慢速http拒绝服务攻击及防御方案
如何应对网络拒绝服务攻击
如何应对网络拒绝服务攻击网络拒绝服务攻击(DDoS)是指攻击者通过大量合法或非法的请求来超负荷地攻击网络服务器,使其无法正常提供服务。
这种攻击不仅会导致网络服务中断,还可能损害企业或个人的声誉和利益。
本文将介绍一些应对网络拒绝服务攻击的有效措施。
一、网络监测和防御系统为了应对DDoS攻击,企业或个人应该配置和更新网络监测和防御系统。
这种系统可以监控网络流量,检测和阻止具有威胁的请求。
通过实时监测,可以快速发现和抵御DDoS攻击,保障网络的可用性和安全性。
二、增强网络带宽和硬件设备DDoS攻击往往会消耗大量网络带宽和服务器资源,因此增强网络带宽和硬件设备可以有效应对此类攻击。
通常,增加网络带宽可以分散攻击流量,保持网络正常运行。
优化网络架构和硬件设备的配置,提高服务器的处理能力和稳定性,也是防御DDoS攻击的重要手段。
三、合理配置网络规则和过滤规则通过合理配置网络规则和过滤规则,可以限制来自恶意请求的访问。
例如,根据源IP地址、协议类型或端口号等设置限制条件,拦截潜在的攻击流量。
防火墙和入侵检测系统的使用也是重要的防御工具,可以及时发现异常行为并采取相应的措施。
四、云端服务和负载均衡将关键应用和数据迁移到云端服务提供商的环境中,可以减轻企业或个人自身网络的压力,提高抵御DDoS攻击的能力。
此外,采用负载均衡技术可以分发流量,将请求均匀地分配到多个服务器上,以提高网络的可用性和承载能力。
五、建立应急响应计划在面对DDoS攻击时,建立应急响应计划至关重要。
企业或个人应该预先制定针对不同类型和规模的攻击事件的详细响应流程,明确责任人,并进行定期演练和评估。
及时、有效地应对攻击,可以最大程度地减少损失并快速恢复服务。
六、密切关注安全威胁情报随着网络安全威胁的复杂和多变,及时了解和分析最新的安全威胁情报是必不可少的。
通过订阅和关注安全厂商、组织或社区发布的安全威胁报告,可以及时掌握攻击者的新策略、新漏洞以及相应的防护措施,从而更好地应对DDoS攻击。
拒绝服务攻击基础知识
拒绝服务攻击基础知识应用层攻击主要是针对目标系统的应用程序漏洞进行攻击。
HTTP GET/POST攻击是通过向目标系统发送大量的HTTP请求,占用其处理能力,使其无法正常处理合法用户的请求。
Slowloris攻击是一种特殊的HTTP攻击,攻击者向目标系统发送大量的半连接请求,使其资源耗尽。
DNS爆炸攻击则是利用DNS协议的漏洞,向目标系统发送大量的DNS查询请求,耗尽其DNS服务器资源。
为了有效防御拒绝服务攻击,我们可以采取一系列的防御策略。
首先,我们可以使用流量过滤和流量调度技术来过滤和分流攻击流量,减轻目标系统的负担。
其次,我们可以使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测并阻止可疑的攻击流量。
同时,我们还可以使用防火墙、负载均衡器和反向代理服务器等网络设备来分担攻击流量,提高系统的抗攻击能力。
另外,我们还需要及时更新和修复系统的漏洞,加强系统的安全性,防止攻击者利用系统漏洞进行攻击。
总结起来,拒绝服务攻击是一种常见的网络安全威胁,它可以对目标系统造成严重的影响。
了解拒绝服务攻击的基础知识、攻击类型和攻击方法,以及采取相应的防御策略,对于保护系统的安全和正常运行非常重要。
网络安全从业人员和系统管理员应该密切关注拒绝服务攻击的动态,并及时采取措施来保护系统的安全。
此外,用户也应该提高安全意识,不轻易点击可疑链接和下载不明文件,以免成为拒绝服务攻击的帮凶。
拒绝服务攻击(禁止服务攻击)是黑客和恶意用户使用的一种常见的网络攻击方式,其目标是通过耗尽目标系统的资源,使其无法正常运行或提供服务。
这种攻击对于个人用户、企业和组织以及整个互联网的安全和稳定性都构成了严重威胁。
拒绝服务攻击的主要目标是使目标系统资源超载,导致系统无法有效响应合法用户的请求。
攻击者通常会采取不同的攻击策略,以达到这个目标。
下面将介绍一些常见的拒绝服务攻击类型。
1. 洪泛攻击(Flood Attack):这是一种最简单的拒绝服务攻击方法。
如何识别和应对网络拒绝服务攻击
如何识别和应对网络拒绝服务攻击网络拒绝服务攻击(DDoS攻击)是指黑客通过控制大量被感染的计算机,将大量恶意流量发送到目标网站或服务器,使其无法正常提供服务的一种攻击手段。
