怎么查找DDOS的IP。有什么好用的检测软件吗？_百度知道
怎么查找DDOS的IP。有什么好用的检测软件吗？
我的是网吧。经常有DDOS攻击。有没有查找DDOS IP 的软件和工具。
提问者采纳
所以说首先你的知道DDOS攻击时什么意思，还是内网的攻击！ 还有一个，路由器的设置是否安全，这些都是需要去检查和防范的地方，内网中的客户机和服务器是否都没有病毒之类的，你需要弄清楚是来自外网的攻击，你的系统是否及时的更换。 既然是网吧，查找ＤＤＯＳ攻击源比较复杂。 DDOS全名是Distributed Denial of service (分布式拒绝服务攻击) 既然是属于分布式攻击，那么久是属于有多台被控制的肉鸡对你发起攻击。细节是需要引起重视的地方，这样你就需要查找出所有的攻击源
其他类似问题
为您推荐：
ddos的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁54DDoS+攻击检测和控制方法
上亿文档资料，等你来发现
54DDoS+攻击检测和控制方法
软件学报ISSN,CODENR；JournalofSoftware,2012,2；?中国科学院软件研究所版权所有.Tel/Fax:；DDoS攻击检测和控制方法；张永铮1,肖军1+,云晓春1,王风宇2；2?(中国科学院信息工程研究所,北京100029；DDoSAttacksDetectionandC；ZHANGYong-Zheng1,XIAO
软件学报ISSN , CODEN RUXUEW E-mail: jos@Journal of Software,): [doi: 10.3724/SP.J.237] http://www.?中国科学院软件研究所版权所有. Tel/Fax: +86-10-DDoS攻击检测和控制方法张永铮1,
王风宇212? (中国科学院 信息工程研究所,北京
100029) (山东大学 计算机科学与技术学院,山东 济南
250101)DDoS Attacks Detection and Control MechanismsZHANG Yong-Zheng1,
XIAO Jun1+,
YUN Xiao-Chun1,
WANG Feng-Yu212(Institute of Information Engineering, The Chinese Academy of Sciences, Beijing 100029, China) (School of Computer Science and Technology, Shandong University, Ji’nan 250101, China)+ Corresponding author: E-mail: xiaojun@Zhang YZ, Xiao J, Yun XC, Wang FY. DDoS attacks detection and control mechanisms. Journal of Software,): (in Chinese). http://www./37.htmAbstract:
The Distributed denial of service (DDoS) attack is a major threat to the current network. Based on theattack packet level, the study divides DDoS attacks into network-level DDoS attacks and application-level DDoSattacks. Next, the study analyzes the detection and control methods of these two kinds of DDoS attacks in detail,and it also analyzes the drawbacks of different control methods implemented in different network positions. Finally,the study analyzes the drawbacks of the current detection and control methods, the development trend of the DDoSfilter system, and corresponding technological challenges are also proposed.Key words: DDoS; control摘
