人
已阅读
已阅读
高防CDN加速的IP攻击反欺骗
作者:cdnfine 来源:cdnfine 发布时间:2018-06-09
IP欺骗是模仿互联网上的用户和设备或客户端。它经常被用来隐藏网络攻击过程中攻击流量的来源。修改DNS服务器以将域名重定向到不同的IP地址。它通常用于传播病毒。屏蔽攻击者的原始IP。它通常用于DoS攻击。计算机网络通过交换网络分组进行通信。每个网络包含多个路由报头,并确保传输的连续性。一个这样的头是源IP地址,它代表数据包发送者的IP地址。其中高防CDN加速是在IP报头中伪造内容的行为,通常使用随机数来伪装发送者的身份或发起DDoS攻击。IP欺骗是大多数DDoS恶意软件包和攻击脚本的默认功能,使其成为大多数网络层分布式拒绝服务DDoS攻击的一部分。
僵尸网络是一组由恶意软件感染的设备,它们被罪犯远程控制而不知道他们的所有者。他们可以被指令访问一个特定的域或服务器一起,为罪犯提供计算和网络资源,以产生巨大的交通洪灾。这种洪水使得僵尸网络操作员(也被称为牧羊人)最大化目标的资源容量,从而导致服务器停机时间和网络饱和。欺骗IP地址用来伪装僵尸网络设备的真实身份。反射的高防CDN加速使用IP欺骗来产生虚假请求,代表表面上的目标,并触发受保护的中间服务器的响应。参与者的目标是通过从较小的请求触发大量的响应来扩展其流量输出。
僵尸网络是一组由恶意软件感染的设备,它们被罪犯远程控制而不知道他们的所有者。他们可以被指令访问一个特定的域或服务器一起,为罪犯提供计算和网络资源,以产生巨大的交通洪灾。这种洪水使得僵尸网络操作员(也被称为牧羊人)最大化目标的资源容量,从而导致服务器停机时间和网络饱和。欺骗IP地址用来伪装僵尸网络设备的真实身份。反射的高防CDN加速使用IP欺骗来产生虚假请求,代表表面上的目标,并触发受保护的中间服务器的响应。参与者的目标是通过从较小的请求触发大量的响应来扩展其流量输出。
为了建立应用层连接,在免费CDN加速主机和访问者需要参与一个称为TCP三握手的相互认证过程。因为它禁止访问者接收Sy-ACK应答并将其发送到欺诈性IP地址。由于所有的应用层攻击依赖于TCP连接,并且关闭了三个握手周期,只有网络层DDoS攻击才可以使用欺骗地址。在安全性研究中,通常使用网络层攻击的IP数据来识别攻击者资源的来源国。然而,IP地址欺骗将使该数据不可靠,因为恶意流量的IP地址和地理位置被屏蔽。当仅仅依靠网络IP数据来读取报告时,有必要理解这些限制。例如,它不能依赖于减轻提供者提供的针对应用层攻击的报告,以提供僵尸网络设备的精确位置。
因此,对僵尸网络起源的任何实质性研究只能基于应用级攻击数据。IP地址欺骗通常用于绕过依赖于IP黑名单的基本安全措施。现代缓解解决方案依赖于高防CDN加速深度包检测(DPI),它使用全包头粒度分析,而不仅仅是源IP地址。在DPI缓解方案的帮助下,我们可以交叉检查不同分组报头的内容,找到其他指标来识别和过滤恶意流量。救援服务可以使用DPI来观察DDOS业务,并识别具有相同TTL和总长度报头的包的流入,这与正常模式不匹配。通过跟踪这些小异常,服务可以为攻击包创建细粒度配置文件,并使用此配置文件来消除恶意流量而不影响常规访问者流量。为了克服这个问题,通过特殊的缓解硬件来实现网络反CDN擦除,每个DPI每秒运行大约1亿个包。每个网络免费CDN清洗器可以为所有传入数据提供粒度可见性,从而确保攻击流量永远不会进入您的网络,而正常访客流量畅通无阻。
本内容由免费CDN加速原创或转载,转载请保留地址,不标明出处违者必究!
因此,对僵尸网络起源的任何实质性研究只能基于应用级攻击数据。IP地址欺骗通常用于绕过依赖于IP黑名单的基本安全措施。现代缓解解决方案依赖于高防CDN加速深度包检测(DPI),它使用全包头粒度分析,而不仅仅是源IP地址。在DPI缓解方案的帮助下,我们可以交叉检查不同分组报头的内容,找到其他指标来识别和过滤恶意流量。救援服务可以使用DPI来观察DDOS业务,并识别具有相同TTL和总长度报头的包的流入,这与正常模式不匹配。通过跟踪这些小异常,服务可以为攻击包创建细粒度配置文件,并使用此配置文件来消除恶意流量而不影响常规访问者流量。为了克服这个问题,通过特殊的缓解硬件来实现网络反CDN擦除,每个DPI每秒运行大约1亿个包。每个网络免费CDN清洗器可以为所有传入数据提供粒度可见性,从而确保攻击流量永远不会进入您的网络,而正常访客流量畅通无阻。
本内容由免费CDN加速原创或转载,转载请保留地址,不标明出处违者必究!
