尾瘫痪;   3.经过规范的衔接树立起衔接后发送特别的数据包形成效劳器运转的网络效劳软件消耗CPU内存结尾瘫痪(比方WEB SERVER、FTP SERVER、 游戏效劳器等)。   二、

  • 分布式拒绝服务攻击DDOS企业如何防范? 2012-01-25

    2008年随着Web2.0的继续兴盛,以及股票、证券等热点话题的持续升温,使得基于网络应用的各种电子商务、金融、电信、门户网站等企业面临更加严峻的安全形势。   从前几年的Yahoo、亚马逊、CNN及最近淘宝等为代表的被攻击事件可以看出,分布式拒绝服务攻击(DDoS)的技术发展非常迅速,所造成的破坏也更加严重。目前已成为大型网站和网络服务器运营商的一项主要安全威胁。   DDoS已成网络公害   DDoS被设计为通过暴力手段淹没目标网络的行为,从而使受害者无法处理合法的请求。在多种表现形式中,通

  • DDoS流量清洗解决方案选择七大误区 2012-02-01

    DDoS攻击愈演愈烈,攻击的规模也越来越大。用户应该如何选择DDoS流量清洗方案、产品,才能避免无谓的设备采购,最终选择适合自己的产品,达到控制成本的同时又能有效防御DDoS攻击。本文阐述了DDoS流量清洗产品选型的七大误区,以及相应的注意事项。 误区一:选择防火墙或入侵检测IPS来清洗DDoS 分析:防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,本身就是DDoS的攻击目标,在新建连接与状态连接耗尽时成为瓶颈。 DDoS最佳防护实践就是:流量清洗中心加上运

  • 网贷之家遭遇30G DDoS攻击 黑客称百万受雇 2012-02-07

      3月20日消息,国内最大、最具影响力的P2P网络借贷行业门户网站网贷之家发布公告称网站遭受到人为指使的超大规模黑客攻击。攻击流量一度达到30G,这是继去年年底人人贷、好贷网、拍拍贷等受到黑客攻击后P2P行业的另一波黑客攻击行为。   据网贷之家的安全服务商加速乐提供的数据显示:本次攻击为Synflood攻击和CC攻击的混合式DDoS攻击。本次黑客在与网贷之家联系时,称自己在老挝,受6位数雇佣。而之前其它P2P网贷平台受攻击时,对方也称在国外,目前不排除为同一团伙所为。   网贷之家首席运营官

  • 应对DoS/DDoS攻击的十条军规 2012-02-14

      文/子非鱼   DoS是“拒绝服务”(Denial of Service)的缩写,它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源,目的是让目标计算机或网络无法提供正常的服务,甚至系统崩溃。早期的DoS攻击都需要相当大的带宽资源来实现,而以个人为单位的“入侵者”往往没有这样的条件。但是后来攻击者发明了分布式的攻击方式,即利用工具软件集合许多的网络带宽来同时对同一个目标发动大量的攻击请求,这就是DDoS(Distributed Denial Of Service)攻击。简而言

  • 服务器安全狗DDOS防护怎么设置 2012-02-15

      接下来我们来进行详细的了解下DDOS攻击防护能力及其设置:   用户可以通过单击操作界面右上方的“已开启”/“已关闭”按钮来开启/关闭DDOS防火墙功能。建议用户安装完服务器安全狗之后,立即开启DDOS防火墙。只有DDOS防火墙开启,才能实现防御DDOS攻击的功能,如下图所示:   参数设置:DDOS防火墙各项参数,全部是针对单个IP的设置。所有参数都是根据实验测试得出的最佳值,所以一般情况下建议用户直接使用系统默认设置。同时,在使用过程中,用户也可以根据实际攻击情况随时修改各项参数值,如图

  • 新网络环境下应用层DDoS攻击的剖析与防御 2012-02-27

      应用层DDoS攻击分析   1.Net-DDoS攻击与App-DDoS攻击   按攻击所针对的网络层次可以把DDoS攻击分为:网络层DDoS(Net-DDoS)攻击和App-DDoS攻击。Net-DDoS攻击主要是利用了现有低层(包括IP层和TCP层)协议的漏洞来发动攻击。典型的攻击方式是:使用伪造IP地址的攻击节点向目标主机发送大量攻击分组(TCP、 ICMP、UDP等分组),利用TCP的三次握手机制使目标服务器为维护一个非常大的半开放连接列表而消耗非常多的CPU和内存资源,最终因为堆栈溢

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.022 (s). 10 q(s)