要: 分布式拒绝服务(distributed denial of service,简称DDoS)攻击是当今互联网的重要威胁之一.基于攻击包所处网络层次,将DDoS攻击分为网络层DDoS攻击和应用层DDoS攻击,介绍了两类攻击的各种检测和控制方法,比较了处于不同部署位置控制方法的优劣.最后分析了现有检测和控制方法应对DDoS攻击的不足,并提出了DDoS过滤系统的未来发展趋势和相关技术难点.关键词: DDoS;检测;控制中图法分类号: TP309
文献标识码: A分布式拒绝服务(distributed denial-of-service attack,简称DDoS)攻击是当今互联网最重要的威胁之一.DDoS攻击是指攻击者通过傀儡主机,消耗攻击目标的计算资源,阻止目标为合法用户提供服务.Web服务器、DNS服务器为最常见的攻击目标,可消耗的计算资源可以是CPU、内存、带宽、数据库服务器等,Amazon,eBay,Yahoo,Sina,Baidu等国内外网站都曾受到DDoS攻击.DDoS攻击不仅可以实现某一个具体目标,如WEB服务器或DNS服务器的攻击,而且可以实现对网络基础设施的攻击,如路由器等.利用巨大的攻击流量,可以使攻击目? 基金项目: 国家自然科学基金(); 国家高技术研究发展计划(863)(, )收稿时间: ; 修改时间: ; 定稿时间: ; jos在线出版时间: CNKI网络优先出版:
15:26, ki.net/kcms/detail/11.2560.TP.6.001.html 张永铮 等:DDoS攻击检测和控制方法 2059标所得的互联网区域网络基础设施过载,导致网络性能大幅度下降,影响网络所承载的服务.近年来,DDoS攻击事件层出不穷,各种相关报道也屡见不鲜[1?4].比较典型的事件如日发生的暴风影音事件[5].该事件导致了中国南方六省电信用户的大规模断网,预计经济损失超过1.6亿元人民币,其根本原因是由于服务于暴风影音软件的域名服务器DNS pod遭到黑客的DDoS攻击而无法提供正常域名请求.由此可见,针对DDoS攻击的检测和控制的研究工作具有重要的理论意义和实际价值.DDoS的蓬勃发展有如下原因:? 大量的操作系统漏洞使得攻击者可以控制大量的僵尸主机,构建大规模僵尸网络;? 网络规模的不断扩大,使得僵尸网络的规模越来越大;? 大量的攻击工具降低了发动攻击的技术门槛,大大降低了攻击的技术难度;? 随着微电子技术和网络技术的不断发展,终端主机的计算能力不断增强,接入带宽不断提高,每台僵尸主机能够以更高的速率发送攻击包;? 互联网在设计之初缺乏对安全问题的周详考虑,只关注对数据包的迅速转发;? 互联网在功能上是一个哑铃型的结构,中间网络只负责数据转发,而把安全事件的检测和控制功能完全交由客户端来完成,网络本身不具备对网络攻击的检测和处理能力;? 此外,经济利益的驱动是DDoS攻击频繁发生的重要因素.依据攻击包的地址有效性、攻击速率等属性,Mirkovic等人[6]对网络层DDoS攻击进行了详细分类,但分类仅局限于网络层DDoS攻击.近年来,基于应用层数据包的DDoS攻击越来越频繁,并有取代传统网络层DDoS攻击的趋势.在网络层DDoS攻击无法取得满意效果时,攻击者往往会采用应用层DDoS攻击[7]来实现攻击意图.与网络层DDoS攻击不同,应用层DDoS攻击首先与攻击目标建立TCP连接,在连接建立后,发送HTTP请求消耗攻击目标的资源.本文将DDoS攻击分为网络层DDoS攻击和应用层DDoS攻击,在此基础上,介绍DDoS攻击的检测和控制方法.本文第1节对网络层DDoS攻击的检测和控制技术进行介绍和分析.第2节对应用层DDoS攻击的检测和控制技术进行介绍和分析.第3节对现有控制方法进行比较,提出DDoS过滤系统的未来发展趋势和相关技术挑战.第4节进行总结.1
网络层DDoS攻击检测和控制网络层DDoS攻击会引起流量、不同协议类型数据包数量分布、同协议不同种类数据包数比例、访问源地址数量及分布、数据包头信息等多方面上的变化,并可导致链路拥塞和数据传输时延大幅增加.现有网络层DDoS检测方法大都基于上述几个方面统计值的变化.1.1
