HOME 首頁
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運營
CASE 服務(wù)案例
NEWS 熱點資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    ddos流量測試(ddos流量峰值測試ip)

    發(fā)布時間:2023-04-13 12:39:12     稿源: 創(chuàng)意嶺    閱讀: 76        

    大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于ddos流量測試的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。

    開始之前先推薦一個非常厲害的Ai人工智能工具,一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等

    只需要輸入關(guān)鍵詞,就能返回你想要的內(nèi)容,越精準(zhǔn),寫出的就越詳細(xì),有微信小程序端、在線網(wǎng)頁版、PC客戶端

    官網(wǎng):https://ai.de1919.com。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,如需了解SEO相關(guān)業(yè)務(wù)請撥打電話175-8598-2043,或添加微信:1454722008

    本文目錄:

    ddos流量測試(ddos流量峰值測試ip)

    一、那些年,DDoS的那些反擊滲透的事情。

    DDoS攻擊與對策

    DDo(Distributed Denial of Service),即分布式拒絕服務(wù)攻擊,是指黑客通過控制由多個肉雞或服務(wù)器組成的僵尸網(wǎng)絡(luò),向目標(biāo)發(fā)送大量看似合法的請求,從而占用大量網(wǎng)絡(luò)資源使網(wǎng)絡(luò)癱瘓,阻止用戶對網(wǎng)絡(luò)資源的正常訪問。

    從各安全廠商的DDoS分析報告不難看出,DDoS攻擊的規(guī)模及趨勢正在成倍增長。由于攻擊的成本不斷降低,技術(shù)門檻要求越來越低,攻擊工具的肆意傳播,互聯(lián)網(wǎng)上隨處可見成群的肉雞,使發(fā)動一起DDoS攻擊變得輕而易舉。

    DDoS攻擊技術(shù)包括:常見的流量直接攻擊(如SYN/ACK/ICMP/UDP FLOOD),利用特定應(yīng)用或協(xié)議進行反射型的流量攻擊(如,NTP/DNS/SSDP反射攻擊,2018年2月28日GitHub所遭受的Memcached反射攻擊),基于應(yīng)用的CC、慢速HTTP等。關(guān)于這些攻擊技術(shù)的原理及利用工具網(wǎng)上有大量的資源,不再贅述。

    1.1 DDoS防御常規(guī)套路

    防御DDoS的常規(guī)套路包括:本地設(shè)備清洗,運營商清洗,云清洗。

    1.本地設(shè)備清洗

    抗DDoS設(shè)備(業(yè)內(nèi)習(xí)慣稱ADS設(shè)備)一般以盒子的形式部署在網(wǎng)絡(luò)出口處,可串聯(lián)也可旁路部署。旁路部署需要在發(fā)生攻擊時進行流量牽引,其基本部署方案如圖18-1所示。

    圖18-1 ADS 設(shè)備部署方式

    圖18-1中的檢測設(shè)備對鏡像過來的流量進行分析,檢測到DDoS攻擊后通知清洗設(shè)備,清洗設(shè)備通過BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機的流量牽引到清洗設(shè)備,然后將清洗后的干凈流量通過策略路由或者MPLS LSP等方式回注到網(wǎng)絡(luò)中;當(dāng)檢測設(shè)備檢測到DDoS攻擊停止后,會通知清洗設(shè)備停止流量牽引。

    將ADS設(shè)備部署在本地,企業(yè)用戶可依靠設(shè)備內(nèi)置的一些防御算法和模型有效抵擋一些小規(guī)模的常見流量攻擊,同時結(jié)合盒子提供的可定制化策略和服務(wù),方便有一定經(jīng)驗的企業(yè)用戶對攻擊報文進行分析,定制針對性的防御策略。目前國內(nèi)市場上,主要以綠盟的黑洞為代表,具體可以訪問其官網(wǎng)進一步了解。

    本地清洗最大的問題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時,即使ADS設(shè)備處理性能夠,也無法解決這個問題。一般金融證券等企業(yè)用戶的出口帶寬可能在幾百兆到幾G,如果遇到十G以上甚至上百G的流量,就真的麻煩了,更別談T級別的DDoS攻擊了。

