DDOS攻擊與防范綠盟科技

馬林平DDOS攻擊與防范綠盟科技馬林平1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSDDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史DDoS攻擊歷史事件

：第一次拒絕服務(wù)攻擊（Panicattack）時(shí)間：1996年后果：至少6000名用戶(hù)無(wú)法接受郵件探索期---個(gè)人黑客的攻擊事件：第一次拒絕服務(wù)攻擊（Panicattack）探索期事件

：第一次分布式拒絕服務(wù)攻擊（Trinoo）時(shí)間：1999年后果：連續(xù)多天的服務(wù)終止探索期---個(gè)人黑客的攻擊事件：第一次分布式拒絕服務(wù)攻擊（Trinoo）探索期---工具化---有組織攻擊事件

：燕子行動(dòng)時(shí)間：2012年后果：大部分美國(guó)金融機(jī)構(gòu)的在線銀行業(yè)務(wù)遭到攻擊工具化---有組織攻擊事件：燕子行動(dòng)工具化---有組織攻擊事件

：史上最大規(guī)模的DDoS時(shí)間：2013年后果：300Gbit/s的攻擊流量工具化---有組織攻擊事件：史上最大規(guī)模的DDoS武器化---網(wǎng)絡(luò)戰(zhàn)事件

：愛(ài)沙尼亞戰(zhàn)爭(zhēng)時(shí)間：2007年后果：一個(gè)國(guó)家從互聯(lián)網(wǎng)上消失武器化---網(wǎng)絡(luò)戰(zhàn)事件：愛(ài)沙尼亞戰(zhàn)爭(zhēng)武器化---網(wǎng)絡(luò)戰(zhàn)事件

：格魯吉亞戰(zhàn)爭(zhēng)時(shí)間：2008年后果：格魯吉亞網(wǎng)絡(luò)全面癱瘓武器化---網(wǎng)絡(luò)戰(zhàn)事件：格魯吉亞戰(zhàn)爭(zhēng)武器化---網(wǎng)絡(luò)戰(zhàn)事件

：韓國(guó)網(wǎng)站遭受攻擊時(shí)間：2009年~至今后果：攻擊持續(xù)進(jìn)行武器化---網(wǎng)絡(luò)戰(zhàn)事件：韓國(guó)網(wǎng)站遭受攻擊事件:匿名者挑戰(zhàn)山達(dá)基教會(huì)時(shí)間：2008年后果：LOIC的大范圍使用普及化---黑客行動(dòng)主義事件:匿名者挑戰(zhàn)山達(dá)基教會(huì)普及化---黑客行動(dòng)主義事件:?？低暫箝T(mén)時(shí)間：2014年后果：DNS大面積不能解析普及化---黑客行動(dòng)主義事件:?？低暫箝T(mén)普及化---黑客行動(dòng)主義DNSPOD“5·19”斷網(wǎng)事件——背景.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級(jí)域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營(yíng)商..4399.com客戶(hù)端DNSPOD“5·19”斷網(wǎng)事件——背景.com.bao“5·19”斷網(wǎng)事件——前奏.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級(jí)域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營(yíng)商DNSPOD..4399.com5月18日DNSPOD遭拒絕服務(wù)攻擊，主站無(wú)法訪問(wèn)10G客戶(hù)端“5·19”斷網(wǎng)事件——前奏.com.baofeng.c“5·19”斷網(wǎng)事件——斷網(wǎng).root客戶(hù)端根域服務(wù)器頂級(jí)域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營(yíng)商DNSPOD..4399.com5月19日DNSPOD更大流量拒絕服務(wù)攻擊，整體癱瘓10G緩存過(guò)期超時(shí)重試大量DNS查詢(xún)ISP緩存服務(wù)器解析服務(wù)器“5·19”斷網(wǎng)事件——斷網(wǎng).com.baofeng.cDDOS形勢(shì)---智能設(shè)備發(fā)起的DDoS攻擊增多DDOS形勢(shì)---智能設(shè)備發(fā)起的DDoS攻擊增多DDoS攻擊的動(dòng)機(jī)技術(shù)炫耀、報(bào)復(fù)心理針對(duì)系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當(dāng)競(jìng)爭(zhēng)間接獲利商業(yè)敲詐政治因素名族主義意識(shí)形態(tài)差別DDoS攻擊的動(dòng)機(jī)技術(shù)炫耀、報(bào)復(fù)心理DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購(gòu)肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢(qián)僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷(xiāo)售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實(shí)施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)我們?cè)谕粋€(gè)地下產(chǎn)業(yè)體系對(duì)抗地下黑客攻擊網(wǎng)絡(luò)DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購(gòu)肉雞制造、控制，學(xué)習(xí)、僵尸上述現(xiàn)象的背后–原始的經(jīng)濟(jì)驅(qū)動(dòng)力

