ddos防御攻击-ddos攻击监测

为什么路由器总检测到我本机DDOS攻击呢？杀毒又没事

ddos攻击一般是来自外部的，那说明你的路由器检测到有外部数据一直不断访问你的网络，楼主可以尝试关闭路由器十分钟后在重启更换IP试试。

云堤产品主要包含哪几项服务

“电信云堤”下辖四大产品：电信云堤·DDoS攻击防护（简称“电信云堤·抗D”）、电信云堤·域名安全防护（简称“电信云堤·域名无忧”）、电信云堤·反钓鱼网站处置（简称：“电信云堤·反钓鱼”）和电信云堤·网站安全专家（简称：“电信云堤·网站安全专家”）。

“云堤”系列产品通过整合中国电信骨干网络的管道控制能力和安全防护能力，将运营商的网络安全能力以互联网化的方式进行输出，实现了能力快速获取、全自助的客户体验，从而来提升客户网络安全防御水平。

电信云堤·抗D

“电信云堤·抗D”依托于中国电信强大的IP网络能力和全球最大的DDoS攻击流量吸纳带宽资源，为客户提供可定制的“管家式”DDoS攻击防护服务，让政府和企业客户在日益严重的DDoS攻击下高枕无忧。

异常流量监测：通过对客户网络流量进行学习，“电信云堤·抗D”攻击防御平台为客户制定安全基线，并设定基线内容阈值参数或模型。中国电信DDoS攻击防护团队提供7x24小时的实时流量监测服务，对可能造成业务影响的DDoS攻击或其他网络流量异常启动预警和防护机制。

流量压制：依靠RTBH、FlowSpec、QoS策略，“电信云堤·抗D”攻击防御平台基于电信IP网核心路由设备能力在中国电信骨干网络边缘将攻击流量进行可区分方向的丢弃、限速和其他QoS动作。

为客户提供定制化的DDoS攻击流量防护，客户可直接通过手机客户端，按照防护策略自主进行DDoS攻击防护，流量压制功能的攻击流量处理能力理论上无上限。

流量清洗：利用分布式部署在骨干网的26个清洗中心，攻击流量在进入电信网络后将自动被就近牵引到多个清洗中心进行处理。“电信云堤·抗D”总清洗容量和清洗中心独享带宽均超过1000Gb。

Linux里面ddos是什么？

使用DDoS deflate脚本自动屏蔽攻击ip

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址，在检测到某个结点超过预设的限制时，该程序会通过APF或IPTABLES禁止或阻挡这些IP.

DDoS deflate其实是一个Shell脚本，使用netstat和iptables工具，对那些链接数过多的IP进行封锁，能有效防止通用的恶意扫描器，但它并不是真正有效的DDoS防御工具。

DDoS deflate工作过程描述：

同一个IP链接到服务器的连接数到达设置的伐值后，所有超过伐值的IP将被屏蔽，同时把屏蔽的IP写入ignore.ip.list文件中，与此同时会在tmp中生成一个脚本文件，这个脚本文件马上被执行，但是一

运行就遇到sleep预设的秒，当睡眠了这么多的时间后，解除被屏蔽的IP，同时把之前写入ignore.ip.list文件中的这个被封锁的IP删除，然后删除临时生成的文件。

一个事实：如果被屏蔽的IP手工解屏蔽，那么如果这个IP继续产生攻击，那么脚本将不会再次屏蔽它（因为加入到了ignore.ip.list），直到在预设的时间之后才能起作用，加入到了ignore.ip.list中的

IP是检测的时候忽略的IP。可以把IP写入到这个文件以避免这些IP被堵塞，已经堵塞了的IP也会加入到ignore.ip.list中，但堵塞了预定时间后会从它之中删除。

如何确认是否受到DDOS攻击？

[root@test3-237 ~]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

1 Address

1 servers)

2 103.10.86.5

4 117.36.231.253

4 19.62.46.24

6 29.140.22.18

8 220.181.161.131

2911 167.215.42.88

每个IP几个、十几个或几十个连接数都还算比较正常，如果像上面成百上千肯定就不正常了。比如上面的167.215.42.88，这个ip的连接有2911个！这个看起来就很像是被攻击了！

如何检测拒绝服务攻击

•什么是IP欺骗攻击法？•下面我们看一下IP欺骗攻击是如何实现的？建立信任关系IP欺骗是利用了

•常见IP碎片攻击详解•1.为什么存在IP碎片链路层具有最大传输单元MTU这个特性，它限制了

•快速利用135端口入侵个人电脑•通过135端口入侵实际上是利用RPC漏洞来攻击计算机的。一般情况下1

DDoS工具产生的网络通讯信息有两种：控制信息通讯（在DDoS客户端与服务器端之间）和攻击时的网络通讯（在DDoS服务器端与目标主机之间）。

根据以下异常现象在网络入侵监测系统建立相应规则，能够较准确地监测出DDoS攻击。

异常现象0：虽然这不是真正的"DDoS"通讯，但却能够用来确定DDoS攻击的来源。根据分析，攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。

异常现象1：当DDoS攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。

异常现象2：特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包，通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些大小明显大得多的数据包很有可能就是控制信息通讯用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通讯，DDoS服务器的位置就无所遁形了，因为控制信息通讯数据包的目标地址是没有伪造的。

异常现象3：不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议（包括基于连接的协议）通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。

异常现象4：数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K（及其变种）的特征模式是在数据段中有一串A字符（AAA……），这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码，对于使用了加密算法数据包，这个连续的字符就是“Θ”。

异常现象5：数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件，但如果这些数据包不属于正常有效的通讯时，可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包。（如果实施这种规则，必须将20、21、80等端口上的传输排除在外。） 防止拒绝服务的攻击

许多现代的UNIX允许管理员设置一些限制，如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序，而又不想偶然地使系统变得非常缓慢，或者使其它分享这台主机的用户无法使用，这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。

网吧DDOS检测工具，检测是否有DDOS攻击

可以安装一些杀毒软件在电脑上

如电脑管家一类的，然后一直保持开启

这样就可以预防病毒进入到电脑当中了