     2.運營商清洗

    當(dāng)本地設(shè)備清洗解決不了流量超過出口帶寬的問題時,往往需要借助運營商的能力了,緊急擴容或者開啟清洗服務(wù)是一般做法,前提是要采購相應(yīng)的清洗服務(wù),而且一般需要通過電話或郵件確認(rèn),有的可能還要求傳真。

    運營商的清洗服務(wù)基本是根據(jù)netflow抽樣檢測網(wǎng)絡(luò)是否存在DDoS攻擊,而且策略的顆粒度較粗,因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想。再加上一些流程上的操作如電話、郵件、傳真等,真正攻擊到來時處理可能會更慢,需要重點關(guān)注。

    值得一提的是中國電信的云堤服務(wù),提供了“流量壓制”和“近源清洗”服務(wù),而且還提供了自助平臺供用戶操作,查看流量、開啟清洗也非常方便。

     3.云清洗

    內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Delivery Network,CDN)是指,通過在網(wǎng)絡(luò)各處放置節(jié)點服務(wù)器,讓用戶能夠在離自己最近的地方訪問服務(wù),以此來提高訪問速度和服務(wù)質(zhì)量。CDN主要利用了四大關(guān)鍵技術(shù):內(nèi)容路由,內(nèi)容分發(fā),內(nèi)存存儲,內(nèi)容管理。更詳細(xì)的技術(shù)原理可以參考中國電信研究院出版的《CDN技術(shù)詳解》。

    CDN技術(shù)的初衷是為了提高互聯(lián)網(wǎng)用戶對靜態(tài)網(wǎng)站的訪問速度,但是由于分布式、就近訪問的特點,能對攻擊流量進行稀釋,因此,一些傳統(tǒng)CDN廠商除了提供云加速功能外,也開始推出云清洗的服務(wù),當(dāng)然還有一些安全公司基于其自身優(yōu)勢進入云清洗市場?;驹矶家粯?,需要先在云端配置好相應(yīng)的記錄,當(dāng)企業(yè)遭受大規(guī)模攻擊時,通過修改其DNS記錄將要保護的域名CNAME到云端事先配好的記錄上,等待DNS生效即可。

    使用云清洗需要注意以下幾個問題:

    1. -·云清洗廠商需要提前配置好相應(yīng)記錄。 ·DNS修改記錄后,需要等待TTL超時才生效。 

    2.  ·直接針對源IP的攻擊,無法使用云清洗防護,還要依靠本地和運營商清冼。 

    3. ·針對HTTPS網(wǎng)站的防御,還涉及HTTPS證書,由此帶來的數(shù)據(jù)安全風(fēng)險需要考慮,市面上也有相應(yīng)的Keyless方案{n1}。

    由于國內(nèi)環(huán)境不支持Anycast技術(shù),所以不再贅述,如果有海外分支機構(gòu)的網(wǎng)站需要防護,可以關(guān)注。

    {nt1|其細(xì)節(jié)可以參考cloudflare公司博客上的文章,鏈接:[https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/](https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/)。

    一些經(jīng)驗

    結(jié)合筆者的一些經(jīng)驗,對DDoS防護落地做一些補充,僅供參考。

    1.自動化平臺

    金融企業(yè)由于高可用要求,往往會有多個數(shù)據(jù)中心,一個數(shù)據(jù)中心還會接入多家運營商線路,通過廣域網(wǎng)負(fù)載均衡系統(tǒng)對用戶的訪問進行調(diào)度,使之訪問到最近最優(yōu)的資源。當(dāng)任何一條接入線路存在DDoS攻擊時,能通過廣域網(wǎng)負(fù)載均衡系統(tǒng)將該線路上的訪問需求轉(zhuǎn)移至其他互聯(lián)網(wǎng)線路。在針對IP地址開展的DDoS攻擊中,此方案能夠有效保障正??蛻舻脑L問不受影響,為了實現(xiàn)快速切換,需要通過自動化運維平臺來實現(xiàn),如圖18-2所示。

    圖18-2

    線路調(diào)整一鍵應(yīng)急配合必要的應(yīng)知應(yīng)會學(xué)習(xí)和應(yīng)急演練,使團隊成員都能快速掌握方法,在事件發(fā)生第一時間進行切換,將影響降到最小。接下來才是通知運營商進行清洗處理,等待流量恢復(fù)正常后再進行回切。