工具濫用者-“市場(chǎng)與銷(xiāo)售”？真正的攻擊者-“用戶(hù)與合作者”？最終價(jià)值工具編寫(xiě)者-“研發(fā)人員”？上述現(xiàn)象的背后–原始的經(jīng)濟(jì)驅(qū)動(dòng)力工具濫用者-真正的攻擊魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)業(yè)化2015年全年DDoS攻擊數(shù)量為179,298次，平均20+次/小時(shí)。魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)業(yè)化2015年全年DD1.DDoS攻擊峰值流量將再創(chuàng)新高；2.反射式DDoS攻擊技術(shù)會(huì)繼續(xù)演進(jìn)；3.DNS服務(wù)將迎來(lái)更多的DDoS攻擊；4.針對(duì)行業(yè)的DDoS攻擊將持續(xù)存在。預(yù)測(cè)未來(lái)1.DDoS攻擊峰值流量將再創(chuàng)新高；預(yù)測(cè)未來(lái)1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSDDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸阻塞和耗盡當(dāng)前的問(wèn)題：用戶(hù)的帶寬小于攻擊的規(guī)模，造成訪問(wèn)帶寬成為木桶的短板DDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見(jiàn)療效真正海量的DDoS可以直接阻塞互聯(lián)網(wǎng)DDoS攻擊只針對(duì)有意義的目標(biāo)如果沒(méi)被DDoS過(guò)，說(shuō)明確實(shí)沒(méi)啥值得攻擊的DDoS是攻擊者的資源，這個(gè)資源不是拿來(lái)亂用的如果攻擊沒(méi)有效果，持續(xù)的時(shí)間不會(huì)很長(zhǎng)無(wú)效的攻擊持續(xù)的時(shí)間越久，被追蹤反查的概率越大被消滅掉一個(gè)C&C服務(wù)器，相當(dāng)于被打掉了一個(gè)BotnetDDoS基本常識(shí)不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見(jiàn)低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財(cái)，顯得掙錢(qián)不容易很少看見(jiàn)知名的MSSP去宣揚(yáng)我?guī)驼l(shuí)誰(shuí)擋住多大的DDoS能防住的攻擊通常簡(jiǎn)單，簡(jiǎn)單的未必防得住成功的DDoS伴隨著攻擊者對(duì)攻擊目標(biāo)的深入調(diào)研利用漏洞，應(yīng)用脆弱點(diǎn)，一擊定乾坤攻擊是動(dòng)態(tài)的過(guò)程，攻防雙方都需要不斷調(diào)整防住了攻擊千萬(wàn)不能掉以輕心，可能攻方正在調(diào)整攻擊手段小股多段脈沖攻擊試探，海量流量一舉攻癱DDoS基本常識(shí)低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財(cái)，顯得掙錢(qián)不容易很少安全服務(wù)總是在攻擊防不住的時(shí)候才被想起來(lái)DDoS是典型的事件觸發(fā)型市場(chǎng)應(yīng)急，演練，預(yù)案在遭受攻擊之前，很少受重視DDoS防護(hù)也是講天時(shí)、地利、人和的攻擊者會(huì)選擇最合適的時(shí)間，比如某個(gè)業(yè)務(wù)盛大上線那一刻我防住家門(mén)口，他堵住你上游，上游防護(hù)比下游效果好對(duì)于安全事件，需要有安全組織，安全人員，安全制度攻擊成本的降低，導(dǎo)致了攻擊水平的降低免費(fèi)攻擊工具的普及降低了門(mén)檻，也使得很多攻擊非常業(yè)余DDoS防御基本常識(shí)安全服務(wù)總是在攻擊防不住的時(shí)候才被想起來(lái)DDoS是典型的事件方式傳統(tǒng)的DDOS攻擊是通過(guò)黑客在全球范圍互聯(lián)網(wǎng)用戶(hù)中建立的僵尸網(wǎng)絡(luò)發(fā)出的，數(shù)百萬(wàn)計(jì)受感染機(jī)器在用戶(hù)不知情中參與攻擊目標(biāo)路由器，交換機(jī)，防火墻，Web服務(wù)器，應(yīng)用服務(wù)器，DNS服務(wù)器，郵件服務(wù)器，甚至數(shù)據(jù)中心后果直接導(dǎo)致攻擊目標(biāo)CPU高，內(nèi)存滿(mǎn)，應(yīng)用忙，系統(tǒng)癱，帶寬擁堵，轉(zhuǎn)發(fā)困難，并發(fā)耗盡等等，結(jié)果是網(wǎng)絡(luò)應(yīng)用甚至基礎(chǔ)設(shè)施不可用什么是DDoS方式傳統(tǒng)的DDOS攻擊是通過(guò)黑客在全球范圍互聯(lián)網(wǎng)用戶(hù)中建立的1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMPFlood和UDPFlood3、慢速D；4、漏洞D以巧取勝，攻擊于無(wú)形，每隔幾十秒發(fā)一個(gè)包甚至只要發(fā)一個(gè)包，就可以讓業(yè)務(wù)服務(wù)器不再響應(yīng)。此類(lèi)攻擊主要是利用協(xié)議或應(yīng)用軟件的漏洞發(fā)起，例如匿名組織的Slowloris攻擊5、并發(fā)D；6、請(qǐng)求D混合類(lèi)型，既利用了系統(tǒng)和協(xié)議的缺陷，又具備了高速的并發(fā)和海量的流量，例如SYNFlood攻擊、HTTPFlood、DNSQueryFlood攻擊，是當(dāng)前最主流的攻擊方式DDoS攻擊分類(lèi)（流量特性）1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMP連接耗盡型包括SYNFlood，連接數(shù)攻擊等帶寬耗盡型包括AckFlood,UDPFlood,ICMPFlood,分片攻擊等應(yīng)用層攻擊包括HTTPGetFlood,CC,HTTPPost慢速攻擊，DNSFlood，以及針對(duì)各種游戲和數(shù)據(jù)庫(kù)的攻擊方式DDoS攻擊分類(lèi)（攻擊方式）連接耗盡型包括SYNFlood，連接數(shù)攻擊等帶寬耗盡型包括連接耗盡型---SYNFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）ACK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手過(guò)程SYN（我可以連接嗎？）攻擊者受害者偽造地址進(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接！SYNFlood攻擊原理SYN_RECV狀態(tài)半開(kāi)連接隊(duì)列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無(wú)暇理睬正常的連接請(qǐng)求，造成拒絕服務(wù)危害我沒(méi)發(fā)過(guò)請(qǐng)求連接耗盡型---SYNFloodSYN（我可以連接嗎？）如果一個(gè)系統(tǒng)（或主機(jī)）負(fù)荷突然升高甚至失去響應(yīng)，使用Netstat命令能看到大量SYN_RCVD的半連接（數(shù)量>500或占總連接數(shù)的10%以上），可以認(rèn)定，這個(gè)系統(tǒng)（或主機(jī)）遭到了Synflood攻擊。SYNFlood偵察如果一個(gè)系統(tǒng)（或主機(jī)）負(fù)荷突然升高甚至失去響應(yīng)，使用NetsSYN攻擊包樣本SYN攻擊包樣本SYN攻擊包樣本SYN攻擊包樣本SYNFlood程序?qū)崿F(xiàn)SYNFlood程序?qū)崿F(xiàn)連接耗盡型---ConnectionFlood正常tcpconnect攻擊者受害者大量tcpconnect這么多？不能建立正常的連接正常tcpconnect正常用戶(hù)正常tcpconnect攻擊表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真實(shí)IP地址（代理服務(wù)器、廣告頁(yè)面）在服務(wù)器上建立大量連接服務(wù)器上殘余連接(WAIT狀態(tài))過(guò)多，效率降低，甚至資源耗盡，無(wú)法響應(yīng)蠕蟲(chóng)傳播過(guò)程中會(huì)出現(xiàn)大量源IP地址相同的包，對(duì)于TCP蠕蟲(chóng)則表現(xiàn)為大范圍掃描行為消耗骨干設(shè)備的資源，如防火墻的連接數(shù)ConnectionFlood攻擊原理連接耗盡型---ConnectionFlood正常tcpConnectionFlood攻擊報(bào)文在受攻擊的服務(wù)器上使用netstat–an來(lái)看：ConnectionFlood攻擊報(bào)文在受攻擊的服務(wù)器上帶寬耗盡型---ICMPFlood針對(duì)同一目標(biāo)IP的ICMP包在一側(cè)大量出現(xiàn)內(nèi)容和大小都比較固定ICMP（request包）攻擊者受害者攻擊ICMPFlood攻擊原理攻擊表象正常tcpconnectICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）帶寬耗盡型---ICMPFlood針對(duì)同一目標(biāo)IP的ICMICMPFlood攻擊報(bào)文ICMPFlood攻擊報(bào)文帶寬耗盡型---UDPFlood大量UDP沖擊服務(wù)器受害者帶寬消耗UDPFlood流量不僅僅影響服務(wù)器，還會(huì)對(duì)整個(gè)傳輸鏈路造成阻塞對(duì)于需要維持會(huì)話表的網(wǎng)絡(luò)設(shè)備，比如防火墻，IPS，負(fù)載均衡器等具備非常嚴(yán)重的殺傷力UDP（非業(yè)務(wù)數(shù)據(jù)）攻擊者受害者網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了占用帶寬UDPFlood攻擊原理攻擊表象丟棄UDP（大包/負(fù)載）帶寬耗盡型---UDPFlood大量UDP沖擊服務(wù)器UDP帶寬耗盡型—反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò)

