分享DDOS防护过程当中须要了解的技术手段

在DDOS防御过程当中，流量清洗是必不可少的技术操做。那么精准的流量清洗具体是经过什么样的方式实现的呢?其中会有多种的技术方式辨识。昨天给你们分享了流量清洗过程当中必要的技术手段中的三个，攻击特征匹配、IP信誉检查、协议完整性检测。今天的内容主要分享速度检查与限制、TCP代理和验证、客户端真实性验证的技术手段。

一、经过对请求数据包发送的速度检查与限制来进行清洗。一部分攻击在数据包上是没有特别明显的攻击特性，同时也没有办法进行特征匹配。但在请求数据包发送的频率和速度上会有着明显的差别。好比在受到SSL DDoS攻击时，会在同一个SSL会话中进行加密密钥的多重协商。正常状况下是不会反复多重协商加密密钥的。因此在流量清洗的时候，若是发现SSL会话中的密钥协商次数超过了特定的阈值，会直接中断这个会话而且把来源加入黑名单中。或者是慢速的POST请求攻击时，客户端和服务器之间会以低速率进行互相数据传输。在清洗过程当中发现HTTP请求长时间没有完成传输，就会中断会话，这种通常是经过速度检查和限制来进行清洗的。相比UDP洪水攻击等是没有明显的特征，此种是经过大流量攻击，流量清洗的缓解技术是限制流量速度。

二、针对TCP协议代理和验证：如SYN Flood洪水攻击的方式是利用了TCP协议的弱点，将被攻击的服务器链接表占满，使其没法建立新的链接而达到拒绝服务的目的。那么在SYN请求达到必定数量清洗后，就会回复一个SYN+ACK数据，等待客户端回复。肯定SYN请求是正常的用户，客户端就会对SYN+ACK进行响应，同时流量清洗技术会代替用户而且保护服务器创建了TCP链接，而后将链接加入信任列表当中。这样用户端和服务端之间能够进行正常的数据通讯。若是SYN请求来自攻击者，一般不会对SYN+ACK响应，因此只是单方面的链接，流量清洗技术会暂时保留一段时间这个单方面的链接，通过必定的短的时间就丢弃它。因此相比保护服务器，流量清洗技术会对链接表进行优化，也能处理很大的链接请求。所以清洗设备保护了服务器，也不会使其消耗任何的链接资源，性能不会受影响。

三、流量清洗过程当中还会对客户端真实性验证，主要是对客户端的程序以及应答模式的相互验证。以此来检查客户端可否完成特定的功能和确认请求数据是否来自真实的客户端。在页面的WEB服务中，经过检查客户端是否支持JavaScript来验证请求来源是不是真实的浏览器客户端。在收到HTTP请求是，流量清洗技术会试用JavaScript等脚本语言发送简单的运算操做。通常对真实的浏览器请求会进行正确的运算结果返回，这个时候流量清洗将验证后的请求跳转到Web服务器上的正常资源位置，以此不影响正常的用户访问。若是是攻击工具发送的，是不会返回正常的运算结果，所以流量清洗技术会直接丢弃这样请求，不会让其跳转到Web服务器的链接，服务器也不会受到影响。

DDoS攻击的防护技术随着攻击的提高也在加强中。从最初的拒绝服务变为了分布式拒绝服务，并且还在变异中，因此缓解的技术也是愈来愈深奥。墨者安全我力所能及的分享一些关于DDOS攻防的技术，网络安全方面的知识以及看法，对此你们有各自的观点能够相互交流。