常见的DDOS攻击
Posted 吃着空调吹西瓜
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常见的DDOS攻击相关的知识,希望对你有一定的参考价值。
【SYN Flood攻击】
原理:
***TCP协议-三次握手***
1.客户端向服务器发送SYN报文,
2.服务器收到SYN报文以后回复一个SYN+ACK报文,表示客户端的请求被接受,ACK表示确认
3.客户端收到服务器的SYN+ACK报文,向服务器发送ACK确认报文,三次握手建立成功
攻击者向服务器发送大量的SYN报文请求,这些报文的源地址一般为不可达,当服务器回复SYN+ACK报文以后,不会收到客户端的ACK报文,导致服务器上建立大量的半链接,消耗服务器资源。
防御方法:
一、TCP代理
由防火墙来代替服务器与客户端建立TCP链接
二、TCP源嗅探
当一段时间内,去往同一地址的SYN报文超过设定的阈值以后,则启动源嗅探
防火墙会回应一个错误确认号的SYN+ACK报文,如果防火墙没有收到客户端回应的RST重传报文,则判定此报文为虚假报文,反之则为真实源,并将此IP加入白名单。
在白名单老化之前,认为此客户端发出的都是合法报文。
【UDP Flood攻击】
属于带宽类攻击,发送大量的UDP报文,字节数大且速率快。
防御方法:
一、限流
二、指纹学习
防火墙会查看UDP报文载荷中是否有大量一致的内容,来判定这个UDP报文是否异常,正常的业务报文每个是不一样的。用此来区分攻击报文和正常报文。
【DNS Flood攻击】
发送大量不存在的域名给DNS服务器解析,导致DNS服务器瘫痪
防御方法:
一、DNS源探测
防火墙收到DNS请求后,会代替DNS服务器回应该请求,并且TC位置1,要求客户端使用TCP协议发送DNS请求,如果没有收到客户端使用TCP发送的DNS请求,则判定此客户端为虚假源。PS:不是所有的客户端都支持使用TCP协议发送DNS请求
【HTTP Flood攻击】
发送大量HTTP报文,一般都包含数据库操作的URI,消耗系统资源
防御方法:
启动HTTP源探测以后,防火墙收到HTTP请求,会代替服务器回应此HTTP请求,将客户端的访问重定向到一个新的虚构URI上,接下来如果防火墙没有收到客户端访问该URI的请求,则认定此客户端为虚假源,反之则为真实源,并加入白名单,然后会继续发送一个重定向命令,再指定到用户要访问的原始URI上,客户端需要进行两次重定向。
以上是关于常见的DDOS攻击的主要内容,如果未能解决你的问题,请参考以下文章