DDOS攻击阈值

Question

我试图理解和模拟SYN攻击。我正在使用snort发出警报。虽然我控制了测试的速率，但我想知道对于实际的攻击来说，对流量的准确估计是什么？

Answer 1

目前，TCP SYN攻击并不常见，更多关注的是通过DNS、memcache和其他UDP服务进行的UDP放大攻击。另一方面，如果您想要计算流量，您可以使用公式，IP报头(20字节)+ TCP报头(20/32)字节每包，所以很容易知道您需要发送多少数据包每秒如果您想要1GB。

您可能考虑的另一个关键方面是"IP地址欺骗“，为了避免检测攻击源，如果您想要完整的TCP连接，则容易欺骗IP/UDP数据包而不是IP/TCP。

Answer 2

我不认为这里有绝对的答案。

许多DDoS检测设备和应用程序都是这样操作的:您以位/秒和数据包/秒为单位进行基线测量，以确定设置的正常级别以及这些级别的波动程度。理想情况下，您可以在较长的时间内确定这个基线，以考虑白天/夜晚和工作日/周末的模式。然后，您可以选择一个级别，在此级别以上确定交通模式是可疑的。

另一种方法可能是测试不同级别的数据包/秒系统，以确定您的网络、应用程序或您想要保护的任何内容都受到了影响，然后您选择了一个低于此数量/秒的安全级别。