源IP=被攻擊者的IPICMP請(qǐng)求（smurf）DNS請(qǐng)求SYN請(qǐng)求（land）NTP請(qǐng)求SNMP請(qǐng)求DoS攻擊采用受害者的IP作為源IP，向正常網(wǎng)絡(luò)發(fā)送大量報(bào)文，利用這些正常主機(jī)的回應(yīng)報(bào)文達(dá)到攻擊受害者的目的。Smurf,

DNS反射攻擊等攻擊者既需要掌握Botnet，也需要準(zhǔn)備大量的存活跳板機(jī)，比如開(kāi)放DNS服務(wù)器反射攻擊會(huì)有流量放大的效應(yīng)，制造出的大流量攻擊非常難以防御反射攻擊原理帶寬耗盡型—反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò)源IP=被攻擊者放大反射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射放大反射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大應(yīng)用資源攻擊---DNSQueryFlood字符串匹配查找是DNS服務(wù)器的主要負(fù)載。一臺(tái)DNS服務(wù)器所能承受的遞歸動(dòng)態(tài)域名查詢(xún)的上限是每秒鐘50000個(gè)請(qǐng)求。一臺(tái)家用PC主機(jī)可以很輕易地發(fā)出每秒幾萬(wàn)個(gè)請(qǐng)求。DNS是互聯(lián)網(wǎng)的核心設(shè)備，一旦DNS服務(wù)器被攻擊，影響極大。運(yùn)營(yíng)商城域網(wǎng)DNS服務(wù)器被攻擊越來(lái)越頻繁DNSQueryFlood危害性攻擊手段SpoofIP隨機(jī)生成域名使得服務(wù)器必須使用遞歸查詢(xún)向上層服務(wù)器發(fā)出解析請(qǐng)求，引起連鎖反應(yīng)。蠕蟲(chóng)擴(kuò)散帶來(lái)的大量域名解析請(qǐng)求。利用城域網(wǎng)DNS服務(wù)器作為Botnet發(fā)起攻擊應(yīng)用資源攻擊---DNSQueryFlood字符串匹配查DNS樣本DNS報(bào)文樣本

