【问题标题】:How to prevent DDOS with TCPCT without client side support?如何在没有客户端支持的情况下使用 TCPCT 防止 DDOS?
【发布时间】:2012-08-07 16:19:53
【问题描述】:

我阅读了有关 TCP Cookie 事务的 RFC 6013。实际上cookie事务可以防止DDOS。但这只是一种 TCP 选项。它需要客户端和服务器同时支持它。但是如果客户端是恶意攻击者,为什么要使用这个选项呢?

我认为 TCP Cookie 事务不能阻止 DDOS

如果客户端不使用该选项,TCPCT如何防止DDOS?

【问题讨论】:

    标签: network-protocols


    【解决方案1】:

    您的问题有很多可能的答案,但这可能是最简单的:一旦 TCPCT 被广泛采用,在 DDOS 攻击期间,您可以拒绝所有不使用 TCPCT 的连接。因此,与支持 TCPCT 的客户端的合法连接将继续有效,从而抵御 DDOS 攻击。

    【讨论】:

    • 谢谢。我之前考虑过这种方法。但是一旦服务器禁止了不支持 TCPCT 的客户端。它可能会拒绝太多的客户。因为大部分客户端不会及时升级。
    • 对不起,我回复慢。我的意思是大多数客户端不会升级以支持 TCPCT。那么服务器就不可能限制只有支持 TCPCT 的客户端才能连接。
    【解决方案2】:

    来自@David Schwartz 的好回答,但我不明白这如何防止僵尸网络 DDoS 实际使用“合法”受感染的机器。 (即木马 DDoS) 这些是相当常见的攻击策略 - 易于使用且价格低廉。这只是有关该主题的众多资源之一:

    http://www.scmagazine.com/easily-available-tools-botnets-contribute-to-ddos-rise/article/253382/

    是的,TCP Cookie 可以防止 SYN 洪水,但这些已经可以通过 ACK 验证来缓解(最好使用反向代理来阻止更大的洪水)

    我在一家安全公司 (Incapsula) 工作,我们每天都在处理 DDoS。我们阻止了许多僵尸网络攻击,并且数量/攻击规模只会继续增长。

    我认为,在未来 3 到 5 年内,大多数 SMB 商业网站都将配备第 3 方 DDoS 保护,因为这只是一场竞赛(攻击量与管道大小),而第 3 方前门代理是拥有可扩展且高效的 DDoS 解决方案的最具成本效益的方式。

    【讨论】:

    • 感谢分享知识。
    • 目的不是防止 DDoS 攻击,而是减少它们造成的损害。这将减少来自“合法”受感染机器的损害,因为它们无法欺骗其 IP 地址,这意味着它们要么必须限制每个地址只有一个连接,要么攻击连接可以与大多数合法连接分开,大大降低了攻击的有效性。
    猜你喜欢
    • 1970-01-01
    • 2019-12-17
    • 2016-04-19
    • 2020-11-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-09-14
    相关资源
    最近更新 更多