一 基础                                                   

系统优化——主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护，当黑客提高攻击的流量时，这种防护方法就无计可施了。
指令：show ip source-track(路由指令)显示每个输入接口

二防范
2关闭不必要的服务

2限制同时打开的Syn半连接数目

3缩短Syn半连接的time out 时间

三举例

4如果被攻击的目标只是单一 ip，那么试图改个 ip 并更改其 DNS mapping ，

5单纯攻击，可以由产生的流量找出其规则，那么利用路由器的 ACLs(Access Control Lists)或防火墙规则也许可以阻挡，

6发现流量都是来自同一来源或核心路由器，可以考虑暂时将那边的流量挡起来，当然这还是有可能将正常和异常的流量都一并挡掉，但至少其它来源可以得到正常的服务，这有时是不得已的牺牲。

7增加机器或频宽作为被攻击的缓冲之用，最重要的是必须立即着手调查并与相关单位协调解决。

8伪装攻击来源，假造封包的来源 ip，这个可以透过设定路由器的过滤功能来防止，只要网域内的封包来源是其网域以外的 ip，就应该直接丢弃此封包而不应该再送出去，如果网管设备都支持这项功能，网管人员都能够正确设定过滤掉假造的封包，也可以大量减少调查和追踪的时间。

四日常

9行为模式的异常检测，从正常流量中精确的区分攻击流量；

10通过集成的检测和阻断机制对DOS攻击实时响应，完成基本DOS防护功能需求；

11增加各类网络接入模式，并具有较高的吞吐量，避免单点故障；具备很强的扩展性和良好的可靠性。（不现实）

12每个进出的连接，根据其源地址进行分类，连接超时，重置连接.弥补TCP协议本身的不足抗拒绝服务攻击算法(14里有详讲)

13建立历史日志对攻击的历史日志进行查询和统计分析，便于对攻击事件进行有效的跟踪和追查。

五SYN Flood  SYN Flood(小规模)

14 SYN Flood的攻击，SYN Flood..........通过IDP的部署，可以保证TCP连接的正常建立，以此来防范那些恶意的半连接。回到开篇咱们举的那个例子，如果在酒店和客户之间有一个中间机构，该机构限定客户的响应时间，如果超过一定时间没有响应，则通知酒店取消预定，或者该机构作为酒店代理，只有收到款后才跟酒店建立业务关系，这样酒店就可以避免恶意的预定，正常运营。IDP设备就是在攻击者和服务器之间充当这样的一个中间机构。针对上述中间机构的两种处理方式，IDP设备也有两种工作模式：被动模式和主动模式。
IDP的被动工作模式，是指其并不参与到客户机目标服务器之间连接的建立，但是其会维护一个连接建立的时间表，它监控整个连接建立过程，如果客户机超过一定时间没有回复ACK报文，那么IDP就向目标服务器发送一个RESET报文，取消该连接。一般而言手工方式防护DDoS主要通过两种形式

　　

　　IDP维护的时间表会低于目标服务器连接队列老化时间，以此来减少目标服务器的资源利用率。IDP可以根据每秒SYN报文的个数来决定是否应用此策略，因为如果每秒SYN报文个个数比较少根本对目的主机构不成威胁，也没必要采取措施。默认值为1000，既如果每秒SYN报文超过1000，则启动该功能。

　　

　　主动模式中IDP实际参与到了连接建立的过程中，其作为主机和目标服务器之间的一个中转机构，以此来确保目标服务器只会给处于连接建立状态的连接分配资源，阻止了非法攻击的资源消耗。对于主机和目标服务器来说，IDP设备是透明的，如下图所示：

　　

　　IDP作为中转设备，其每收到一个SYN报文，其都会回复一个SYN/ACK，对主机来说就像是目标服务器回复的一样，如果规定时间内主机能够回复ACK，那么连接就能正常建立，IDP就允许连接转移到目标服务器上，对目标服务器来说，此时的IDP设备就是请求服务的主机。如果规定时间内IDP没有收到主机回复的ACK报文，那么IDP就会关闭该连接，目标服务器根本不会感知到这一过程，在无声无息中就将危险阻止于门外。

　　当前防护DDOS手段的不足2008-04-12 23:10虽然目前网络安全产品的种类非常多，但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等，由于涉及之初就没有考虑相应的DDoS防护，所以无法针对复杂的DDoS攻击进行有效的检测和防护。

而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击，对大规模DDoS攻击还是无法提供有效的防护

六其他

      

重载其中的identification域。也就是如果没有使用到identification域的话，将这个域定义为标记。

　　将16bit的idnetification分成：3bit的offset(可允许8次分片)，5bit的distance，以及8bit的边缘分片。5bit的distance可以允许31级路由，这对于目前的网络来说已经足够了

标记和重构路径的算法是：

　　Marking procedure at router R: let R' = BitIntereave(R， Hash(R)) let k be the number of none-overlappling fragments in R' for each packet w let x be a random number from [0..1) if xlet o be a random integer from [0..k-1] let f be the fragment of R' at offset o write f into w.frag write 0 into w.distance wirte o into w.offset else if w.distance=0 then let f be the fragment of R' at offset w.offset write f?w.frag into w.frag increment w.distance

　　Path reconstruction procedure at victim v:

　　let FragTbl be a table of tuples(frag，offset，distance) let G be a tree with root v let edges in G be tuples(start，end，distance) let maxd:=0 let last:=v for each packet w from attacker FragTbl.Insert(w.frag，w.offset，w.distance) if w.distance>maxd then maxd:=w.distance for d:=0 to maxd for all ordered combinations of fragments at distance d construct edge z if d!=0 then z:= z?last if Hash(EvenBits(z))=OddBits(z) then insert edge(z，EvenBits(z)，d) into G last:=EvenBits(z); remove any edge(x，y，d) with d!=distance from x to v in G extract path(Ri..Rj) by enumerating acyclic paths in G

这种标记技术只需要victim能够抓到1000到2500个包就能够重构整个路径了，应该说结果是很好的，但是没有投入到实用中，主要是需要路由器厂商和ISP支持

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)