    當(dāng)某一個業(yè)務(wù)的IP受到攻擊時,可以針對性地處置,比如一鍵停用,讓正常用戶訪問其他IP;也可以一鍵開啟清洗服務(wù)。

     2.設(shè)備抗D能力

    除了ADS設(shè)備外,還有一些設(shè)備也需要關(guān)注抗DDoS能力,包括防火墻、負(fù)載均衡設(shè)備等。

    出于安全可控需求,金融企業(yè)往往會采用異構(gòu)模式部署防火墻,比如最外層用產(chǎn)品A,里面可能會用產(chǎn)品B。假如產(chǎn)品A的抗DDoS能力差,在發(fā)生攻擊時,可能還沒等到ADS設(shè)備清洗,產(chǎn)品A已經(jīng)出問題了,比如發(fā)生了HA切換或者無法再處理新的連接等。

    在產(chǎn)品選型測試時,需要關(guān)注這方面的能力,結(jié)合筆者所在團隊經(jīng)驗,有以下幾點供參考:

    1. ·某些產(chǎn)品在開啟日志記錄模塊后會存在極嚴(yán)重的性能消耗,在可能存在攻擊的環(huán)境內(nèi)建議關(guān)閉。

    2. ·盡管理論和實際會有偏差,但根據(jù)實際測試情況,還是建議當(dāng)存在大量TCP、UDP新建連接時,防火墻的最大連接數(shù)越大越好

    3. 多測試多對比,從對比中可以發(fā)現(xiàn)更優(yōu)的方案,通過適當(dāng)?shù)恼{(diào)整優(yōu)化引入更優(yōu)方案。

    4. ·監(jiān)控防火墻CPU和連接數(shù),當(dāng)超過一定值時開始著手優(yōu)化規(guī)則,將訪問量多的規(guī)則前移、減少規(guī)則數(shù)目等都是手段。

    負(fù)載均衡設(shè)備也需要關(guān)注以上問題,此外,負(fù)載均衡由于承接了應(yīng)用訪問請求分發(fā)調(diào)度,可以一定程度上針對性地防護基于IP速率、基于URL速率的DDoS攻擊以及慢速攻擊等。圖18-3所示為F5的ASM的DDoS防護策略。

    圖18-3

    負(fù)載均衡設(shè)備ASM防DDoS功能

    請求經(jīng)過防火墻和負(fù)載均衡,最后到了目標(biāo)機器上處理的時候,也需要關(guān)注。系統(tǒng)的性能調(diào)優(yōu)設(shè)置、Nginx的性能參數(shù)調(diào)整以及限制連接模塊配置等,都是在實際工作中會涉及的。

    3.應(yīng)急演練

    部署好產(chǎn)品,開發(fā)好自動化運維平臺,還要配合必要的應(yīng)知應(yīng)會、應(yīng)急演練才行。因為金融行業(yè)的特殊性,DDoS攻擊發(fā)生的次數(shù)相比互聯(lián)網(wǎng)行業(yè)還是少很多的,有的企業(yè)可能幾年也碰不到一次。時間久了技能就生疏了,真正需要用到時,可能連登錄設(shè)備的賬號口令都忘了,又或者需要現(xiàn)場接線的連設(shè)備都找不到,那就太糟糕了。

    此外,采購的外圍的監(jiān)控服務(wù)、運營商和云清洗產(chǎn)品的服務(wù)能力也需要通過演練來檢驗有效性。簽訂合同時承諾的秒級發(fā)現(xiàn)、分鐘級響應(yīng)是否經(jīng)得起考驗,要先在心里打上一個問號。建議在不事先通知的情況下進行演練,觀察這中間的問題并做好記錄,待演練完成后一并提交給服務(wù)商要求整改。這樣的演練每年要不定期組織幾次。

    二、ddos壓力測試要怎么看流量?

