安全是有分量的

cdn防御cc_cc防护值_方法

2022-01-13 08:50栏目:数据

cdn防御cc_cc防护值_方法

热释光;博士端口每天扫描整个IPv4地址空间,一次扫描几个月,会产生大量非常丰富的数据,微软云防御ddos,而且不止是一些管理投诉。然而,这样一个练习的结果是非常值得的…请阅读更多内容以了解…

虽然使用nmap到处扫描几个主机的端口可能很有趣,而且通常相当容易,但在扫描整个IPv4地址空间时,不能说这样做。这种规模的操作往往更具挑战性:

如果你想要每天的结果,你需要快速;像你的带宽和扫描工具的选择开始成为基本的考虑因素。你必须对别人公平。如果你想避免(太多)管理负担,比如不得不处理滥用信件,那么你必须尽可能地隐蔽。

那么,你到底需要什么来连续端口扫描IPv4?

端口扫描仪能够以线速扫描,如zmap、masscan、sinn。而nmap需要几个月的时间来运行扫描,这些工具的建造是为了在相对较短的时间内覆盖大量土地。一个好的管道:如果你每秒发送超过一百万个数据包,家庭连接不会切断它——而且很可能会给你带来麻烦;-)一个理解的ISP,或者更好的是,将中间人完全排除在外。拥有自己的AS可以让你直接处理虐待信件,避免计划外的网络中断。一个很好的,大面积的存储来保存所有捕获的数据(如果可能的话,有冗余)。一个索引解决方案,可以轻松检索有趣的结果和统计数据。一个好的调度器,能够处理各种扫描仪(如上述扫描仪)以及整个过程的同步,包括但不限于:发送数据包、捕获响应、存储PCAP/数据和索引有效负载。对Internet路由协议有很好的理解,以实现简单的技巧,避免阻塞到目的地的流量路径上的路由器。这将包括,例如,使用多个源IPS,随机化目标范围,等等。为了弄清楚好管道是什么,你必须考虑IPv4上有大约35亿个可到达的IP地址。向每个地址发送单个TCP SYN数据包所需的时间在很大程度上取决于可用带宽,例如:

10 Mbit/s->~62小时100 Mbit/s->约6小时500 Mbit/s->约74分钟1 Gbit/s->~37分钟

因此,速度与您愿意为扫描过程提供多少带宽以及您的工具是否能够满足您的所有带宽需求密切相关。同样,zmap、masscan或sinn等工具的设计也考虑到了这些因素。

一旦您设置了这些工具和带宽,就可以开始收集数据了。我们已经在不同的协议和服务上执行了6个多月的端口扫描和指纹识别。如果你一直在运行一个IDS,你很有可能看到我们的探测器经过。

你甚至可能已经通过我们关于这些探测器的滥用电子邮件与我们联系。因此,如果您想知道这一切是为了什么,这里有一些信息:

我们每天查询的协议:

NTP及其漏洞(CVE-2001-0414,monlist,readvar,…)Scada设备(modbus、bacnet等)HTTP横幅抓取

每天运行这些扫描确实会产生大量数据-但它也代表了大量的管理工作:

超过180封滥用信件,我们总是亲自回复。我们还为每个投诉人提供了一个选择退出,以防我们的调查代表了一个问题。目前,高防cdn_504错误什么意思,266个范围已添加到我们的选择退出名单(约300万IP)。要存储的流量超过60 TB(并且还在增长…)

最有趣的统计数据实际上是我们分析的结果,例如:

有近400万台独特的NTP服务器响应我们的探测。超过500K个配置错误的NTP服务器,可能通过MONLIST命令被滥用,以执行大规模DDoS攻击。超过500K的NTP服务器运行一个易受攻击的ntpd版本。这代表了在Internet上运行ntpd的所有服务器的98%…更新,有人吗?超过7万台设备运行与SCADA相关的Bacnet协议,其中51%位于美国,24%位于珲春高铁站到防川。超过400K台设备运行SCADA相关Modbus协议,其中67%位于美国。3000万个HTTP服务器(了解独特的IP),在瑞士有超过10万个地理位置。其中,返回的HTTP服务器标记的比率为:~51%Apache、~31%Akamai和~13%Nginx。

如果这些数字对您意义不大,下面是一个简单的示例,它基于使用这些NTP服务器执行大规模DDoS。

想法如下:您可以向NTP服务器发送UDP数据包,以请求查询NTP服务器的最后一个IP地址的列表(此命令称为MONLIST)。因此,通过向NTP服务器发送一个小查询,您可以在响应中生成大量流量(所有IP的列表以及一些附加信息)。此外,由于这都是通过UDP进行的,因此有可能通过反射伪造源IP地址和目标,网站防御ddos,一些较差的用户(或者不是很差,谁知道呢)。

感谢MONLIST,使用90字节的包,你可以在目标对象上反映出一个更大的负载(谁将接收到被请求的实际响应),从而在受害者的终端上创建DDoS条件。胡:让我们考虑一个有疑问的攻击者和一个一百个主机的僵尸网络,路由ddos防御软件,以DDOS为特定目标。所有的人需要做的是确定几个易受攻击的NTP服务器使用的攻击。我们发现的大多数易受攻击的NTP服务器都有很高的放大系数,这是查询和反映的响应之间的比率。

我们发现大约有120K个NTP服务器的放大系数为194。因此,开发防御ddos,有足够多的服务器用于此类攻击。