DNS樣本DNS報(bào)文樣本應(yīng)用資源攻擊---HTTPFlood/CC攻擊攻擊者受害者(WebServer)正常HTTPGet請(qǐng)求不能建立正常的連接正常HTTPGetFlood正常用戶(hù)正常HTTPGetFlood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請(qǐng)求主要請(qǐng)求動(dòng)態(tài)頁(yè)面，涉及到數(shù)據(jù)庫(kù)訪問(wèn)操作數(shù)據(jù)庫(kù)負(fù)載以及數(shù)據(jù)庫(kù)連接池負(fù)載極高，無(wú)法響應(yīng)正常請(qǐng)求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB連接池用完啦！！DB連接池占用占用占用HTTPGetFlood攻擊原理應(yīng)用資源攻擊---HTTPFlood/CC攻擊攻擊者受害者1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSADS流量清洗工作原理企業(yè)用戶(hù)流量限速I(mǎi)P合法性檢查源、目的地址檢查/驗(yàn)證流量清洗中心交付已過(guò)濾的內(nèi)容Internet城域網(wǎng)特定應(yīng)用防護(hù)協(xié)議棧行為分析用戶(hù)行為模式分析動(dòng)態(tài)指紋識(shí)別反欺騙協(xié)議棧行為模式分析協(xié)議合法性檢查特定應(yīng)用防護(hù)

四到七層特定攻擊防護(hù)用戶(hù)行為模式分析用戶(hù)行為異常檢查和處理動(dòng)態(tài)指紋識(shí)別檢查和生成攻擊指紋并匹配攻擊數(shù)據(jù)流量限速未知可疑流量限速ADS流量清洗工作原理企業(yè)用戶(hù)流量限速I(mǎi)P合法性檢查流量清洗SYNFlood防護(hù)方法RandomDrop：隨機(jī)丟包的方式雖然可以減輕服務(wù)器的負(fù)載，但是正常連接成功率也會(huì)降低很多特征匹配：在攻擊發(fā)生的當(dāng)時(shí)統(tǒng)計(jì)攻擊報(bào)文的特征，定義特征庫(kù)；例如過(guò)濾不帶TCPOptions的SYN包等。如果攻擊包完全隨機(jī)生成則無(wú)能為力SYNCookie：可以避免由于SYN攻擊造成的TCP傳輸控制模塊TCB資源耗盡，將有連接的TCP握手變成了無(wú)連接模式，減輕了被攻擊者的壓力，但是SYNCookie校驗(yàn)也是耗費(fèi)性能的SYNProxy：完美解決SYN攻擊的算法，但是非常耗費(fèi)設(shè)備性能，在非對(duì)稱(chēng)網(wǎng)絡(luò)不適用synsyn/ack(Cookie)ackClientServerSyn’syn/ack’ack’ack1ack2分配TCB資源代理后續(xù)報(bào)文SYNFlood防護(hù)方法RandomDrop：synsTCPConnectionFlood攻擊與防護(hù)使用Proxy或者Botnet，向服務(wù)器某個(gè)應(yīng)用端口（如80）建立大量的TCP連接建立連接后，模擬正常應(yīng)用的數(shù)據(jù)包以便長(zhǎng)時(shí)間占用連接通常一個(gè)應(yīng)用服務(wù)都有連接數(shù)上限，當(dāng)達(dá)到這個(gè)上限時(shí)，正常的客戶(hù)端就無(wú)法再連接成功TCPConnectionFlood攻擊受害者Proxy或者BotnetTCP

Connection限制單個(gè)IP地址的連接數(shù)量對(duì)于Botnet目前沒(méi)有太好的方法去防護(hù)TCPConnectionFlood防護(hù)TCPConnectionFlood攻擊與防護(hù)使用Pr定期掃描和加固自身業(yè)務(wù)設(shè)備定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)及主機(jī)，清查可能存在的安全漏洞和不規(guī)范的安全配置，對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理，對(duì)于需要加強(qiáng)安全配置的參數(shù)進(jìn)行加固確保資源冗余，提升耐打能力建立多節(jié)點(diǎn)負(fù)載均衡，配備多線路高帶寬，配備強(qiáng)大的運(yùn)算能力，借此“吸收”DDoS攻擊服務(wù)最小化，關(guān)停不必要的服務(wù)和端口關(guān)停不必要的服務(wù)和端口，實(shí)現(xiàn)服務(wù)最小化，例如WWW服務(wù)器只開(kāi)放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略。可大大減少被與服務(wù)不相關(guān)的攻擊所影響的概率選擇專(zhuān)業(yè)的產(chǎn)品和服務(wù)三分產(chǎn)品技術(shù)，七分設(shè)計(jì)服務(wù)，除了防護(hù)產(chǎn)品本身的功能、性能、穩(wěn)定性，易用性等方面，還需要考慮防護(hù)產(chǎn)品廠家的技術(shù)實(shí)力，服務(wù)和支持能力，應(yīng)急經(jīng)驗(yàn)等DDoS攻擊防護(hù)思路定期掃描和加固自身業(yè)務(wù)設(shè)備定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)及主機(jī)，清本地第一層DDoS防護(hù)守住自家門(mén)口，在本地網(wǎng)絡(luò)邊界上部署抗DDoS設(shè)備，在出口帶寬未堵塞的情況下，盡可能處理掉非帶寬占用型的DDoS攻擊：如SYN

