艾銻知識—IT安全運維 | DDOS報文檢測

2020-04-26 14:47 作者：艾銻無限 瀏覽量：

 
在網(wǎng)絡(luò)安全領(lǐng)域，基于拒絕服務(wù)型的攻擊是危害最大的。作為網(wǎng)絡(luò)安全運維在發(fā)現(xiàn)服務(wù)器莫名其妙響應(yīng)變慢后需要進行安全檢測，看服務(wù)器是否遭到攻擊。而有效的檢查方法就是網(wǎng)絡(luò)數(shù)據(jù)報文檢測。 ddos有很多種，一種是Flood(像潮水一般，以力量取勝），還有是Malform(畸形報文，利用系統(tǒng)協(xié)議漏洞，以巧取勝）還有一種放大反射攻擊，例如我使用一個偽造IP的報文去訪問dns服務(wù)器，dns服務(wù)器會根據(jù)

報文里面的信息進行響應(yīng)，dns服務(wù)器會向該ip發(fā)送信息，從而達到占用寬帶的目的。

Syn泛洪攻擊：它利用了tcp的三次握手機制，當服務(wù)端接收到一個syn請求時，協(xié)議軟件必須利用一個監(jiān)聽隊列將該連接保存一定時間。向服務(wù)端不停地發(fā)送syn,但是不響應(yīng)syn+ack，這樣消耗服務(wù)端的資源，然

后服務(wù)端就不會響應(yīng)正常用戶的請求，從而達到拒絕服務(wù)攻擊。使用netstat -an -p tcp查看，如果SYN_RECV狀態(tài)的連接非常多，說明有可能遭受攻擊。但是也有許多防御syn攻擊的辦法，例如首包丟棄，惡意

黑名單，或者建立連接前使用一個門衛(wèi)，也可以直接修改系統(tǒng)內(nèi)核參數(shù)，在一定程度上進行保護。

net.ipv4.tcp_syncookies = 1

40kpps的流量就已經(jīng)具有破壞力了。還有應(yīng)用層的HTTP層次的ddos,其實只要能夠達到拒絕服務(wù)的目的，都可以稱之為ddos

ddos測試檢測

當你發(fā)起了ddos攻擊，除了使用tcpdump/wireshark進行查看網(wǎng)卡上的包之外，還可以通過一些其他方法來衡量系統(tǒng)狀態(tài)。

1.vnstat -l -i eth 使用vnstat查看這段時間網(wǎng)卡收發(fā)包的個數(shù)和流量。

2.使用top命令查看進程CPU百分比

3.使用free查看是否有內(nèi)存泄漏

4.使用lsof查看是否有句柄泄漏

5.使用df -h查看文件目錄空間


6.查看關(guān)鍵進程是否重啟 記錄進程pid或者是查看進程開始時間。

7.查看是否有僵尸進程等 ps aux查看進程的狀態(tài)， STAT列為Z的表示為僵尸進程