流量型攻击及防范

流量型攻击（超过阀值后进行防护操作）

SYN flood攻击 ：

基于传输层的源合法性验证技术，SYN+ACK时回复一个错误的序列号：

正常用户，发现错误ACK，重新发送RST进行重新连接

非法用户：不回复RST和ACK，加入黑名单

SYN-ACK 及 ACK flood 攻击：

通过流量阀值进行检测，并进行会话检查。

 载荷检测，如果载荷内容全一致。

FIN/RST flood 攻击：

检测前序序列号

与TCP关联的UDP flood攻击：（DNS查询）

回复用户端，将UDP的服务采用TCP重新发起请求。

重新发起者为，正常用户。无回应为非法。

UDP flood攻击与UDP分片攻击：

载荷检查与指纹学习：有相同特征的丢弃。

DNS

Request flood：

基本模式：

超过阀值值后要求客户端通过TCP进行DNS请求。

增强模式：有DDos设备建立TCP会话，DDos与DNS服务器之间通过UDP传输

 

被动模式：（client不支持TCP）

DDos要求client重新请求另一域名，通过此流程进行检测。不回应为非法。

指定源域名限速与源IP限速

Http 及https  flood

源认证；目的IP的URI检测；指纹学习

Http 慢速攻击

 slow post：发送POST报文，总长度很大，后续报文很小

Slow headers：发送GET和POST，头字段不发送结束符。

安全设备每秒进行检测连续多次是否有以上两种情况。

Https SSL Dos 攻击：

SSL协商次数过大，对源IP进行拉黑。