Flood、HTTPGET、DNS攻擊、慢速攻擊等云端第二層DDoS防護(hù)當(dāng)攻擊流量超過(guò)本地出口帶寬和DDoS防護(hù)設(shè)備處理能力是，采用上游運(yùn)營(yíng)商或MSSP提供的云端清洗服務(wù)源端第三層DDoS防護(hù)如果攻擊的強(qiáng)度連上游運(yùn)營(yíng)商和MSSP也無(wú)法承受，必須考慮橫向多方合作，在各自的控制范圍內(nèi)抑制本網(wǎng)發(fā)出的攻擊流量防護(hù)DDoS的最佳實(shí)踐本地第一層DDoS防護(hù)守住自家門(mén)口，在本地網(wǎng)絡(luò)邊界上部署抗D常見(jiàn)DDoS防護(hù)DDoS防護(hù)各類(lèi)防護(hù)方案特點(diǎn)分析01.防火墻&IPS抗D防火墻產(chǎn)品的抗D模塊無(wú)法檢測(cè)應(yīng)用層攻擊，并且受會(huì)話性能的影響無(wú)法應(yīng)對(duì)大流量攻擊清洗的需求。03.云清洗抗D服務(wù)節(jié)省硬件采購(gòu)和部署成本，防護(hù)性能彈性大，但是服務(wù)費(fèi)用高，清洗策略不可控，全部依賴(lài)第三方運(yùn)營(yíng)。02.CDN防護(hù)DDoSCDN防護(hù)是將攻擊流量負(fù)載到多個(gè)節(jié)點(diǎn)，節(jié)點(diǎn)性能無(wú)法應(yīng)對(duì)大流量攻擊，并且攻擊透?jìng)骰卦礋o(wú)法防護(hù)。04.專(zhuān)有的抗D設(shè)備專(zhuān)有的抗D設(shè)備部署在本地網(wǎng)絡(luò)出口，滿(mǎn)足各類(lèi)DDoS攻擊防護(hù)。但要與云清洗配合才能解決帶寬擁塞場(chǎng)景下的DDoS防護(hù)。常見(jiàn)DDoS防護(hù)DDoS防護(hù)各類(lèi)防護(hù)方案特點(diǎn)分析01.防火墻1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSDoSendDoSendLOICLOICTHCSSLDOSTHCSSLDOSHulkHulk謝謝！謝謝！DDOS攻擊與防范綠盟科技

馬林平DDOS攻擊與防范綠盟科技馬林平1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSDDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史01探索期020304工具化武器化普及化DDoS攻擊歷史DDoS攻擊歷史事件

：第一次拒絕服務(wù)攻擊（Panicattack）時(shí)間：1996年后果：至少6000名用戶(hù)無(wú)法接受郵件探索期---個(gè)人黑客的攻擊事件：第一次拒絕服務(wù)攻擊（Panicattack）探索期事件

：第一次分布式拒絕服務(wù)攻擊（Trinoo）時(shí)間：1999年后果：連續(xù)多天的服務(wù)終止探索期---個(gè)人黑客的攻擊事件：第一次分布式拒絕服務(wù)攻擊（Trinoo）探索期---工具化---有組織攻擊事件

：燕子行動(dòng)時(shí)間：2012年后果：大部分美國(guó)金融機(jī)構(gòu)的在線銀行業(yè)務(wù)遭到攻擊工具化---有組織攻擊事件：燕子行動(dòng)工具化---有組織攻擊事件

：史上最大規(guī)模的DDoS時(shí)間：2013年后果：300Gbit/s的攻擊流量工具化---有組織攻擊事件：史上最大規(guī)模的DDoS武器化---網(wǎng)絡(luò)戰(zhàn)事件

：愛(ài)沙尼亞戰(zhàn)爭(zhēng)時(shí)間：2007年后果：一個(gè)國(guó)家從互聯(lián)網(wǎng)上消失武器化---網(wǎng)絡(luò)戰(zhàn)事件：愛(ài)沙尼亞戰(zhàn)爭(zhēng)武器化---網(wǎng)絡(luò)戰(zhàn)事件

：格魯吉亞戰(zhàn)爭(zhēng)時(shí)間：2008年后果：格魯吉亞網(wǎng)絡(luò)全面癱瘓武器化---網(wǎng)絡(luò)戰(zhàn)事件：格魯吉亞戰(zhàn)爭(zhēng)武器化---網(wǎng)絡(luò)戰(zhàn)事件