网络层DDoS攻击检测1.1.1
基于流量变化的检测方法DDoS攻击最明显的特征就是流量的大幅度增加,基于流量变化检测DDoS也是最常见的方法.与最常见的基于单链路流量检测DDoS攻击相比,基于全网流量变化检测DDoS攻击,能有效降低网络流量波动导致的检测误差.罗华等人提出了基于网络全局流量异常特征,检测DDoS攻击的方法,通过对全网或运营商网络中的OD(origin-destination)对(或流,或者节点)之间的流量进行测量[8],构建网络流量矩阵,基于链路中攻击流的相关性,将流量矩阵分解为异常流量空间和正常流量空间,利用异常流量的相关特征检测出攻击.Chen等人采用CAT(change-aggregation tree)机制[9]对流经同一个ISP网络中的路由器流量进行协同分析,根据路由器每个接口的流量分布情况发现流量异常,流量异常报警信号发送给CAT构建服务器,由CAT构建服务器对报警信号进行协同分析融合处理,实现对攻击的快速、准确识别.TCP协议承载了互联网中的大部分业务,并且TCP协议规定数据接收方需向数据发送方进行传输确认,因而某一网络节点或某一网段的TCP数据包数量比例在统计意义上是稳定[10],如果该比例值发生较大的变化,则认为发生了DDoS攻击.通过统计计算各子网的进出TCP包数比例,可以发现被攻击子网地址. 2060Journal of Software 软件学报 Vol.23, No.8, August 2012在骨干网层面检测DDoS攻击一直是研究的难点.Yuan等人提出了采用Cross-Correlation和Weight Vector方法分析骨干网节点流量[11],检测DDoS攻击的方法.此方法能够有效检测多种攻击,如恒速流量攻击、增速流量攻击、Pulsing攻击或TCP-Target攻击等.DDoS攻击发生时,在骨干网层面上及时发现被攻击地址对网络安全应急响应具有重要意义.基于DDoS攻击会导致流量大幅度增加的特征[12],Sekar等人提出了一种两级DDoS检测机制,能够及时发现被攻击地址.采用Snmp测量路由器接口流量,并与历史流量数据进行比对,能够发现流量的异常变化,然后利用Netflow信息,提取被攻击地址.Shrew(pulsing)DDoS利用了TCP协议重传的时间特性,根据TCP重传时间间隔,在较短时间内高速发送攻击包,消耗攻击目标缓冲区,导致大量TCP包被丢弃.TCP包依据重传规则,过一定时间后重传数据包,此时,攻击主机再次发送攻击包消耗缓冲区.利用较少的攻击流量,攻击者即可获得较好的攻击效果,且不易被检测.Chen等人提出一种Shrew DDoS攻击的识别机制[13].该方法对多个路由器流量的协同分析,计算流量采样序列的自相关序列,并利用傅里叶变换(discrete Fourier transform)将自相关序列转换为频域,由于其低频域的功率谱密度(power spectrum density)比正常流量要高,因而可以检测到shrew DDoS攻击.Sun等人也提出了一种分布式的DDoS攻击检测方法[14],利用动态Time Warping方法,能够准确地检测出Shrew DDoS攻击.1.1.2
基于同协议不同类型数据包数比例流入一个地址的流量与流出流量在无攻击情况下成一定的比例.与正常流不同,攻击主机向攻击目标发送大量数据包,攻击目标不对攻击数据包作响应或由于拥塞,响应数据包较少.MULTOPS基于这一特点[15],通过统计进出子网的数据包数检测DDoS攻击,并能够根据流量变化分布状况及时调整检测粒度,实现对攻击目标的细粒度定位.TCP SYN Flood攻击利用了TCP协议的漏洞,是最常见的DDoS攻击形式.操作系统每接收到一个TCP/ SYN包,会发送SYN-FIN回应请求,并为这个连接请求分配一个单独的内存空间,直到接收到SYN/ACK-FIN,才释放这个空间.攻击者发送大量的SYN包,并且不对SYN-FIN包作回应,以此来消耗攻击目标的内存空间.可见,攻击发生时,流入攻击主机的SYN-FIN包数和流出的SYN/ACK-FIN包数差异较大[16].对一个网段流进的SYN-FIN包和流出的SYN/ACK-FIN包数进行统计,能够有效地发现SYN Flood攻击主机.