常见的DDOS攻击

Posted 2021-06-10 吃着空调吹西瓜

【SYN Flood攻击】

原理：

***TCP协议-三次握手***

1.客户端向服务器发送SYN报文，

2.服务器收到SYN报文以后回复一个SYN+ACK报文，表示客户端的请求被接受，ACK表示确认

3.客户端收到服务器的SYN+ACK报文，向服务器发送ACK确认报文，三次握手建立成功

攻击者向服务器发送大量的SYN报文请求，这些报文的源地址一般为不可达，当服务器回复SYN+ACK报文以后，不会收到客户端的ACK报文，导致服务器上建立大量的半链接，消耗服务器资源。

防御方法：

一、TCP代理

由防火墙来代替服务器与客户端建立TCP链接

二、TCP源嗅探

当一段时间内，去往同一地址的SYN报文超过设定的阈值以后，则启动源嗅探

防火墙会回应一个错误确认号的SYN+ACK报文，如果防火墙没有收到客户端回应的RST重传报文，则判定此报文为虚假报文，反之则为真实源，并将此IP加入白名单。

在白名单老化之前，认为此客户端发出的都是合法报文。

【UDP Flood攻击】

属于带宽类攻击，发送大量的UDP报文，字节数大且速率快。

防御方法：

一、限流

二、指纹学习

防火墙会查看UDP报文载荷中是否有大量一致的内容，来判定这个UDP报文是否异常，正常的业务报文每个是不一样的。用此来区分攻击报文和正常报文。

【DNS Flood攻击】

发送大量不存在的域名给DNS服务器解析，导致DNS服务器瘫痪

防御方法：

一、DNS源探测

防火墙收到DNS请求后，会代替DNS服务器回应该请求，并且TC位置1，要求客户端使用TCP协议发送DNS请求，如果没有收到客户端使用TCP发送的DNS请求，则判定此客户端为虚假源。PS：不是所有的客户端都支持使用TCP协议发送DNS请求

【HTTP Flood攻击】

发送大量HTTP报文，一般都包含数据库操作的URI，消耗系统资源

防御方法：

启动HTTP源探测以后，防火墙收到HTTP请求，会代替服务器回应此HTTP请求，将客户端的访问重定向到一个新的虚构URI上，接下来如果防火墙没有收到客户端访问该URI的请求，则认定此客户端为虚假源，反之则为真实源，并加入白名单，然后会继续发送一个重定向命令，再指定到用户要访问的原始URI上，客户端需要进行两次重定向。