参考资料

  1. 阻止恶意HTTP/HTTPS流量来保护网站安全
  2. 混合DDoS攻击方式结合多种攻击
  3. waf 防ddos简介
  4. DDoS缓解是一套技术手段
  5. waf 防爬虫简介
  6. 推荐一些DDoS攻击防护的工具
  7. 如何检测DDoS攻击?
  8. 用于保护Web应用程序安全的防火墙

  1. SYN Flood攻击

    • 识别特征:大量半连接状态(SYN_RECEIVED),耗尽服务器资源。

    • 检测方法:监控SYN包速率与ACK响应比例异常。

  2. UDP Flood攻击

    • 识别特征:UDP流量激增(如DNS/SNMP端口),无正常交互模式。

    • 检测方法:分析UDP包大小/频率,检查是否存在响应请求。

  3. HTTP Flood攻击

    • 识别特征:高频HTTP请求(GET/POST),模仿正常用户。

    • 检测方法:统计请求速率,检测User-Agent/IP行为异常。

  4. ICMP Flood攻击

    • 识别特征:ICMP Echo请求(Ping)流量突发。

    • 检测方法:监测ICMP包数量及来源IP分布。

  5. NTP放大攻击

    • 识别特征:小型请求触发大量NTP响应包。

    • 检测方法:检查NTP服务器响应流量与请求比例。

  6. DNS放大攻击

    • 识别特征:伪造源IP的DNS查询导致响应激增。

    • 检测方法:分析DNS响应包体积与查询包比例。

  7. Slowloris攻击

    • 识别特征:长期保持部分HTTP连接,耗尽连接池。

    • 检测方法:监控不完整连接持续时间及数量。

  8. SSDP反射攻击

    • 识别特征:UPnP设备响应流量突增。

    • 检测方法:检测SSDP响应包数量与来源设备分布。

通用检测手段:

  • 流量基线比对

  • 协议异常分析

  • 源IP地理分布检查

  • 包大小/速率阈值告警

  • 行为模式机器学习分析

TAG:特征方法流量速率比例数量大量模式