这种攻击常常给目标网站和服务器带来巨大的经济损失和声誉损害。
因此,识别和应对网络拒绝服务攻击至关重要。
以下是一些关于如何识别和应对网络拒绝服务攻击的方法和建议。
一、识别网络拒绝服务攻击1. 流量异常增加:网络拒绝服务攻击通常会导致网络流量骤增。
当发现网络流量异常增加,但与正常业务需求不符时,可能遭受了拒绝服务攻击。
2. 响应时间延迟:拒绝服务攻击会让目标服务器资源忙于应对大量恶意请求,导致响应速度变慢。
如果明显感受到网站或服务器响应时间延迟,可能正在遭受攻击。
3. 网络异常波动:网络拒绝服务攻击通常会导致网络异常波动,如带宽利用率剧增、网络延迟增加等。
若长时间内出现这些网络异常情况,应警惕遭受了拒绝服务攻击。
二、应对网络拒绝服务攻击1. DDoS防火墙:安装和配置DDoS防火墙可以帮助识别和过滤恶意流量。
该防火墙可以监控网络流量,并根据预先设定的规则过滤掉可疑的流量,从而减轻攻击对服务器的影响。
2. 负载均衡:通过使用负载均衡器,可以将负载分散到多台服务器上,分担单一服务器的压力。
这样即使一台服务器受到攻击,其他服务器仍然能正常提供服务。
3. CDN(内容分发网络):使用CDN可以将网站内容分发到全球各地的服务器上,使用户可就近获取内容。
这样即使在遭受拒绝服务攻击时,也能提供更好的用户体验。
4. 流量清洗:当发现遭受网络拒绝服务攻击时,可以将流量导向到专门的流量清洗中心进行处理。
流量清洗中心能够识别并过滤掉恶意流量,只将正常的流量转发给目标服务器。
5. 紧急响应计划:建立完善的紧急响应计划,包括明确的责任分工和应急处置流程。
在遭受网络拒绝服务攻击时,能够快速采取措施,降低攻击对业务的影响。
6. 与服务提供商合作:与服务提供商进行紧密合作,及时报告攻击情况,并寻求他们的支持和帮助。
拒绝服务攻击及预防措施
拒绝服务攻击及预防措施拒绝服务攻击(Denial-of-Service Attack,简称DoS攻击)是一种常见的网络攻击方式,它以意图使目标系统无法正常提供服务的方式进行攻击,给网络安全带来了严重的威胁。
本文将介绍拒绝服务攻击的原理和常见类型,并提供一些预防措施以保护系统免受此类攻击的影响。
一、拒绝服务攻击的原理拒绝服务攻击的核心原理是通过向目标系统发送大量的请求,耗尽其处理能力或网络带宽,从而使其无法对合法用户提供正常服务。
攻击者可以利用多种方式进行DoS攻击,下面是一些常见的攻击类型:1. 集中式DoS攻击(Conventional DoS Attack)集中式DoS攻击是指通过一个或多个源(攻击者)向目标服务器发送大量请求。
这种攻击利用了网络协议本身的设计漏洞或系统资源限制,例如TCP/IP握手过程中的资源消耗问题,使得目标服务器无法正常处理合法用户请求。
2. 分布式拒绝服务攻击(Distributed Denial-of-Service Attack,简称DDoS攻击)分布式拒绝服务攻击是由多个不同的源(攻击者)同时向目标系统发起攻击,通过同时攻击的规模和多样性来超过目标系统的处理能力。
攻击者通常通过僵尸网络(Botnet)来执行此类攻击。
二、拒绝服务攻击的预防措施为了有效地应对拒绝服务攻击,以下是一些常见的预防措施:1. 增加网络带宽网络带宽是系统处理大量请求的关键资源之一。
增加网络带宽可以提高系统的处理能力,减轻拒绝服务攻击带来的影响。
同时,合理使用流量限制等机制可以控制并阻止一些恶意流量对系统的影响。
2. 强化网络设备和操作系统的安全性网络设备和操作系统的安全性是防范拒绝服务攻击的重要环节。
更新并及时修补设备和操作系统的安全漏洞,使用最新的防火墙、入侵检测系统和安全软件等网络安全工具来检测和阻止攻击流量。
3. 流量过滤和负载均衡通过使用流量过滤和负载均衡等技术,可以识别和过滤掉来自攻击者的恶意流量,将合法用户的请求分配到不同的服务器中进行处理,从而防止拒绝服务攻击对目标系统造成影响。
拒绝服务攻击原理及防范
软件应用8 拒绝服务攻击原理及防范◆李 颖1 魏晓梅2(1山东师范大学 山东济南 250358 2湖北师范大学马克思主义学院 湖北黄石 435000)摘要:随着经济技术的不断发展,计算机安全技术越来越受到冲击,拒绝服务攻击已成为网络机安全最大的威胁之一,由于它的破坏性极大,因此成为网络黑客经常采用的攻击手段。