此方法能够在边界路由器上实现,在检测SYN Flood攻击的同时,实现了对攻击源定位.在上述检测方法的基础上,结合了非参数累加和(non-parametric cumulative sum)策略的检测方法能够适用于不同监测点[17],检测方法更加鲁棒,且计算开销更低.不同的DDoS攻击方式,攻击目标的返回数据包类型也不同.Backscatter方法基于这一特点[18],检测并统计全网范围内的DDoS攻击.结果表明,攻击规模和持续时间成重尾分布.DiDDem(distributed denial-of-service detection mechanism)是一个两级的分布式DDoS检测机制[19].PF(pre- filter)检测节点在其所处路由器的流量增加时,提取流量分析是否攻击发生,如果发生,则向C2(command and control)服务器报警,C2服务器对比之前的流量,结合别的C2服务器信息对报警信息进行判断,并作出控制反馈.1.1.3
基于源地址数量及分布变化为了隐藏攻击,DDoS攻击者可以降低攻击速率,使攻击流量速率接近正常访问速率,以此增加检测难度.但在DDoS攻击时,访问IP数量大幅度增加是攻击的一个明显特征[20],且此特征无法隐藏.基于这个特征,利用机器学习,结合Non-Parametric Change Detection Scheme,能够有效地检测DDoS攻击,特别是攻击源地址分布均匀的DDoS攻击.文献[21]采用新源地址出现速率作为攻击是否发生的依据,并采用了Sequential Nonparametric Change Point Detection方法改进检测精度;同时,通过访问流数量变化,实现对Flash Crowd和DDoS攻击的有效区分.伪造源地址DDoS攻击发生时,源地址的流数量熵值和目标地址流数量熵值均会发生较大变化[22].大量流汇聚导致目的地址的熵值大幅度下降,而攻击流的均匀使得源地址熵值会有所增加.通过训练出的阈值,可以检测DDoS攻击. 张永铮 等:DDoS攻击检测和控制方法2061当无攻击发生时,对某一目标地址访问的源地址分布是稳定的[23],且通常成簇.而DDoS攻击发生时,源地址的分布趋于离散.根据这一特性,Wang等人提出了通过计算相邻时间滑动窗口内数据包的相关系数,识别DDoS攻击的方法.1.1.4
基于数据包头统计信息的变化攻击时,除了包数、源地址分布异常以外,数据包头信息统计分布也与正常情况不同.攻击者可以伪造某一方面信息,如源地址采用合法用户地址,却难以伪造包头的所有信息.熵和卡方检验(chi-sequare)是两种常用的统计方法[24],能够有效地计算特征分布变化.通过这两种方法计算数据包头部信息分布,如包长、协议等,与无攻击时的计算值进行比对,可以有效地检测出攻击.此外,为了降低计算开销,可以对数据包进行采样计算.当攻击者采用较低的攻击速率隐藏攻击时,通过流量检测低速DDoS攻击,如Shrew DDoS攻击,效果不佳.但是DDoS攻击发生时,数据包头信息分布均会发生明显的改变[25].无论是高速流量攻击还是低速流量攻击,在一定的统计时隙内,攻击目标地址出现频率均会显著增加,源地址分布更加离散,攻击数据包的目的端口和源端口通常固定不变或随机变化.熵能够有效衡量流量特征的改变[26],选择源地址、目的地址、源端口、目的端口计算熵值.如果地址和端口分布比无攻击时集中,则熵值低于正常情况的熵值,反之高于正常情况的熵值,因而能够有效地检测高速和低速DDoS攻击.传统的入侵检测方法采取误用检测的思路,根据已知攻击指纹识别攻击,因而无法检测新类型攻击.针对网络层攻击,文献[27]采取了异常检测的思路,如果行为与正常行为模型偏离,则可能为攻击.构建的入侵检测系统包含了数据包头异常检测器(packet header anomaly detector,简称PHAD)和应用层异常检测器(application layer anomaly detector,简称ALAD).PHAD负责监测数据链路、网络层和传输层;ALAD负责监测传统的用户行为,如HTTP,FTP或SMTP.现有的大部分DDoS检测方法采用入侵检测的思路进行DDoS检测,出现了即使检测到攻击,也无法准确判断该过滤何种数据包的问题.文献[28]构建朴素贝叶斯分类器进行DDoS攻击检测,并设计了TCP和UDP的分类器模型,可以判断异常数据包类型.该方法的不足在于,当攻击采用正常访问进行攻击时,无法获得满意的检测效果.基于攻击时数据包长度分布异于正常情况,文献[29]提出了一个两级机制的DDoS防御系统,第1级为DDoS攻击检测,第2级为异常流识别.1.1.5
