艾銻知識(shí)—IT安全運(yùn)維 | DDOS報(bào)文檢測(cè)

2020-04-26 14:47 作者：艾銻無(wú)限 瀏覽量：

 
在網(wǎng)絡(luò)安全領(lǐng)域，基于拒絕服務(wù)型的攻擊是危害最大的。作為網(wǎng)絡(luò)安全運(yùn)維在發(fā)現(xiàn)服務(wù)器莫名其妙響應(yīng)變慢后需要進(jìn)行安全檢測(cè)，看服務(wù)器是否遭到攻擊。而有效的檢查方法就是網(wǎng)絡(luò)數(shù)據(jù)報(bào)文檢測(cè)。 ddos有很多種，一種是Flood(像潮水一般，以力量取勝），還有是Malform(畸形報(bào)文，利用系統(tǒng)協(xié)議漏洞，以巧取勝）還有一種放大反射攻擊，例如我使用一個(gè)偽造IP的報(bào)文去訪問(wèn)dns服務(wù)器，dns服務(wù)器會(huì)根據(jù)

報(bào)文里面的信息進(jìn)行響應(yīng)，dns服務(wù)器會(huì)向該ip發(fā)送信息，從而達(dá)到占用寬帶的目的。

Syn泛洪攻擊：它利用了tcp的三次握手機(jī)制，當(dāng)服務(wù)端接收到一個(gè)syn請(qǐng)求時(shí)，協(xié)議軟件必須利用一個(gè)監(jiān)聽隊(duì)列將該連接保存一定時(shí)間。向服務(wù)端不停地發(fā)送syn,但是不響應(yīng)syn+ack，這樣消耗服務(wù)端的資源，然

后服務(wù)端就不會(huì)響應(yīng)正常用戶的請(qǐng)求，從而達(dá)到拒絕服務(wù)攻擊。使用netstat -an -p tcp查看，如果SYN_RECV狀態(tài)的連接非常多，說(shuō)明有可能遭受攻擊。但是也有許多防御syn攻擊的辦法，例如首包丟棄，惡意

黑名單，或者建立連接前使用一個(gè)門衛(wèi)，也可以直接修改系統(tǒng)內(nèi)核參數(shù)，在一定程度上進(jìn)行保護(hù)。

net.ipv4.tcp_syncookies = 1

40kpps的流量就已經(jīng)具有破壞力了。還有應(yīng)用層的HTTP層次的ddos,其實(shí)只要能夠達(dá)到拒絕服務(wù)的目的，都可以稱之為ddos

ddos測(cè)試檢測(cè)

當(dāng)你發(fā)起了ddos攻擊，除了使用tcpdump/wireshark進(jìn)行查看網(wǎng)卡上的包之外，還可以通過(guò)一些其他方法來(lái)衡量系統(tǒng)狀態(tài)。

1.vnstat -l -i eth 使用vnstat查看這段時(shí)間網(wǎng)卡收發(fā)包的個(gè)數(shù)和流量。

2.使用top命令查看進(jìn)程CPU百分比

3.使用free查看是否有內(nèi)存泄漏

4.使用lsof查看是否有句柄泄漏

5.使用df -h查看文件目錄空間


6.查看關(guān)鍵進(jìn)程是否重啟 記錄進(jìn)程pid或者是查看進(jìn)程開始時(shí)間。

7.查看是否有僵尸進(jìn)程等 ps aux查看進(jìn)程的狀態(tài)， STAT列為Z的表示為僵尸進(jìn)程