该文主要分析了拒绝服务攻击的基本原理以及怎样能够更好的加以防范。
关键词:拒绝服务攻击;分类;防范措施1.什么是拒绝服务攻击服务——是指系统提供的,用户在对其使用中会受益的功能。
拒绝服务(DoS)——任何对服务的干涉如果使得其可用性降低或者失去可用性,均称为拒绝服务,如果一个计算机系统崩溃或其带宽耗尽或其存储空间被填满,导致其不能提供正常的服务,就构成拒绝服务。
拒绝服务(DoS)攻击——是攻击者通过某种手段有意地造成计算机或网络不能正常运转从而不能像合法用户提供所需要的服务或者使得服务质量降低。
传统的计算机安全包括三个属性:保密性、完整性和可用性。
对于保密性和完整性的攻击可以通过攻击一个东西即密码而获得成功。
而对可用性的攻击,则有很多种途径。
例如,攻击者可以通过发送大量的数据到受害者,达到拒绝服务攻击的目的,这种攻击在针对Yahoo、Amazon、eBay 等以后受到广泛的关注。
而如果攻击者可以介入到受害者及相应的服务之间,攻击者无需发送数据风暴即可实施DoS 攻击。
分布式拒绝服务(DDoS)攻击——如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的出发点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。
2.拒绝服务攻击的分类拒绝服务攻击的分类方法有很多种,从不同的角度可以进行不同的分类 而不同的应用场合需要采用不同的分类。
按攻击目标分为:节点型和网络连接型,前者旨在消耗节点资源,后者旨在消耗网络连接和带宽。
如何应对网络拒绝服务攻击?(八)
如何应对网络拒绝服务攻击?网络拒绝服务攻击(DDoS攻击)是一种常见的网络安全威胁,它会使目标网络、服务器或服务暂时或永久无法正常运行。
攻击者通过向目标主机发送大量流量,从而使其超过正常处理能力,导致网络瘫痪。
在互联网日益普及和数字化经济的背景下,应对DDoS攻击变得尤为重要。
本文将从几个方面探讨如何应对DDoS攻击,以提高网络的安全性。
1. 加强网络设备的安全性首先,应该通过更新固件或软件,及时修补网络设备的漏洞。
攻击者往往利用已知漏洞来实施攻击,因此网络设备的漏洞管理非常重要。
此外,设备密码也需要设置足够复杂和定期更改,以避免攻击者通过猜测或暴力破解密码进入系统。
2. 部署网络防火墙网络防火墙是保护网络免受未经授权访问和恶意攻击的关键组件。
它可以监控和过滤进出网络的流量,识别和阻止威胁。
配置适当的访问控制列表(ACL),限制对网络资源的非法访问,并使用入侵检测系统(IDS)和入侵防御系统(IPS)来及时检测和抵御DDoS攻击。
3. 使用负载均衡和缓存技术负载均衡技术可以将流量分散到多个服务器上,以避免任一服务器过载。
通过使用负载均衡器,可以将网络流量分散到不同的服务器上,从而减轻单一服务器的压力,并防止DDoS攻击摧毁整个系统。
此外,使用缓存技术可以将常用数据暂存在缓存服务器上,减少对主服务器的请求,提高系统的响应速度和稳定性。
4. 网络监测和实时响应及时的网络监测和实时响应是预防DDoS攻击的重要手段。
通过部署流量分析工具和网络安全信息和事件管理系统(SIEM),可以及时检测到异常和威胁,并迅速采取措施进行防御。
此外,建立响应计划和培训响应团队,能够有效地处理攻击并降低潜在损失。
5. 云服务和内容分发网络使用云服务和内容分发网络(CDN)是另一种有效的应对DDoS攻击的方法。
将网站或应用程序托管在云服务提供商的服务上,可以将流量分散到分布式系统中,防止单一服务器被攻击。
同时,CDN可以将内容缓存在分散的服务器上,通过就近访问来提高性能和稳定性,从而抵御DDoS攻击。
如何应对网络拒绝服务攻击?(五)
如何应对网络拒绝服务攻击?随着互联网的迅猛发展,网络拒绝服务攻击(DDoS攻击)成为网络安全领域中的一大难题。
DDoS攻击通常会导致网络系统无法正常运行,给企业和个人用户带来巨大的损失。
那么,我们应该如何应对这些网络攻击呢?本文将就这一问题展开论述。
一、了解网络拒绝服务攻击首先,要应对网络拒绝服务攻击,我们需要了解这种攻击的基本原理和方式。
