tcp分片攻击与防御原理

攻击原理

正常的网络流量中很少出现TCP分片报文,如果网络中TCP分片报文增多,则很可能正受到ddos攻击。攻击者向攻击目标发送大量的TCP分片报文。

通常会造成以下危害:

大量的TCP分片报文消耗带宽资源,造成被攻击者的响应缓慢甚至无法正常回应。

网络设备或服务器收到大量的TCP分片报文,会进行分片重组,这样会导致网络设备或服务器的性能降低,甚至无法正常工作。

防御原理

TCP分片分为首分片和后续分片,可以只对首分片执行防御动作,如果首分片异常被丢弃了,后续分片因找不到首分片的会话会直接被后续转发流程丢弃。

基于目的地址对TCP首分片报文速率进行统计,当TCP首分片报文速率超过阈值时。按照以下处理方式:

首先检查报文源IP地址是否命中白名单,如果没有命中白名单,则将该源IP所有发送的TCP分片报文直接丢弃。

如果命中白名单,则对分片报文进行放行

对于真实源发送的分片报文攻击,对分片报文限速。

你可能感兴趣的:(网络安全,tcp/ip,安全,网络安全,ddos,企业安全)