：韓國(guó)網(wǎng)站遭受攻擊時(shí)間：2009年~至今后果：攻擊持續(xù)進(jìn)行武器化---網(wǎng)絡(luò)戰(zhàn)事件：韓國(guó)網(wǎng)站遭受攻擊事件:匿名者挑戰(zhàn)山達(dá)基教會(huì)時(shí)間：2008年后果：LOIC的大范圍使用普及化---黑客行動(dòng)主義事件:匿名者挑戰(zhàn)山達(dá)基教會(huì)普及化---黑客行動(dòng)主義事件:?？低暫箝T(mén)時(shí)間：2014年后果：DNS大面積不能解析普及化---黑客行動(dòng)主義事件:?？低暫箝T(mén)普及化---黑客行動(dòng)主義DNSPOD“5·19”斷網(wǎng)事件——背景.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級(jí)域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營(yíng)商..4399.com客戶(hù)端DNSPOD“5·19”斷網(wǎng)事件——背景.com.bao“5·19”斷網(wǎng)事件——前奏.com.ISP.root緩存服務(wù)器解析服務(wù)器根域服務(wù)器頂級(jí)域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營(yíng)商DNSPOD..4399.com5月18日DNSPOD遭拒絕服務(wù)攻擊，主站無(wú)法訪問(wèn)10G客戶(hù)端“5·19”斷網(wǎng)事件——前奏.com.baofeng.c“5·19”斷網(wǎng)事件——斷網(wǎng).root客戶(hù)端根域服務(wù)器頂級(jí)域服務(wù)器授權(quán)域服務(wù)器電信運(yùn)營(yíng)商DNSPOD..4399.com5月19日DNSPOD更大流量拒絕服務(wù)攻擊，整體癱瘓10G緩存過(guò)期超時(shí)重試大量DNS查詢(xún)ISP緩存服務(wù)器解析服務(wù)器“5·19”斷網(wǎng)事件——斷網(wǎng).com.baofeng.cDDOS形勢(shì)---智能設(shè)備發(fā)起的DDoS攻擊增多DDOS形勢(shì)---智能設(shè)備發(fā)起的DDoS攻擊增多DDoS攻擊的動(dòng)機(jī)技術(shù)炫耀、報(bào)復(fù)心理針對(duì)系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當(dāng)競(jìng)爭(zhēng)間接獲利商業(yè)敲詐政治因素名族主義意識(shí)形態(tài)差別DDoS攻擊的動(dòng)機(jī)技術(shù)炫耀、報(bào)復(fù)心理DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購(gòu)肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢(qián)僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷(xiāo)售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實(shí)施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)我們?cè)谕粋€(gè)地下產(chǎn)業(yè)體系對(duì)抗地下黑客攻擊網(wǎng)絡(luò)DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購(gòu)肉雞制造、控制，學(xué)習(xí)、僵尸上述現(xiàn)象的背后–原始的經(jīng)濟(jì)驅(qū)動(dòng)力

