应用层DDoS的防御理论
2019-07-03 10:24:23 【

问题模型描述:


每一个页面,都有其资源消耗权重,静态资源,权重较低,动态资源,权重较高。对于用户访问,有如下:


用户资源使用频率=使用的服务器总资源量/s


命题一:对于正常访问的用户,资源使用频率必定位于一个合理的范围,当然会存在大量正常用户共享ip的情况,这就需要日常用户访问统计,以得到忠实用户ip白名单。


命题二:资源使用频率持续异常的,可断定为访问异常的用户。


防御体系状态机:


1.在系统各项资源非常宽裕时,向所有ip提供服务,每隔一段时间释放一部分临时黑名单中的ip成员;


2.在系统资源消耗达到某一阈值时,降低Syn包接受速率,循环:分析最近时间的日志,并将访问异常的ip加入临时黑名单;


3.若系统资源消耗慢慢回降至正常水平,则恢复Syn包接受速率,转到状态1;若目前策略并未有效地控制住系统资源消耗的增长,情况继续恶劣至一极限阈值,转到状态4;


4.最终防御方案,使用忠实用户ip白名单、异常访问ip黑名单策略,其他访问可慢慢放入,直到系统资源消耗回降至正常水平,转到状态1。



上述的防御状态机,对于单个攻击IP高并发的DDOS,变化到状态3时,效果就完全体现出来了,但如果防御状态机进行到4状态,则有如下两种可能:


1.站点遭到了攻击群庞大的、单个IP低并发的DDOS攻击;


2.站点突然间有了很多访问正常的新用户。


】【打印关闭】 【返回顶部
上一篇防cc攻击之建议后续工作 下一篇简单的Nginx防CC攻击方式