DDoS检测防御实现方案

news/2024/12/12 5:51:24/

流量采集模式

通过分光器将流量直接镜像到攻击检测器,收包采用DPDK库。

当前整机流量、源IP信息、连接数 、连接内容(五元组等)的信息汇聚

当发生告警时采样原始数据包, 采用固定采样算法

基于检测对象的TCP syn ack psh ack established的个数、流量信息汇聚

基于检测对象的UDP 流量 报文数

基于检测对象的DNS query response数量的汇聚信息

基于检测对象的NTP数量信息汇聚

基于检测对象的http get post 、响应码、url信息汇聚

基于检测对象的ICMP 流量、报文数、信息汇聚

抓包取证

攻击检测

Syn flood

对pps做汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口

Ack flood

对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口

Udp flood

对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口

ICMP flood

对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口

Http get flood

对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口

Http post flood

对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口

Https

对就445端口的psh+ack报文pps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口

DNS Flood

对bps或pps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口

NTP 放大攻击

对源端口123 的报文pps汇聚统计,超过阈值告警触发,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口

HTTP慢速攻击

对http访问异常的报文数据进行统计,发现异常产生告警。

连接攻击

当并发和累计连接数超出阈值时产生告警

空路由

当流量超过设备阈值,产生空路由告警,并通知第三方设备完成黑洞路由流量清洗的功能

智能检测

自动检测到payload异常,并能够形成防护规则

流量基线学习

流量学习包括bps,pps

tcp协议各种标记位的学习,包括syn,ack,rst,fin, psh+ack,单位pps

各种协议流量的学习,包括tcp,udp,icmp,other ,单位bps,pps

应用层防护流量的学习,包括http get, dns query, 单位qps,pps

包长比例的学习,0-50,50-100,100-500,500-1000,1000-15000

流量自学习能够自动生成防护对象的策略参数上传到管理平台

HTTP协议分析

统计周期内的get,post,put各种方法的统计

在统计周期内response的各种返回的code统计,包括1xx,2xx,3xx,4xx,5xx,other

TOPn URL访问统计分析

TOPN 源IP流量访问统计,包括bps,pps,total

DNS协议分析

统计周期内dns query统计,单位bps/pps

攻击周期内容dns reponse报文类型统计

连接分析

在统计周期内的并发连接数和新建连接数的统计分析

长连接的流量分析,显示连接的5元组信息以及bps,pps流量数据,并topn排序

源IP流量分析

基于防护对象源IP流量在统计周期内的topn分析

联动方式

将判断是攻击的IP相关信息通告给管理平台,能够将告警信息同步给防护引擎完成流量牵引和检测,或者是通知第三方设备进行黑洞空路由。


http://www.ppmy.cn/news/1150825.html

相关文章

新版Android Studio搜索不到Lombok以及无法安装Lombok插件的问题

前言 在最近新版本的Android Studio中,使用插件时,在插件市场无法找到Lombox Plugin,具体表现如下图所示: 1、操作步骤: (1)打开Android Studio->Settings->Plugins,搜索Lom…

uniapp 微信小程序 vue3.0+TS手写自定义封装步骤条(setup)

uniapp手写自定义步骤条&#xff08;setup&#xff09; 话不多说 先上效果图&#xff1a; setup.vue组件代码&#xff1a; <template><view class"stepBox"><viewclass"stepitem"v-for"(item, index) in stepList":key"i…

E. Block Sequence-Codeforces Round 903 (Div. 3)

E. Block Sequence dp题,设dp[i]表示i~n之间的数&#xff0c;需要最小删除数量 那么每一位数有两种情况&#xff0c;设数a[i]&#xff1a; 1.被删除&#xff1a;dp[i]dp[i1]1,这一位等于上一位的加一。 2.被保留&#xff1a;dp[i]min(dp[i],dp[ia[i]1]); #include<iostream…

centos7下安装elasticsearch7.8.1并配置远程连接

1、下载安装包 sudo wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.8.1-linux-x86_64.tar.gz 2、解压 sudo tar -zxvf elasticsearch-7.8.1-linux-x86_64.tar.gz 3、添加用户并设置密码 sudo useradd es sudo passwd es # 设置密码 Lida15…

【Java】String遍历字符串原理

String 便利字符串 键盘录入一个字符串&#xff0c;用Scanner实现遍历字符串&#xff0c;首先要能够获取到字符串中每一个字符 public char charAt(int index)&#xff1a;返回指定索引处的char值&#xff0c;字符串的索引也是从0开始的遍历字符串&#xff0c;其次要能够获取到…

【java学习】类的属性(15)

文章目录 1. 类的成员之一&#xff1a;属性 1. 类的成员之一&#xff1a;属性 语法格式&#xff1a;     修饰符 类型 属性名 初值&#xff1b; 说明&#xff1a;     修饰符有public和private两种&#xff1a;           修饰符private&#xff1a;该属性…

学习记忆——题型篇——写作——记忆宫殿法

1&#xff0e;什么是数字记忆法? 答&#xff1a; 数字记忆就是把每一个数字转换成图片编码后再进行联想速记。 2&#xff0e;数字记忆法的用途有哪些&#xff1f; 答&#xff1a; 可以记忆学科知识&#xff0c;如地理、历史等所有学科或考试中的数据信息&#xff1b;可以速记生…

使用XLua在Unity中获取lua全局变量和函数

1、Lua脚本 入口脚本 print("OK") --也会执行重定向 require("Test") 测试脚本 print("TestScript") testNum 1 testBool true testFloat 1.2 testStr "123"function testFun()print("无参无返回") endfunction te…