【发布时间】:2012-08-07 16:19:53
【问题描述】:
我阅读了有关 TCP Cookie 事务的 RFC 6013。实际上cookie事务可以防止DDOS。但这只是一种 TCP 选项。它需要客户端和服务器同时支持它。但是如果客户端是恶意攻击者,为什么要使用这个选项呢?
我认为 TCP Cookie 事务不能阻止 DDOS
如果客户端不使用该选项,TCPCT如何防止DDOS?
【问题讨论】:
我阅读了有关 TCP Cookie 事务的 RFC 6013。实际上cookie事务可以防止DDOS。但这只是一种 TCP 选项。它需要客户端和服务器同时支持它。但是如果客户端是恶意攻击者,为什么要使用这个选项呢?
我认为 TCP Cookie 事务不能阻止 DDOS
如果客户端不使用该选项,TCPCT如何防止DDOS?
【问题讨论】:
您的问题有很多可能的答案,但这可能是最简单的:一旦 TCPCT 被广泛采用,在 DDOS 攻击期间,您可以拒绝所有不使用 TCPCT 的连接。因此,与支持 TCPCT 的客户端的合法连接将继续有效,从而抵御 DDOS 攻击。
【讨论】:
来自@David Schwartz 的好回答,但我不明白这如何防止僵尸网络 DDoS 实际使用“合法”受感染的机器。 (即木马 DDoS) 这些是相当常见的攻击策略 - 易于使用且价格低廉。这只是有关该主题的众多资源之一:
http://www.scmagazine.com/easily-available-tools-botnets-contribute-to-ddos-rise/article/253382/
是的,TCP Cookie 可以防止 SYN 洪水,但这些已经可以通过 ACK 验证来缓解(最好使用反向代理来阻止更大的洪水)
我在一家安全公司 (Incapsula) 工作,我们每天都在处理 DDoS。我们阻止了许多僵尸网络攻击,并且数量/攻击规模只会继续增长。
我认为,在未来 3 到 5 年内,大多数 SMB 商业网站都将配备第 3 方 DDoS 保护,因为这只是一场竞赛(攻击量与管道大小),而第 3 方前门代理是拥有可扩展且高效的 DDoS 解决方案的最具成本效益的方式。
【讨论】: