带你了解DDOS防御中流量清洗的技术方法

遇见DDoS攻击的时,目前的防护技术中避免不了的会出现流量清洗过滤等词,客户都会很疑惑流量清洗,是怎么清洗的,会不会把正常的访问请求一起过滤清洗掉呢?这是站在客户角度最关心的一个问题,这种想法很正常,因为谁都不想损失客户嘛。那接下来分享下DDoS防御中流量清洗的技术方法吧。

流量清洗的意思是全部的网络流量中区分出正常的流量和恶意的流量,将恶意流量阻断和丢弃,而只将正常的流量回源给源服务器。墨者安全一般建议选择优秀的流量清洗设备。有些漏报率太高的,对大量的正常请求过程中会造成中断,有可能会影响到业务的正常运行,相当于优秀的清洗设备,可以降低漏报率以及误报率,在不影响业务正常运行的情况下可以将恶意攻击流量最大化的从网络流量中去除。但是做到这一步需要用到准确而高效的清洗技术。如:

1、攻击特征的匹配:在发动DDoS攻击过程中是需要借助一些攻击工具的,比如僵尸网络等。同时网络犯罪分子为了提高发送请求的效率,攻击工具发出的数据包通常是编写者伪造并固化到工具当中的。因此每种攻击工具所发出的数据包都有一些特征存在。那么流量清洗技术将会利用这些数据包中的特征作为指纹依据,通过静态指纹技术或者是动态指纹技术识别攻击流量。静态指纹识别的原理是预先将多种攻击工具的指纹特征保存在流量清洗设备中的数据库,因此所有的访问数据都会先进行内部数据库比对,如果是符合的会选择直接丢弃。动态指纹识别清洗设备对流过的网络数据包进行若干个数据包学习,然后将攻击特征记录下来,后续有访问数据命中这些特征的直接丢弃。

2、IP信誉检查:IP信誉机制是互联网上的IP地址赋予一定的信誉值.有一些经常用来当作僵尸主机的,会发送垃圾邮件或被用来做DDOS攻击的IP地址。会被赋予较低的信誉值.说明这些IP地址可能成为网络攻击的来源。所以当发生DDOS攻击的时候会对网络流量中的IP信誉检查,所以在清洗的时候会优先丢弃信誉低的IP,一般IP信誉检查的极端情况是IP黑名单机制。

3.协议完整性验证:为提高发送攻击请求的效率,大多数的都是只发送攻击请求,而不接收服务器响应的数据。因此.如果采取对请求来源进行交替严重,就可以检测到请求来源协议的完整性,然后在对其不完整的请求来源丢弃处理。在DNS解析的过程中,攻击方的工具不接收解析请求的响应数据,所以不会用TCP端口进行连接。所有流量清洗设备会利用这种方式区分合法用户与攻击方,拦截恶意的DNS攻击请求。这种验证方式也适用于HTTP协议的Web服务器。主要是利用HTTP协议中的302重定向来验证请求,确认来源是否接收了响应数据并完整实现了HTTP协议的功能。正常的合法用户在接收到302 重定向后会顺着跳转地址寻找对应的资源。而攻击者的攻击工具不接收响应数据,则不会进行跳转,直接会被清洗拦截,WEB服务器也不会受到任何影响。

针对精准的流量清洗还需要很多种的精确技术,比如速度检查与限制、协议代理和验证、客户端真实性验证等技术方法。因为时间原因,剩下的三种方法后续分享给大家。

32 声望
6 粉丝
0 条评论
推荐阅读
哪些行业需要使用高防服务器?
如今,随着互联网的普及,企业的业务开展离不开服务器,特别是针对热门互联网行业,如游戏、金融、电商、直播等领域,推荐使用高防服务器。因为这几个行业竞争非常激烈,容易遭到同行恶意攻击报复、敲诈勒索,是D...

墨者安全阅读 769

一个HTTP请求的曲折经历
作为程序员的我们每天都在和网络请求打交道,而前端程序员接触的最多的就是HTTP请求。平时工作中,处理网络请求之类的操作是最多的了。但是一个请求从客户端发出到被服务端处理、再回送响应,再被客户端接收这一...

nero24阅读 5.1k评论 1

前端优化之 Http 相关优化总结
学习和总结文章同步发布于 [链接],有兴趣可以关注一下,一起学习和进步。Http 优化方式是前端性能优化的重要部分,也是前端必备的知识点之一。减少静态资源文件大小这个是最根本的途径,假设真的有个 10 几兆以...

Samon17阅读 3.3k

浏览器之HTTP缓存的那些事
简单来说,浏览器缓存就是把一个已经请求过的Web资源(如html,图片,js)拷贝一份副本储存在浏览器中。缓存会根据进来的请求保存输出内容的副本。当下一个请求来到的时候,如果是相同的URL,缓存会根据缓存机制...

Samon16阅读 9.8k评论 7

HTTP,WebSocket 和 聊天室
在涉及到网络层面的相关内容时,不免会联系到 HTTP、TCP、WebSocket 等,但相信大部分人都并不是很清楚其中的一些关系和概念,特别是需要你去做语言表述时,网上有不少优秀的资料和文章,但知识仍需要自己去消化...

熊的猫8阅读 1.6k

封面图
一文搞懂 XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持
XSS攻击者通过篡改网页,注入恶意的 HTML 脚本,一般是 javascript,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式

tiny极客4阅读 780评论 1

封面图
http 和 https 的通信过程及区别
🎈 两者的区别端口: http 端口号是80, https 端口号是443传输协议: http 是超文本传输协议,属于明文传输; https 是安全的超文本传输协议,是经过 SSL 加密后的传输协议安全性: https 使用了 TLS/SSL 加密,...

tiny极客2阅读 2.8k评论 2

封面图
32 声望
6 粉丝
宣传栏