网络安全—如何从IP源地址角度,预防DDoS攻击?
来源:SegmentFault
时间:2023-01-17 14:59:37 355浏览 收藏
有志者,事竟成!如果你在学习数据库,那么本文《网络安全—如何从IP源地址角度,预防DDoS攻击?》,就很适合你!文章讲解的知识点主要包括MySQL、数据库,若是你对本文感兴趣,或者是想搞懂其中某个知识点,就请你继续往下看吧~
从1966年分布式拒绝服务(DDoS)攻击诞生至今,便一直困扰着网络安全,尤其是随着新技术的不断催生,导致 DDoS 攻击结合新技术演变出多种类型。DDoS 攻击作为黑灰产的手段之一,使许多企业与国家蒙受巨大损失。
爱沙尼亚网络战
2007年4月,爱沙尼亚遭受了大规模DDoS攻击,黑客目标包括国会、政府部门、银行以至媒体的网站,其攻击规模广泛而且深纵,这次袭击是为了回应与俄罗斯就第二次世界大战纪念碑「塔林青铜战士」的重新安置引发的政治冲突。事件在国际军事界中广受注目,普遍被军事专家视为第一场国家层次的网络战争。
攻击的第一次高峰出现在5月3日,当天莫斯科爆发最激烈的反抗。另一次高峰是5月8日和9日,欧洲各国纪念战胜纳粹德国,攻击同步升级,最少六个政府网站被迫停站,当中包括外交和司法部。最后一次攻击高峰是15日,该国最大的几家银行被迫暂停国外连线。爱沙尼亚两大报之一的《邮政时报》的编辑直指:“毫无疑问,网攻源自俄罗斯,这是一次政治攻击。”但俄罗斯多次否认与事件有关,并抨击爱沙尼亚虚构指控。这次攻击导致了网络战国际法的制定。
最大的DDoS攻击——GitHub遭受攻击
GitHub吉祥物
迄今为止,最大的DDoS攻击,发生在2018年2月。这次攻击的目标是数百万开发人员使用的流行在线代码管理服务GitHub。在此高峰时,此攻击以每秒1.3太字节(Tbps)的速率传输流量,以每秒1.269亿的速率发送数据包。攻击者利用了一种称为Memcached的流行数据库缓存系统的放大效应。通过使用欺骗性请求充Memcached服务器,攻击者能够将其攻击放大约50,000倍。
幸运的是,GitHub正在使用DDoS保护服务,该服务在攻击开始后的10分钟内自动发出警报。此警报触发了缓解过程,GitHub才能够快速阻止攻击。最终,这次世界上最大的DDoS攻击只持续了大约20分钟。
国际知名公司 NETSCOUT 公布其调查报告结果显示,2021年上半年,网络罪犯发动了约 540 万次分布式拒绝服务(DDoS)攻击,比 2020 年上半年的数字增长 11%。
分布式拒绝服务(Distributed Denial of Service, DDoS)攻击针对网络设施的缺陷,攻击者可以伪造IP 地址,间接地增加攻击流量。通过伪造源 IP 地址,受害者会误认为存在大量主机与其通信。黑客还会利用IP 协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。伪造 IP 地址发动攻击的成本远远小于组建僵尸主机,且技术成本要求较低,使得伪造 IP 地址发动 DDoS 攻击在及其活跃。鉴于分布式拒绝服务(Distributed Denial of Service, DDoS)攻击分布式、欺骗性、隐蔽性等特点,造成追踪和防范难度大。攻击原理及特点可点击此链接,查看本篇文章https://www.toutiao.com/i7023...)
随着技术的不断进步,攻击源追踪技术已经在追踪速度、自动化程度、追踪精确度等方面取得显著进步, DDoS网络层攻击检测也分为多种方式。那要如何从IP源地址角度预防DDoS攻击呢?
当 DDoS 攻击发生时或结束后,可以根据相关信息定位攻击的来源,找到攻击者的位置或攻击来源。IP地址来源定位它是 DDoS 攻击防御过程中的重要环节,并在其中起到承上启下的关键作用。精准的IP地址定位结果既可以为进一步追踪真正攻击者提供线索,也可以为其他的防御措施,如流量限速、过滤等措施提供信息,还可以在法律上为追究攻击者责任提供证据。
基于IP源地址数量及分布变化来看,根据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》研究报告显示,DDoS为了隐藏攻击,攻击者会降低攻击速率,使攻击流量速率接近正常访问速率,以此增加检测难度,但在 DDoS 攻击时,访问 IP 数量大幅度增加是攻击的一个明显特征。且此特征无法隐藏.基于这个特征,如果能够对IP地址进行实时监测与判定,便能够有效地检测DDoS攻击,特别是攻击源地址分布均匀的 DDoS 攻击,采用新源地址出现速率作为攻击是否发生的依据,通过监测访问流数量变化,实现对 Flash Crowd 和 DDoS 攻击的有效区分。
同时,根据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究报告显示,伪造源地址DDoS 攻击发生时,IP源地址的流数量熵值和目标地址流数量熵值均会发生较大变化,大量流汇聚导致目的地址的熵值大幅度下降,而攻击流的均匀使得源地址熵值会有所增加,通过训练出的阈值,可以检测 DDoS 攻击。
而当无攻击发生时,对某一目标地址访问的源地址分布是稳定的,且通常成簇,而DDoS攻击发生时,IP源地址的分布趋于离散。可以根据IP源地址这一特性,识别 DDoS攻击的方法。
DDoS、蠕虫和病毒(垃圾)邮件是影响骨干网安全的 3 个主要因素,从行为模式上来看,三者有着明显的区别:DDoS表现为多个地址向一个 IP 地址发送数据;蠕虫表现为一个 IP 地址向多个 IP 地址,通过一个或多个端口发送数据包;病毒邮件则是一个地址,通过 25 端口向多个 IP 地址发数据包。W Chen与DY Yeung将这3 种行为模型称为威胁兴趣关系(threats interestedness relation,简称 TIR)模型。通过对源地址、目的地址、端口进行监控,构建 TIR 树,可有效识别 3 种攻击。
对一个服务器而言,以前访问的用户往往还会再次出现。在 DDoS 发生时,为这些用户提供服务,能够有效地抵御攻击。基于历史IP的过滤方法(history-IP filtering)基于这一原理,根据正常访问源地址出现的频率和相应的数据包数构建了IP地址数据库,并且采用滑动窗口进行过期地址淘汰。埃文科技IP应用场景数据库包含了43亿全量IP数据,可有效识别机器、爬虫流量、“非人类使用者”等多种风险IP。在 DDoS 攻击发生时,依据 IP 地址数据库提供的数据服务,直接识别风险IP,从IP源地址开始保证网络安全。
21世纪的今天,DDoS 攻击仍然是互联网安全重要威胁之一。及时更新网络安全设备和软件,检查电脑漏洞,能够有效监测恶意软件,降低操作系统被感染的风险,同时也要提高个人计算机安全防护意识,创造一个安全的计算机使用环境。
理论要掌握,实操不能落!以上关于《网络安全—如何从IP源地址角度,预防DDoS攻击?》的详细介绍,大家都掌握了吧!如果想要继续提升自己的能力,那么就来关注golang学习网公众号吧!
-
499 收藏
-
244 收藏
-
235 收藏
-
157 收藏
-
101 收藏
-
363 收藏
-
370 收藏
-
152 收藏
-
368 收藏
-
227 收藏
-
306 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 立即学习 542次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 立即学习 507次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 立即学习 497次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 立即学习 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 立即学习 484次学习