基于链路拥塞和时延测量DDoS发生时,流量往往超过路由器等网络设备的处理能力,导致端到端的时延增加,因而时延变大也是DDoS攻击的特征之一.由于监测点无法获取所有链路的时延,因而只能通过推算的方法获取无法测量的链路信息.文献[30]对网络进行端到端的测量,包括时延、包计数等,利用极大似然估计推算网络内部链路的特征分布,并采用自组织映射(SOM)神经网络对链路特征进行学习,建立起网络链路特征活动轮廓,并建立检测阈值,从而实现对异常现象的检测,并且能够将异常定位到具体的链路.Passive检测依赖于捕获的数据包及特征,在攻击发生初期,passive检测精度不高.为了避免这种不足,文献[31]提出了在SYN Flood攻击下的主动检测方法.通过测量与Source IP的时延来判断是否发生了攻击.同时,如果存在大量未完成的TCP三次握手,则很可能发生了SYN Flood攻击.但TCP半连接可能由TCP/SYN Flood攻击导致,也可能由网络拥塞导致.为了判断是否为攻击所导致,选择一些地址,发送不同的TTL包,使Router发送ICMP包来推断时延,如果时延正常,则可以判断为SYN Flood攻击.此方法在攻击开始阶段具有很好的精度,但攻击严重时效果不佳,其原因是测量时延的数据包由于拥塞,很可能被丢弃而无法返回.1.1.6
基于行为分析文献[32]采用CUSUM方法来检测攻击,对TCP SYN Flood攻击的检测仍然基于三次握手的完成情况.为了区分是伪造固定地址攻击(或采用了真实地址)、伪造子网地址攻击,还是随机伪造地址攻击,采用了Bloom Filter来统计源地址分布情况. 2062Journal of Software 软件学报 Vol.23, No.8, August 2012DDoS、蠕虫和病毒(垃圾)邮件是影响骨干网安全的3个主要因素,三者在行为模式上有明显区别:DDoS表现为多个地址向一个IP地址发送数据[33];蠕虫表现为一个IP地址向多个IP地址,通过一个或多个端口发送数据包;病毒邮件则是一个地址,通过25端口向多个IP地址发数据包.3种行为模型称为威胁兴趣关系(threats interestedness relation,简称TIR)模型,通过对源地址、目的地址、端口进行监控,构建TIR树,可识别3种攻击.DDoS攻击通常由僵尸网络发动,而蜜罐是捕获僵尸程序的重要手段.通过分析僵尸程序和僵尸网络控制者发送的命令,能够实现对DDoS攻击的提前检测,并且能够准确地获取DDoS攻击类型等信息[34].正常的TCP流与其数据往返时间RTT(round-trip time)具有极强的时间相关性,而攻击流不具备这样的特征[35].基于这一特征,可有效区分攻击流和正常流.Cheng采用谱(spectral)分析,以一个固定时隙内到达数据包数为输入,计算信号的功率谱密度(power spectral density),可以区分攻击流和合法流.攻击流由Bot程序生成,由于Bot程序不易随意改变,因而生成的攻击流比较相似,具有相同的攻击样式.基于信息论方法,计算流之间的距离,有助于识别攻击流[36].通过计算流中数据包的分布行为,能够有效区分攻击流和正常流.1.2
网络层DDoS攻击控制基于控制设备部署位置,网络层DDoS攻击控制可以分为攻击源端控制(source)、中间层控制(intermediate)、攻击末端控制(victim or end)和采用新的网络协议和网络体系结构进行控制.1.2.1
攻击源端控制在攻击源端进行控制,能够阻止攻击流进入骨干网,并且在攻击源端便于做traceback和调查攻击主机.同时,由于流量较小,边界路由器可以有足够的计算能力执行检测和控制.当攻击发生时,攻击主机发出大量的数据包,而流入数据包较少.D-WARD[37,38]基于流入流出的流量比率、连接数量、包速率等信息,将主机行为与正常行为模型进行比较,如果偏离正常行为,则认为主机可疑或者为攻击主机,对其进行流量控制.此方法的不足在于无法有效应对慢速DDoS攻击.同时,由于ISP无法从部署攻击控制设备中获益,攻击源端控制策略往往无法实施.1.2.2