工具濫用者-“市場(chǎng)與銷(xiāo)售”？真正的攻擊者-“用戶(hù)與合作者”？最終價(jià)值工具編寫(xiě)者-“研發(fā)人員”？上述現(xiàn)象的背后–原始的經(jīng)濟(jì)驅(qū)動(dòng)力工具濫用者-真正的攻擊魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)業(yè)化2015年全年DDoS攻擊數(shù)量為179,298次，平均20+次/小時(shí)。魔高一尺，道高一丈流量大頻次高復(fù)雜化產(chǎn)業(yè)化2015年全年DD1.DDoS攻擊峰值流量將再創(chuàng)新高；2.反射式DDoS攻擊技術(shù)會(huì)繼續(xù)演進(jìn)；3.DNS服務(wù)將迎來(lái)更多的DDoS攻擊；4.針對(duì)行業(yè)的DDoS攻擊將持續(xù)存在。預(yù)測(cè)未來(lái)1.DDoS攻擊峰值流量將再創(chuàng)新高；預(yù)測(cè)未來(lái)1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSDDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸阻塞和耗盡當(dāng)前的問(wèn)題：用戶(hù)的帶寬小于攻擊的規(guī)模，造成訪問(wèn)帶寬成為木桶的短板DDoS攻擊本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應(yīng)用的瓶頸不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見(jiàn)療效真正海量的DDoS可以直接阻塞互聯(lián)網(wǎng)DDoS攻擊只針對(duì)有意義的目標(biāo)如果沒(méi)被DDoS過(guò)，說(shuō)明確實(shí)沒(méi)啥值得攻擊的DDoS是攻擊者的資源，這個(gè)資源不是拿來(lái)亂用的如果攻擊沒(méi)有效果，持續(xù)的時(shí)間不會(huì)很長(zhǎng)無(wú)效的攻擊持續(xù)的時(shí)間越久，被追蹤反查的概率越大被消滅掉一個(gè)C&C服務(wù)器，相當(dāng)于被打掉了一個(gè)BotnetDDoS基本常識(shí)不要以為可以防住真正的DDoS好比減肥藥，一直在治療，從未見(jiàn)低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財(cái)，顯得掙錢(qián)不容易很少看見(jiàn)知名的MSSP去宣揚(yáng)我?guī)驼l(shuí)誰(shuí)擋住多大的DDoS能防住的攻擊通常簡(jiǎn)單，簡(jiǎn)單的未必防得住成功的DDoS伴隨著攻擊者對(duì)攻擊目標(biāo)的深入調(diào)研利用漏洞，應(yīng)用脆弱點(diǎn)，一擊定乾坤攻擊是動(dòng)態(tài)的過(guò)程，攻防雙方都需要不斷調(diào)整防住了攻擊千萬(wàn)不能掉以輕心，可能攻方正在調(diào)整攻擊手段小股多段脈沖攻擊試探，海量流量一舉攻癱DDoS基本常識(shí)低調(diào)行事，被攻擊者盯上的概率小悶聲發(fā)大財(cái)，顯得掙錢(qián)不容易很少安全服務(wù)總是在攻擊防不住的時(shí)候才被想起來(lái)DDoS是典型的事件觸發(fā)型市場(chǎng)應(yīng)急，演練，預(yù)案在遭受攻擊之前，很少受重視DDoS防護(hù)也是講天時(shí)、地利、人和的攻擊者會(huì)選擇最合適的時(shí)間，比如某個(gè)業(yè)務(wù)盛大上線那一刻我防住家門(mén)口，他堵住你上游，上游防護(hù)比下游效果好對(duì)于安全事件，需要有安全組織，安全人員，安全制度攻擊成本的降低，導(dǎo)致了攻擊水平的降低免費(fèi)攻擊工具的普及降低了門(mén)檻，也使得很多攻擊非常業(yè)余DDoS防御基本常識(shí)安全服務(wù)總是在攻擊防不住的時(shí)候才被想起來(lái)DDoS是典型的事件方式傳統(tǒng)的DDOS攻擊是通過(guò)黑客在全球范圍互聯(lián)網(wǎng)用戶(hù)中建立的僵尸網(wǎng)絡(luò)發(fā)出的，數(shù)百萬(wàn)計(jì)受感染機(jī)器在用戶(hù)不知情中參與攻擊目標(biāo)路由器，交換機(jī)，防火墻，Web服務(wù)器，應(yīng)用服務(wù)器，DNS服務(wù)器，郵件服務(wù)器，甚至數(shù)據(jù)中心后果直接導(dǎo)致攻擊目標(biāo)CPU高，內(nèi)存滿(mǎn)，應(yīng)用忙，系統(tǒng)癱，帶寬擁堵，轉(zhuǎn)發(fā)困難，并發(fā)耗盡等等，結(jié)果是網(wǎng)絡(luò)應(yīng)用甚至基礎(chǔ)設(shè)施不可用什么是DDoS方式傳統(tǒng)的DDOS攻擊是通過(guò)黑客在全球范圍互聯(lián)網(wǎng)用戶(hù)中建立的1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMPFlood和UDPFlood3、慢速D；4、漏洞D以巧取勝，攻擊于無(wú)形，每隔幾十秒發(fā)一個(gè)包甚至只要發(fā)一個(gè)包，就可以讓業(yè)務(wù)服務(wù)器不再響應(yīng)。此類(lèi)攻擊主要是利用協(xié)議或應(yīng)用軟件的漏洞發(fā)起，例如匿名組織的Slowloris攻擊5、并發(fā)D；6、請(qǐng)求D混合類(lèi)型，既利用了系統(tǒng)和協(xié)議的缺陷，又具備了高速的并發(fā)和海量的流量，例如SYNFlood攻擊、HTTPFlood、DNSQueryFlood攻擊，是當(dāng)前最主流的攻擊方式DDoS攻擊分類(lèi)（流量特性）1、流量D；2、流速D以力取勝，擁塞鏈路，典型代表為ICMP連接耗盡型包括SYNFlood，連接數(shù)攻擊等帶寬耗盡型包括AckFlood,UDPFlood,ICMPFlood,分片攻擊等應(yīng)用層攻擊包括HTTPGetFlood,CC,HTTPPost慢速攻擊，DNSFlood，以及針對(duì)各種游戲和數(shù)據(jù)庫(kù)的攻擊方式DDoS攻擊分類(lèi)（攻擊方式）連接耗盡型包括SYNFlood，連接數(shù)攻擊等帶寬耗盡型包括連接耗盡型---SYNFloodSYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手過(guò)程SYN（我可以連接嗎？）攻擊者受害者偽造地址進(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接！SYNFlood攻擊原理SYN_RECV狀態(tài)半開(kāi)連接隊(duì)列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無(wú)暇理睬正常的連接請(qǐng)求，造成拒絕服務(wù)危害我沒(méi)發(fā)過(guò)請(qǐng)求連接耗盡型---SYNFloodSYN（我可以連接嗎？）如果一個(gè)系統(tǒng)（或主機(jī)）負(fù)荷突然升高甚至失去響應(yīng)，使用Netstat命令能看到大量SYN_RCVD的半連接（數(shù)量>500或占總連接數(shù)的10%以上），可以認(rèn)定，這個(gè)系統(tǒng)（或主機(jī)）遭到了Synflood攻擊。SYNFlood偵察如果一個(gè)系統(tǒng)（或主機(jī)）負(fù)荷突然升高甚至失去響應(yīng)，使用NetsSYN攻擊包樣本SYN攻擊包樣本SYN攻擊包樣本SYN攻擊包樣本SYNFlood程序?qū)崿F(xiàn)SYNFlood程序?qū)崿F(xiàn)連接耗盡型---ConnectionFlood正常tcpconnect攻擊者受害者大量tcpconnect這么多？不能建立正常的連接正常tcpconnect正常用戶(hù)正常tcpconnect攻擊表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真實(shí)IP地址（代理服務(wù)器、廣告頁(yè)面）在服務(wù)器上建立大量連接服務(wù)器上殘余連接(WAIT狀態(tài))過(guò)多，效率降低，甚至資源耗盡，無(wú)法響應(yīng)蠕蟲(chóng)傳播過(guò)程中會(huì)出現(xiàn)大量源IP地址相同的包，對(duì)于TCP蠕蟲(chóng)則表現(xiàn)為大范圍掃描行為消耗骨干設(shè)備的資源，如防火墻的連接數(shù)ConnectionFlood攻擊原理連接耗盡型---ConnectionFlood正常tcpConnectionFlood攻擊報(bào)文在受攻擊的服務(wù)器上使用netstat–an來(lái)看：ConnectionFlood攻擊報(bào)文在受攻擊的服務(wù)器上帶寬耗盡型---ICMPFlood針對(duì)同一目標(biāo)IP的ICMP包在一側(cè)大量出現(xiàn)內(nèi)容和大小都比較固定ICMP（request包）攻擊者受害者攻擊ICMPFlood攻擊原理攻擊表象正常tcpconnectICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）ICMP（request包）帶寬耗盡型---ICMPFlood針對(duì)同一目標(biāo)IP的ICMICMPFlood攻擊報(bào)文ICMPFlood攻擊報(bào)文帶寬耗盡型---UDPFlood大量UDP沖擊服務(wù)器受害者帶寬消耗UDPFlood流量不僅僅影響服務(wù)器，還會(huì)對(duì)整個(gè)傳輸鏈路造成阻塞對(duì)于需要維持會(huì)話表的網(wǎng)絡(luò)設(shè)備，比如防火墻，IPS，負(fù)載均衡器等具備非常嚴(yán)重的殺傷力UDP（非業(yè)務(wù)數(shù)據(jù)）攻擊者受害者網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了占用帶寬UDPFlood攻擊原理攻擊表象丟棄UDP（大包/負(fù)載）帶寬耗盡型---UDPFlood大量UDP沖擊服務(wù)器UDP帶寬耗盡型—反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò)

