您现在所在位置:主页 > 网络安全资讯 >

服务器防御_服务器防护ddos_怎么防

更新时间:2021-07-22

服务器防御_服务器防护ddos_怎么防

丹麦电信运营商TDC的安全运营中心(SOC)最近发布了一份关于基于ICMP的DoS/DDoS攻击的报告。此攻击有效地利用ICMP类型3和代码3精心编制的数据包来耗尽某些防火墙的CPU资源,导致它们过载并关闭。这次零日袭击被TDC称为"黑护士"。TDC和NETRESEC在记录测试场景方面做得很好。所以,运营商怎么防御DDOS,本着积极防御的精神,我认为这是一个好主意,看看这种类型的攻击在logrythrome NetMon Freemium中会是什么样子。黑护士的主动防御在一个受控的环境中复制了BlackNurse攻击之后,我首先想知道的是如何在NetMon接口中看到漏洞的迹象。幸运的是,NetMon中包含了许多预先配置的仪表板、搜索和可视化功能,可以帮助我入门。首先,我打开了"Top Applications By Duration(histogram)"可视化视图。在这里我可以看到有一个ICMP会话已经运行了1分49秒。如果我不知道我在寻找什么,那么ICMP会话时间就不一定是可疑的,cc防御php,也不令人惊讶。单击图像以查看更大的图像图1:持续时间可视化排名靠前的应用程序在查看了"带宽最大的应用程序(pie)"可视化后,危险信号开始出现。快速深入到另一个两分钟的ICMP会话中,发现在这段时间内发送了大约24mb的数据包。对于大多数网络,从操作和安全角度来看,这一数据量远远超过了我通常预期的ICMP流量。合法的ICMP流量(例如,用于网络故障排除的简单ICMP ping请求)通常只传输小数据包。事实上,如果在Windows中使用默认设置运行连续ping,在相同的时间内,总字节数甚至不会达到1mb!这种快速连续的过多流量可能表示基于ICMP的攻击,如ICMP洪泛、Smurf攻击、ping of death或ICMP协议误用来隐藏数据和一般DoS攻击。图2:带宽可视化的顶级应用程序另一个名为"按数据包计数的顶级应用程序"的可视化引起了我的注意,因为它显示了大量的ICMP流量,在15分钟内占据了所有接收到的数据包的93%。这绝对是值得研究的,因为与不同的时间间隔相比,这个ICMP流量的百分比超出了正常值。图3:包计数可视化排名靠前的应用程序从先前可视化的元数据中,我做了一点挖掘,我能够确定攻击者的IP。从这里开始,我使用IP并使用简单的Lucene搜索查询语法将过多ICMP流量的来源缩小到用于发起BlackNurse攻击的测试主机。图4:搜索查询语法结果(单击图像以查看更大的内容)只需点击一下,我就可以轻松查看模拟攻击前后的会话信息。在这里,我能够从NetMon快速检索PCAP文件,并更详细地查看ICMP包。图5:从NetMon会话信息下载的PCAP文件(单击images可查看更大的内容)知道这是取证和事故响应过程中的关键一步。能够深入到较低层并获得与所讨论的会话相关的PCAP(数据包捕获)文件,将有助于对这一可疑的ICMP流量得出进一步的结论。我们有了:黑护士在行动。现在您对攻击向量有了更多的了解,现在您可以更好地防御类似的DoS/DDoS攻击。如果这是一个真正的事件,自建服务器如何防御ddos,NetMon在检测黑护士攻击的迹象方面是非常宝贵的。这个工具可以让任何分析员看到可疑的流量,ddos防御有局域网攻击怎么办,钻进去,国内cc防御,快速得出结论,所有这些都是使用预先构建的可视化!如果尚未监视网络,可以使用NetMon Freemium开始。试试NetMon Freemium。LinkedIn Twitter Facebook Reddit电子邮件