中间层控制中间层控制策略可分为过滤,Traceback和Pushback3类.1.2.2.1
中间层过滤中间层过滤是指路由器基于可利用的鉴别信息,实现对数据包的过滤,或者单纯基于流量信息做限速控制. 通过数据包携带身份认证信息,是一类鉴别数据包源地址真伪的方法.PI(path identification)策略让数据包携带其所通过路径的指纹[39],被攻击目标可有效鉴别伪造数据包.相同路径的数据包应有相同的路径标识,伪造数据包虽然可以伪造源地址,但由于与真实数据包经过的路径不同,路由器所写指纹也不同,因而仍然能够识别出伪造攻击包.PI方法不需要路径上所有的路由器均为数据包写指纹,并且PI是一种轻量级的控制策略.Stackpi方法进一步发展了PI方法[40],并采用了Stack-Based标记方法和Write-Ahead策略,弥补了覆盖路由器数量不足的缺点,并且大大提高了性能.在DDoS攻击发生时,上游路由器进行流量控制也是一种常见的DDoS控制策略.在攻击发生时,被攻击目标向上游路由器发出控制指令和控制参数[41].路由器采取令牌桶方法控制流量,路由器间的流量分配采取了k级Max-Min策略,并且采取了反馈控制策略动态调整流量控制参数.骨干层上流量过滤的一个难点在于无法准确获知网络的流量大小和流量分布状况.文献[42]利用分布于全网各点的IDS检测网络局部状况,各IDS之间共享网络局部状况信息,构建全网流量状况并进行流量过滤,IDS间的合作大大提高了检测和过滤的准确性.在一定时间内流过某一链路的数据包头信息在统计上符合一定规律;而在攻击发生时,大量的伪造数据包会导致统计值发生变化.基于这一假设,Packetscore[43]利用贝叶斯分布计算数据包合法性,如果合法性计算结果大于训练出的合法性阈值,则丢弃数据包.此方法可在骨干层实现,能够有效过滤伪造地址DDoS攻击流量,但对新出现的合法流量具有较高的误报率;此外,对采用合法地址的攻击具有较高的漏报率. 包含各类专业文献、专业论文、各类资格考试、幼儿教育、小学教育、中学教育、应用写作文书、54DDoS+攻击检测和控制方法等内容。　
　文章介绍了一种 ddos 检测技术,这种检测 方法可以有效识别分布式拒绝服务攻击。 ...淘宝客推广操作基础81份文档
笑话大全集 笑话大全爆笑版 幽默笑话大全 全球冷笑话... 　DDoS攻击的检测、追踪与缓解技术_交通运输_工程科技_...由于 攻击采用的方式几乎无法与真正的合法流量区分,...TCP 全连接攻击的另一个缺点是需要 控制大量的傀儡... 　查找操作,耗费大量资源,因此,应用层 DDoS 攻击可 以只利用很低速率的攻击流 ,...针对应用层的Do攻击已经有了一些DS 研究, 但尚无比较有效、 成熟的检测方法。 ... 　主要分为使用说明,攻击实例,程序分析,防范 手段等几...它能被用于控制任意数量的 远程机器,以产生随机匿名...DDoS攻击类型及DDoS攻击... 8页 免费 深度检测DDoS... 　DDoS 攻击的深入介绍和实验操作,了解 DoS/DDoS 攻击...: UDP-FLOOD 攻击也是 DDoS 攻击的一种常见方式。...4.添加完后最好按检查状态来检测添加的主机是否有效... 　DDoS 攻击的深入介绍和实验操作,了解 DoS/DDoS 攻击...可以设置攻击时间、攻击速度 等,攻击方式是向目标机...4.添加完后最好按检查状态来检测添加的主机是否有效... 　( 2 ) 适合读者:DDOS 研究员、各大站长、网络管理员 前置知识:ASP 基本阅读...也可以利用这里方法对 FTP 进行攻击,也可以实现 TCP-FLOOD,这些都是经过测试... 　平稳布景流下的 App-DDoS 进犯检测/防护可以有以下的办法: (1)恳求速率/QoS 控制 Ranjan 等运用核算办法判别每个 HTTP 会话的反常性, 然后颠末控制 HTTP 速率... 　(3) 加深学生对专业知识的理解和操作,通过理论上的研究加强学生在实际运用中 ...所以我们只能通过其他方式来找 出一条有效的能够对 DdoS 攻击进行检测,然后防御...怎么解决ARP攻击、DDoS攻击、IP分片攻击？_百度知道
怎么解决ARP攻击、DDoS攻击、IP分片攻击？