源IP=被攻擊者的IPICMP請(qǐng)求（smurf）DNS請(qǐng)求SYN請(qǐng)求（land）NTP請(qǐng)求SNMP請(qǐng)求DoS攻擊采用受害者的IP作為源IP，向正常網(wǎng)絡(luò)發(fā)送大量報(bào)文，利用這些正常主機(jī)的回應(yīng)報(bào)文達(dá)到攻擊受害者的目的。Smurf,

DNS反射攻擊等攻擊者既需要掌握Botnet，也需要準(zhǔn)備大量的存活跳板機(jī)，比如開(kāi)放DNS服務(wù)器反射攻擊會(huì)有流量放大的效應(yīng)，制造出的大流量攻擊非常難以防御反射攻擊原理帶寬耗盡型—反射攻擊攻擊者被攻擊者放大網(wǎng)絡(luò)源IP=被攻擊者放大反射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大反射10倍3、DNS放大反射放大反射倍數(shù)700倍1、NTP放大反射25倍2、SNMP放大應(yīng)用資源攻擊---DNSQueryFlood字符串匹配查找是DNS服務(wù)器的主要負(fù)載。一臺(tái)DNS服務(wù)器所能承受的遞歸動(dòng)態(tài)域名查詢(xún)的上限是每秒鐘50000個(gè)請(qǐng)求。一臺(tái)家用PC主機(jī)可以很輕易地發(fā)出每秒幾萬(wàn)個(gè)請(qǐng)求。DNS是互聯(lián)網(wǎng)的核心設(shè)備，一旦DNS服務(wù)器被攻擊，影響極大。運(yùn)營(yíng)商城域網(wǎng)DNS服務(wù)器被攻擊越來(lái)越頻繁DNSQueryFlood危害性攻擊手段SpoofIP隨機(jī)生成域名使得服務(wù)器必須使用遞歸查詢(xún)向上層服務(wù)器發(fā)出解析請(qǐng)求，引起連鎖反應(yīng)。蠕蟲(chóng)擴(kuò)散帶來(lái)的大量域名解析請(qǐng)求。利用城域網(wǎng)DNS服務(wù)器作為Botnet發(fā)起攻擊應(yīng)用資源攻擊---DNSQueryFlood字符串匹配查DNS樣本DNS報(bào)文樣本

DNS樣本DNS報(bào)文樣本應(yīng)用資源攻擊---HTTPFlood/CC攻擊攻擊者受害者(WebServer)正常HTTPGet請(qǐng)求不能建立正常的連接正常HTTPGetFlood正常用戶(hù)正常HTTPGetFlood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請(qǐng)求主要請(qǐng)求動(dòng)態(tài)頁(yè)面，涉及到數(shù)據(jù)庫(kù)訪問(wèn)操作數(shù)據(jù)庫(kù)負(fù)載以及數(shù)據(jù)庫(kù)連接池負(fù)載極高，無(wú)法響應(yīng)正常請(qǐng)求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB連接池用完啦！！DB連接池占用占用占用HTTPGetFlood攻擊原理應(yīng)用資源攻擊---HTTPFlood/CC攻擊攻擊者受害者1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoS防護(hù)思路及防護(hù)算法2DDoS攻擊方式目錄1DDoS攻擊的歷史4常見(jiàn)DDoS工具3DDoSADS流量清洗工作原理企業(yè)用戶(hù)流量限速I(mǎi)P合法性檢查源、目的地址檢查/驗(yàn)證流量清洗中心交付已過(guò)濾的內(nèi)容Internet城域網(wǎng)特定應(yīng)用防護(hù)協(xié)議棧行為分析用戶(hù)行為模式分析動(dòng)態(tài)指紋識(shí)別反欺騙協(xié)議棧行為模式分析協(xié)議合法性檢查特定應(yīng)用防護(hù)

四到七層特定攻擊防護(hù)用戶(hù)行為模式分析用戶(hù)行為異常檢查和處理動(dòng)態(tài)指紋識(shí)別檢查和生成攻擊指紋并匹配攻擊數(shù)據(jù)流量限速未知可疑流量限速ADS流量清洗工作原理企業(yè)用戶(hù)流量限速I(mǎi)P合法性檢查流量清洗SYNFlood防護(hù)方法RandomDrop：隨機(jī)丟包的方式雖然可以減輕服務(wù)器的負(fù)載，但是正常連接成功率也會(huì)降低很多特征匹配：在攻擊發(fā)生的當(dāng)時(shí)統(tǒng)計(jì)攻擊報(bào)文的特征，定義特征庫(kù)；例如過(guò)濾不帶TCPOptions的SYN包等。如果攻擊包完全隨機(jī)生成則無(wú)能為力SYNCookie