DDoS攻击是通过制造大量的请求流量,使目标网络系统过载而无法正常对外提供服务的一种攻击手段。
攻击者通常会利用僵尸网络、控制服务器等手段发起攻击,使目标系统的网络带宽、处理器资源、存储等资源被耗尽,导致系统瘫痪。
二、构建强大的网络防御体系在面对DDoS攻击时,构建一个强大的网络防御体系是至关重要的。
首先,企业或个人用户应该采用合适的硬件设备和软件工具来防御攻击。
例如,可以配置专业的入侵检测和防火墙系统,用以监控和拦截异常访问流量。
同时,合理配置带宽限制和访问控制策略,有效阻止攻击者对系统发起的攻击。
其次,建立一个完善的监测与预警机制是抵御网络拒绝服务攻击的重要手段。
通过实时监测网络流量和系统状态,及时发现异常情况,并能迅速采取相应的应对措施。
此外,还应建立与网络服务提供商(ISP)的紧密合作关系,及时获取外部攻击信息,以便及早预警和防范DDoS攻击。
三、利用云服务提供商的辅助防护现今,越来越多的企业选择将自己的系统部署在云服务提供商的平台上,这也为抵御DDoS攻击提供了新的思路和手段。
云服务提供商通常会提供强大的网络防御能力,能够抵御大规模的DDoS攻击。
在面对突发的攻击时,企业可以将自己的系统流量切换到云端进行防御,减轻自身的负担。
四、合理配置网络架构和系统运维除了采取强有力的防御措施之外,合理配置网络架构和系统运维也是重要的防御手段。
企业应该采用多台服务器组成集群,利用负载均衡技术将流量分摊到不同的服务器上,避免单点故障。
此外,定期更新和修补系统的安全漏洞,加固系统的安全性,也能有效预防和抵御DDoS攻击。
如何应对网络拒绝服务攻击?(四)
网络拒绝服务攻击(DDoS攻击)是一种常见的网络安全威胁,它通过发送大量的请求给目标服务器,使其资源耗尽而无法正常提供服务。
这种攻击方式不仅给网站运营商带来经济损失,还可能导致用户无法访问正常的网络服务。
为了有效应对这种攻击,我们需要采取一系列的措施保护网络安全。
首先,及早发现攻击并拦截异常流量非常重要。
网络管理员可以通过实时监控网络流量,使用流量分析工具来检测异常流量。
一旦发现异常流量,可以使用防火墙或者入侵检测系统来拦截攻击请求,阻断攻击流量的进一步传播。
此外,建立一个完善的日志系统,记录每天的网络流量以及异常事件,对于事后的分析和追踪攻击者都有很大帮助。
其次,增加网络的带宽和扩展服务器能力是缓解DDoS攻击的重要手段。
攻击者通过向目标服务器发送大量请求,导致其资源耗尽,无法正常工作。
为了解决这个问题,可以增加网络带宽,提高服务器的处理能力。
通过购买更多的带宽和增加服务器数量,能够分散攻击流量,减轻目标服务器的负载压力,保证正常的网络服务不受影响。
此外,使用分布式防御系统也是应对DDoS攻击的有效手段。
分布式防御系统通过将流量分散到多个防火墙和服务器上进行处理,能够有效抵御大规模的攻击流量。
这种系统可以灵活地分配资源,处理攻击流量,同时保持网络服务的正常运行。
此外,还可以使用负载均衡设备,将流量均匀地分配到多台服务器上,提高整个系统的容错能力。
在保护网络安全的过程中,培养用户的安全意识也非常重要。
DDoS攻击往往是通过操纵大量僵尸网络发送恶意请求来实施的。
培养用户对电脑和网络安全的重视,教育用户避免点击可疑链接、下载未知软件,同时定期更新操作系统和安全软件,这些都是预防网络攻击的基本措施。
通过加强对用户的安全培训,可以减少网络攻击的风险。
最后,建立一个紧密合作的网络安全社区也是应对DDoS攻击的关键。
网络攻击是一个复杂的过程,需要多个组织进行合作才能有效打击。
建立网络安全合作组织,共享关于攻击者行为和攻击方式的信息,及时警示其他组织并采取行动。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
慢速http拒绝服务攻击及防御Auth : Cryin’Date : 2016.03.03Link : https:///Cryin/Paper概述HTTP-FLOOD攻击是一种专门针对于Web的应用层FLOOD攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。
由于伪造的http请求和客户正常请求没有区别,对于没有流量清洗设备的用户来说,这无疑就是噩梦。
