1. 首頁
  2. 問答
  3. 如何在沒有客戶端支持的情況下防止使用TCPCT的DDOS?

如何在沒有客戶端支持的情況下防止使用TCPCT的DDOS?

2012-08-02 22 views
0

我閱讀關於TCP Cookie事務的RFC 6013。事實上,cookie事務可能會阻止DDOS。但它只是一個TCP選項。它需要客戶端和服務器同時支持它。但爲什麼客戶使用這個選項,如果他是惡意攻擊者?如何在沒有客戶端支持的情況下防止使用TCPCT的DDOS?

我不認爲TCP Cookie傳輸可以防止DDOS

如果客戶端不使用此選項,TCPCT如何防止DDOS?

來源

2012-08-02 linuxer

回答

0

對於您的問題有很多可能的答案,但這可能是最簡單的:一旦TCPCT被廣泛採用,在DDOS攻擊期間,您可以拒絕所有不使用TCPCT的連接。因此,與支持TCPCT的客戶端的合法連接將繼續發揮作用,從而擊敗DDOS攻擊。

來源

2012-08-02 02:33:34

+0

謝謝。我以前考慮過這種方法。但一旦服務器禁止不支持TCPCT的客戶端。它可能會拒絕太多客戶。因爲大多數客戶不會及時升級。 – linuxer 2012-08-03 03:16:09

+0

@linuxer:爲什麼? – 2012-08-03 10:00:41

+0

對不起,我慢慢回覆。我的意思是大多數客戶不會升級以支持TCPCT。那麼服務器就不可能只限制支持TCPCT的客戶端連接它。 – linuxer 2012-08-13 03:07:40

0

@David Schwartz的好回答,但我不明白這是如何防止實際使用「合法」受感染機器的僵屍網絡DDoS。 (即木馬DDoS) 這些是相當常見的攻擊手段 - 易於使用且價格便宜。這只是關於這個主題的資源之一:

http://www.scmagazine.com/easily-available-tools-botnets-contribute-to-ddos-rise/article/253382/

是,TCP cookie可以防止SYN洪水,但這些都已經可以通過ACK確認來緩解(最好反向代理推遲更大的洪水)

我爲安全公司工作(Incapsula),我們每天都會處理DDoS。我們防止大量的僵屍網絡攻擊,並且數量/攻擊大小隻會繼續增長。

我認爲,未來3 - 5年內,大多數SMB商業網站都會有第三方DDoS防護,因爲這僅僅是一場比賽(攻擊量與管道尺寸),第三方前端代理服務器這是實現可擴展且高效的DDoS解決方案的最具成本效益的方式。

來源

2012-08-07 08:12:44

+0

謝謝您分享知識。 – linuxer 2012-08-13 03:08:39

+0

目的不是爲了防止DDoS攻擊,而是爲了減少他們的損害。這樣可以減少受到「合法」感染的機器所造成的損害,因爲它們無法欺騙IP地址,這意味着它們必須限制爲每個地址一個連接,或者攻擊連接可以與大多數合法連接分開,大大降低了攻擊的有效性。 – 2012-08-13 09:45:44

相關問題

 相關問題