在現階段的移動互聯網環境中,除了殭屍網絡能夠在網絡中造成不同形式的***外,僞造地址與反射點在網絡中發起的***也是不容忽視的。如在DDoS***中,出現的這兩種現象的給DDOS處理和防護帶來了諸多困難。這篇主要分享僞造地址和反射點造成的DDOS怎麼處理?
我們先講下僞造地址***,僞造地址對***溯源追查起來變得更加閒難,因此***者承擔的風險小,導致他們更加肆無忌憚。而且僞造地址可以發動更大規模的DDoS***。其中主要包括DNS反射式DDoS***,它能夠使原始的***流量放大很多倍,其威脅的程度更大。最終使得DDOS防護變得更爲困難,使用源地址過濾的方式不能抵抗***。因此有人提出了路由過濾的緩解方法 ,在網絡入口處添加路由器,然後對數據包進行過濾。其中還有單播反向路徑轉發也屬於一種緩解地址僞造的技術,路由器會對進入的數據包檢查源地址和端口是否存在路由表中。如果存在就認爲該數據包是通過最優路徑到達該路由器,可以正常轉發,否則丟棄也屬於分佈式過濾方法。
反射式DDoS***,主要是DNS反射***,在互聯網中有大量的DNS服務器可以作爲反射點,而且通過僞造地址隱藏***源以及反射***的放大作用,因此也是最具破壞力的***方式之一。類似的***主要有ACK、DNS、SNMP、NTP等類型。針對反射點***的有效治理方法是提高DNS服務器的安全性,做到定期檢查。檢查內容:
限制允許訪問地址範圍,防止被濫用;
採用RRL,Knot DNS和NSD將其作爲標準選項;
用戶端設備不應該在廣域網接口監聽DNS數據包,包括網絡和廣播地址等。
墨者安全覺得想要有效的避免DDOS***,首先要解決潛在的威脅手段,比如殭屍網絡,地址僞造以及反射性***等。以上屬於個人觀點,不喜勿噴,可以互相交流。