慢速http拒绝服务攻击则是HTTP-FLOOD攻击的其中一种。
常见的慢速DoS攻击压力测试工具有SlowHTTPTest、Slowloris等攻击原理Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。
攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。
抓包数据可见,攻击客户端与服务器建立TCP连接后,每40秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。
如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。
这种攻击类型称为慢速HTTP拒绝服务攻击。
分类慢速HTTP拒绝服务攻击经过不断的演变和发展,其主要分为以下几类:◆Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。
攻击者利用这点,发起一个HTTP 请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。
抓包数据可见,攻击客户端与服务器建立TCP连接后,每30秒才向服务器发送一个HTTP头部,而Web 服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。
◆Slow body:攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大,使得Web服务器或代理认为客户端要发送很大的数据。
服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。
抓包数据可见,攻击客户端与服务器建立TCP连接后,发送了完整的HTTP头部,POST方法带有较大的Content-Length,然后每10s发送一次随机的参数。
服务器因为没有接收到相应Content-Length的body,而持续的等待客户端发送数据。
Slow read:客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。
抓包数据可见,客户端把数据发给服务器后,服务器发送响应时,收到了客户端的ZeroWindow提示(表示自己没有缓冲区用于接收数据),服务器不得不持续的向客户端发出ZeroWindowProbe包,询问客户端是否可以接收数据。
易被攻击的web服务器慢速HTTP拒绝服务攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程,它会等待接收完整个HTTP头部才会释放连接。
比如Apache会有一个超时时间来等待这种不完全连接(默认是300s),但是一旦接收到客户端发来的数据,这个超时时间会被重置。
正是因为这样,攻击者可以很容易保持住一个连接,因为攻击者只需要在即将超时之前发送一个字符,便可以延长超时时间。
而客户端只需要很少的资源,便可以打开多个连接,进而占用服务器很多的资源。
经验证,Apache、httpd采用thread-based架构,很容易遭受慢速攻击。
而另外一种event-based架构的服务器,比如nginx和lighttpd则不容易遭受慢速攻击。
防御措施◆Apache⏹mod_reqtimeout :Apache2.2.15后,该模块已经被默认包含,用户可配置从一个客户端接收HTTP头部和HTTPbody的超时时间和最小速率。
如果一个客户端不能在配置时间内发送万头部或body数据,服务器会返回一个408REQUEST TIME OUT错误。
