這篇文章主要介紹了ddos防御技術有哪些,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
ddos***簡單防御總結:
NUM.1 利用ios的經典特性:ip tcp intercept
這個特性可以在網絡邊界路由器上開啟,它的原理是代替server完成三次握手。如果***者沒有完成三次握手,router將不會使其與服務器通信,正常用戶與router完成三次握手后,router也會偽裝成用戶和server進行三次握手,而后將正?;卦捊唤o服務器。
ip tcp intercept 有主動和被動兩種模式,默認主動模式,被動模式要求在XX秒內建立完整鏈接,否則T掉!
NUM.2 攔截RFC1918
一般ddos***的地址都是偽造的私網地址,我們可以在路由器上啟用ACL攔截源為RFC1918的地址。
NUM.3 unicast RFC
當一個路由器的多個接口鏈接多個網段時可以配置unicast RFC ,使其每個接口只能接收源地址是本接口鏈接網段的數據包,丟棄不能夠通過ip源地址檢測的包。
NUM.4 配置IOS狀態監控包過濾防火墻(1.CBAC技術 2.zoned-based技術)
一個很老的ios防火墻技術。cbac技術基于接口,先deny ip any any ,禁止互聯網對內網的訪問,在全局下寫監控策略,例如 ip inspect name CBAC telnet 就是對telnet的流量做監控,之后將策略運用于接口的出或如方向。之后telnet就可以通了,用命令:“show ip inspect session”可以查看路由器上的狀態化信息表,狀態化信息表包括源目地址及端口號,今后的數據包通信優先查看狀態化表項,如果狀態化表項有條目就可直接通信,不會詢問ACL。
cbac技術也有缺點,因為它是基于接口,所以會影響到DMZ的流量。解釋下,在入進口配cbac的時候不能區別到dmz和到內網的流量,例如,不可能配置外網到DMZ監控http,外網到內網監控telnet。
zoned-based技術zone是一系列接口的集合。
特點1:策略運用于zone間特定的流量,而不是接口。
特點2:可以配置基于特定主機和子網的策略。
特點3:默認策略deny所有zone間的流量。
特點4:提供非常非常強大的DPI(深度包監控)功能。例如限制郵件的長度,url字段等,可以限制的非常細,比ASA還變態!
特點5:相對于cbac提供了更好的性能。
缺點是配置起來很費勁,zone越多越麻煩,因為每個zone都要和其他zone有策略,非常蛋疼。
以上都是通過ios特性來低于ios,有些不靠譜,特別是ip tcp intercept 技術,一兩千個包還能忙的過來,在成G成G的***流量下,router早就魂飛魄散拉~
經過查閱發現,大型IT企業,銀行一般都用用guard + dectecor的方式來部署自己的清洗中心。
下面是全網ddos清洗中心部署方式:
這里我簡單總結了下流量牽引技術:
流量清洗中心利用IBGP或者EBGP協議
首先和城域網中用戶流量路徑上的多個核心設備直連或者非直連均可建立BGP Peer
1.當發生ddos***時,路由器鏡像口的ids就會發現***,之后通知告警給清洗中心(好多臺guard)
2.流量清洗中心通過BGP協議會向核心路由發布BGP更新路由通告更新核心路由上的路由表
將流經所有核心設備上的流量動態的牽引到流量清洗中心進行清洗
3.流量清洗中心發布的BGP路由添加no-advertise屬性(當一臺路由器,收到一個bgp的路由帶有no-export屬性是這臺路由器就不會再向EBGP對等體及IBGP對等體發送該路由)確保清洗中心發布的路由不會被擴散到城域網
同時在流量清洗中心上通過路由策略不接收核心路由器發布的路由更新
從而嚴格控制對其他網絡造成的影響
當然,清洗完后正常的流量通過清洗中心流入目的服務器。
感謝你能夠認真閱讀完這篇文章,希望小編分享的“ddos防御技術有哪些”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。