网络攻防学习笔记 Day124

Suricata 是一款免费、开源、成熟、快速、健壮的网络入侵检测工具，能够进行实时入侵检测（IDS）、入侵预防（IPS）、网络安全监控（NSM）和离线 pcap 包处理。

DDoS（Distributed Denial of Service Attack，分布式拒绝服务攻击），是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。

针对 SYN Flood 攻击，通过缩短从接收到 SYN 报文到确定这个报文无效并丢弃该连接的时间，可以临时缩短 SYN Timeout 时间。

针对 CC 攻击，可以采取服务器临时扩容方案，或采用缓存机制减轻数据库压力，或采用临时生成静态化的 HTML 页面。也可以限制访问量明显异常的 IP，毕竟相对其他攻击来说，CC 攻击的 IP 地址均为真实地址。平时应注意优化 SQL 语句，减少甚至消除有慢 SQL 查询的业务功能。

针对反射放大型攻击，仅仅靠一个企业更难有所作为了，需要运营商级别均启用类似 URPF（Unicast Reverse Path Forwarding）的技术防止基于源地址欺骗的网络攻击行为，并过滤所有 RFC1918 IP 地址，同时企业也尽可能在网络层限制类似 NTP、Memcache 等服务的访问 IP，只有这样，才能缓解反射放大攻击。

流量服务器群有如下功能：

流量还原重组：将数据包进行还原，并根据应用协议进行包重组。

深度包检测：应用层数据的应用协议识别、数据包内容检测与深度解码。

HTTP 解析：针对 HTTP 进行解析，解析出常用字段以供后续分析。

规则设定：根据规则检测数据包内容，例如是否收到连续长度统一的 UDP 数据包，SYN 数量是否为正常值，SYN 与 ACK 比例是否正常等，并可以在发现异常时进行告警。

数据包保存：保存原始数据包，用于回放或取证。