配置文件如下:< IfModule mod_reqtimeout.c >RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500< /IfModule >⏹mod_qos:Apache的一个服务质量控制模块,用户可配置各种不同粒度的HTTP请求阈值,配置文件如下:< IfModule mod_qos.c >/# handle connections from up to 100000 different IPsQS_ClientEntries 100000/# allow only 50 connections per IPQS_SrvMaxConnPerIP 50/# limit maximum number of active TCP connections limited to 256MaxClients 256/# disables keep-alive when 180 (70%) TCP connections are occupiedQS_SrvMaxConnClose 180/# minimum request/response speed (deny slow clients blocking the server, keeping connections open without requesting anythingQS_SrvMinDataRate 150 1200< /IfModule >◆WebSphere⏹限制 HTTP 数据的大小详细参考链接:/developerworks/cn/websphere/techjournal/1210_lansche /1210_lansche.html#new-step32⏹设置keepalive参数◆Weblogic⏹在配置管理界面中的协议->一般信息下设置完成消息超时小于200,wvvs即不会爆出该漏洞,如图:⏹在配置管理界面中的协议->HTTP下设置POST 超时、持续时间、最大POST 大小等选项,可防止其它类型的慢速HTTP拒绝服务攻击。
如图:◆IHS服务器⏹请先安装最新补丁包,然后启用mod_reqtimeout模块,在配置文件中加入:LoadModule reqtimeout_module modules/mod_reqtimeout.so为mod_reqtimeout模块添加配置:<IfModule mod_reqtimeout.c>RequestReadTimeout header=10-40,MinRate=500 body=10-40,MinRate=500</IfModule>对于HTTPS站点,建议header=20-40,MinRate=500。
参见:/support/docview.wss?uid=swg21652165◆Nginx⏹通过调整$request_method,配置服务器接受http包的操作限制;⏹在保证业务不受影响的前提下,调整client_max_body_size,client_body_buffer_size,client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值,必要时可以适当的增加;⏹对于会话或者相同的ip地址,可以使用HttpLimitReqModule andHttpLimitZoneModule参数去限制请求量或者并发连接数;⏹根据CPU和负载的大小,来配置worker_processes 和 worker_connections的值,公式是:max_clients = worker_processes * worker_connections。
总结传统的流量清洗设备针对CC攻击,主要通过阈值的方式来进行防护,某一个客户在一定的周期内,请求访问量过大,超过了阈值,清洗设备通过返回验证码或者JS代码的方式。
这种防护方式的依据是,攻击者们使用肉鸡上的DDoS工具模拟大量http request,这种工具一般不会解析服务端返回数据,更不会解析JS之类的代码。
因此当清洗设备截获到HTTP 请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。
而对于慢速攻击来说,通过返回验证码或者JS代码的方式依然能达到部分效果。
但是根据慢速攻击的特征,可以辅助以下几种防护方式:1、周期内统计报文数量。
一个TCP连接,HTTP请求的报文中,报文过多或者报文过少都是有问题的,如果一个周期内报文数量非常少,那么它就可能是慢速攻击;如果一个周期内报文数量非常多,那么它就可能是一个CC攻击。
2、限制HTTP请求头的最大许可时间。
超过最大许可时间,如果数据还没有传输完成,那么它就有可能是一个慢速攻击。
参考[1] /cc-attack-defense/[2] /tools/40413.html。