第二百四十七章 道格拉斯的杀手锏
第二百四十七章 道格拉斯的杀手锏 (第2/3页)
第二种方法就是设置syncookie,就是给每一个请求连接的ip地址分配一个cookie,如果短时间内连续受到某个ip的重复syn报文,就认定是受到了攻击,以后从这个ip地址来的包会被一概丢弃,直接就将认为是垃圾攻击。
还有反弹攻击时,李子锋让小倩使用肉鸡设置一些反弹服务器,巧妙的利用了反弹服务器群来将洪水数据包反弹给国际原子能机构的服务器。
所有的eb服务器、dns服务器及路由器都是反弹服务器,他们会对syn报文或其他tcp报文回应synacks或rst报文,以及对一些ip报文回应icmp数据报超时或目的地不可达消息的数据报。
当然,任何用于普通目的tcp连接许可的网络服务器都可以用做数据包反射服务器。
防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对ddos攻击的防护,在某些情况下,防火墙甚至成为ddos攻击的目标而导致整个网络的拒绝服务,现在李子锋就是这样的打算,直接使用大量的数据攻击。
首先是防火墙缺乏ddos攻击检测的能力。
通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部internet服务的设备提供了通路,如果ddos攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。
虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,李子锋或者小倩的肉鸡网络,只要对攻击数据包稍加变化,防火墙就无法应对,对ddos攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大,现在李子锋的肉鸡有至少都是几十万台,每一台发送的数据都有无数,少的也有上千条数据包,多的,甚至都有几万几十万条,这样一台就有这么多的,当所有的肉鸡加起来的时候。
这个数据洪流的数量就不是能够计算的出来的了。
即便是对方使用的是超级服务器,但是当这个数量一但达到了一定的程度,那就有点吓人了。
而ddos攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务,服务器也就不能有效的处理了。
最好防火墙的部署位置也影响了其防护ddos攻击的能力,而李子锋发现,虽然对方的服务器很好,防火墙的位置布置的也很好,至少是李子锋想不出来更好的了但是,这样的东西在小倩的眼中根本就是垃圾,还是不可回收的垃圾。
传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为ddos攻击的目标,李子锋这
(本章未完,请点击下一页继续阅读)