而这些分片之间是毫无关系。他先与防火墙建立起连接，而不是正常网关的MAC地址，则会对此数据进行分片，先说正常的IP分片。总的来说，会自动废除这些连接，其原理也就是在你的网卡上面把的网关的IP地址与网关正确MAC地址绑定，然后防火墙在与我们要保护的主机建立连接，导致死机，这只是一部分,UDP，目标主机根本就无法收到确认包。但此时由于源地址是虚假的!我们防护一般是也是通过防火墙，防火墙上可以限制IP分片每秒的流量，arp攻击是能很好的防御的，就会将数据的目标MAC地址填入攻击者的MAC地址，向目标主机发起大量的虚假源地址的TCP连接请求包（SYN），或者分片的偏移量是经过调整的，并且大量消耗其CPU使用资源，就是启用大量的主机与目标机器产生TCP全连接，记录好分片的位置（也就是偏移量）然后在传输出去，系统就无法处理，直接超时：在发起TCP连接时，现在的杀毒软件都arp保护模块。IP分片攻击就是利用这点！这样攻击数据包一多。这样我们的主机会消耗大量的CPU来重组这些分片，MTU最大也就1500，一般都不会发生的，重组完成之后发现是错误的数据包而又丢弃！除了这个外还有TCP全连接攻击。因为TCP连接有个超时过程！现在说DDOS攻击，一般防御手法就是隐藏起你需要保护的服务器或者主机，并同时发送请求包（SYN+ACK），交换机上就可以开启ARP保护功能，发起者均不会直接与我们要保护的主机发生关系，你自己也可以手工添加在MDOS下arp -s 目标IP 目标MAC，达到目的主机之后通过“分片之间偏移量”重新组合成一个完成的数据包，一般在局域网内才有的，目前我们网络中数据包有一个大小的限制，这样TCP连接就建立起来。如果你的交换机是智能交换机的话，无法响应正常的数据包。这也就是传统所说的TCP半开连接攻击，正常连接时，堵塞你的网卡，当我们发送出去的数据包超过此数值，在没收到确认包时会不断的重发回复确认包ARP攻击比较傻瓜，然后崩溃。只要你局域网内的计算机保护得比较好的话。当然在windows系统上打上最新的补丁，这样其他主机的数据流量都会发送的攻击者主机上，或者是完成deny掉。先说下ARP攻击举例吧（原理网上很多，有防火墙的隔离的情况下。而且防火墙本身会监测DDOS攻击，这时其他主机发起数据连接时，你自己用的电脑发送大量的TCP。攻击者就会应用这一点，可以自己搜索下）。攻击者就可以监控到你的数据流，服务器，然后目标主机就会对这些虚假源地址回复确认并同时发送请求包！如果这种数据包一多，也就是MTU值，比如防火墙。举例来说吧，ICMP包（在这些里面数据包里头又可以衍生出多种攻击模式）！DDOS攻击很多种，TCP连接时，通俗一点。arp攻击防护的话，我们的目标主机就根本没有资源回复正常的数据包，也能控制你的数据流是否转发到网关上去，一般情况下发起ARP攻击者会冒充网关（也就是你们数据的出口）制造并发送无数条arp回应包，客户机收到后会回复确认，使你的电脑，告诉其他主机你到网关的MAC地址就是我这个攻击者的MAC地址（因为局域网内是首先靠MAC寻址的），在你发起大量的IP分片时，就是对你的服务器或者路由器。IP分片攻击，客户机会发起TCP连接请求（SYN），目标主机会回复并确认客户机的连接请求(ACK)，造成目标主机TCP连接队列溢出，自定义IP安全策略，设置“碎片检查”
其他类似问题
为您推荐：
其他1条回答
你的网络是否发生过频繁掉线的现象？你知道是什么原因吗？————ARP攻击。
你的网络是不是发生过传奇等游戏帐号被盗的现象？你知道是什么原因吗？——ARP欺骗。
你的网络是不是发生过用户QQ被盗的现象？你知道是什么原因吗？——ARP欺骗。
你的网关或各类服务器是否经常无法访问？你知道是什么原因吗？——SYNC攻击。现代社会活动越来越依赖于网络，经济利益驱使网络犯罪越来越猖獗，给企业的信息安全带来巨大危害。
你的电脑上是不是已经安装了各种各样的防火墙和杀毒软件？是不是系统变慢了，信息却没能保证安全？然而ARP攻击不同于普通意义上的病毒，也不是系统漏洞，他不是病毒，但比病毒厉害；你打补丁，或装防火墙，或安装杀毒软件都对他毫无意义。ARP攻击只能在你内部网络中进行，只要在你网络中的...
您可能关注的推广
arp攻击的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}