    365免殺學(xué)習(xí)基地 最大的計算機入門學(xué)習(xí)論壇。網(wǎng)絡(luò)技術(shù)入門論壇

    這個論壇不錯的,可以看一下 。網(wǎng)址 moc。xjks563。www【倒過來】

    三、ddos一個普通企業(yè)網(wǎng)需要多大的流量

    需要10G至30G流量。ddos一個普通企業(yè)網(wǎng)站主機的流量是按照G核算的,一般ddos一個普通企業(yè)網(wǎng)站所用的流量在10G至30G之間,網(wǎng)站上沒有視頻等耗流量的資源,每個就是5G流量也滿足了。

    四、DDOS幾種常見攻擊方式的原理及解決辦法

    DOS的表現(xiàn)形式

    DDOS的表現(xiàn)形式主要有兩種,一種為流量攻擊,主要是針對網(wǎng)絡(luò)帶寬的攻擊,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務(wù)器主機的攻擊,即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

    如何判斷網(wǎng)站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發(fā)現(xiàn)Ping超時或丟包嚴(yán)重(假定平時是正常的),則可能遭受了流量攻擊,此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務(wù)器也訪問不了了,基本可以確定是遭受了流量攻擊。當(dāng)然,這樣測試的前提是你到服務(wù)器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽,否則可采取Telnet主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試,效果是一樣的。不過有一

    點可以肯定,假如平時Ping你的主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的,突然都Ping不通了或者是嚴(yán)重丟包,那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現(xiàn)象是,一旦遭受流量攻擊,會發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會失敗。

    相對于流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的,發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是,Ping自己的網(wǎng)站主機Ping不通或者是丟包嚴(yán)重,而Ping與自己的主機在同一交換機上的服務(wù)器則正常,造成這種原因是網(wǎng)站主機遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。

    當(dāng)前主要有三種流行的DDOS攻擊:

    1、SYN/ACK Flood攻擊:這種攻擊方法是經(jīng)典最有效的DDOS方法,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù),主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包,導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù),由于源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵尸主機支持。少量的這種攻擊會導(dǎo)致主機服務(wù)器無法訪問,但卻可以Ping的通,在服務(wù)器上用Netstat -na

    命令會觀察到存在大量的SYN_RECEIVED狀態(tài),大量的這種攻擊會導(dǎo)致Ping失敗、TCP/IP棧失效,并會出現(xiàn)系統(tǒng)凝固現(xiàn)象,即不響應(yīng)鍵盤和鼠標(biāo)。普通防火墻大多無法抵御此種攻擊。

    2、TCP全連接攻擊:這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的,一般情況下,常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的,殊不知很多網(wǎng)絡(luò)服務(wù)程序(如:IIS、Apache等Web服務(wù)器)能接受的TCP連接數(shù)是有限的,一旦有大量的TCP連接,即便是正常的,也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量 的TCP連接,直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨,從而造成拒絕服務(wù),這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的,缺點是需要找很多僵尸主機,并且由于僵尸主機的IP是暴露的,因此容易被追蹤。

    3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用,典型的以小博大的攻擊方法。一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數(shù)據(jù)庫服務(wù)器很少能支持?jǐn)?shù)百個查詢指令同時執(zhí)行,而這對于客戶端來說卻是輕而易舉的,因此攻擊者只需通過Proxy代理向主機服務(wù)器大量遞交查詢指令,只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù),常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP地址。

    完全抵御住DDOS攻擊是不可能的

    對付DDOS是一個系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當(dāng)?shù)霓k法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄,也就相當(dāng)于成功的抵御了DDOS攻擊。

    以下幾點是防御DDOS攻擊幾點:

    1、采用高性能的網(wǎng)絡(luò)設(shè)備

    首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

    2、充足的網(wǎng)絡(luò)帶寬保證

    網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。

    但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。

    3、安裝專業(yè)抗DDOS防火墻

    專業(yè)抗DDOS防火墻采用內(nèi)核提前過濾技術(shù)、反向探測技術(shù)、指紋識別技術(shù)等多項專利技術(shù)來發(fā)現(xiàn)和提前過濾DDoS非法數(shù)據(jù)包,做到了智能抵御用戶的DoS攻擊。但也不能100%阻止對DDoS非法數(shù)據(jù)包準(zhǔn)確檢查。

    以上就是關(guān)于ddos流量測試相關(guān)問題的回答。希望能幫到你,如有更多相關(guān)問題,您也可以聯(lián)系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內(nèi)容。


    推薦閱讀:

    Address怎么記憶(address記憶法)

    city集團(citydd集團)

    ddos流量測試(ddos流量峰值測試ip)

    旅游景觀設(shè)計要素入口(旅游景觀設(shè)計六要素)

    景觀設(shè)計師真的好嗎嗎(景觀設(shè)計師真的好嗎嗎工資多少)