常见的DDOS攻击

Posted 吃着空调吹西瓜

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了常见的DDOS攻击相关的知识,希望对你有一定的参考价值。

【SYN Flood攻击】

原理:

***TCP协议-三次握手***

1.客户端向服务器发送SYN报文,

2.服务器收到SYN报文以后回复一个SYN+ACK报文,表示客户端的请求被接受,ACK表示确认

3.客户端收到服务器的SYN+ACK报文,向服务器发送ACK确认报文,三次握手建立成功

攻击者向服务器发送大量的SYN报文请求,这些报文的源地址一般为不可达,当服务器回复SYN+ACK报文以后,不会收到客户端的ACK报文,导致服务器上建立大量的半链接,消耗服务器资源。

防御方法:

一、TCP代理

由防火墙来代替服务器与客户端建立TCP链接

二、TCP源嗅探

当一段时间内,去往同一地址的SYN报文超过设定的阈值以后,则启动源嗅探

防火墙会回应一个错误确认号的SYN+ACK报文,如果防火墙没有收到客户端回应的RST重传报文,则判定此报文为虚假报文,反之则为真实源,并将此IP加入白名单。

在白名单老化之前,认为此客户端发出的都是合法报文。


【UDP Flood攻击】

属于带宽类攻击,发送大量的UDP报文,字节数大且速率快。

防御方法:

一、限流

二、指纹学习

防火墙会查看UDP报文载荷中是否有大量一致的内容,来判定这个UDP报文是否异常,正常的业务报文每个是不一样的。用此来区分攻击报文和正常报文。


【DNS Flood攻击】

发送大量不存在的域名给DNS服务器解析,导致DNS服务器瘫痪

防御方法:

一、DNS源探测

防火墙收到DNS请求后,会代替DNS服务器回应该请求,并且TC位置1,要求客户端使用TCP协议发送DNS请求,如果没有收到客户端使用TCP发送的DNS请求,则判定此客户端为虚假源。PS:不是所有的客户端都支持使用TCP协议发送DNS请求


【HTTP Flood攻击】

发送大量HTTP报文,一般都包含数据库操作的URI,消耗系统资源

防御方法:

启动HTTP源探测以后,防火墙收到HTTP请求,会代替服务器回应此HTTP请求,将客户端的访问重定向到一个新的虚构URI上,接下来如果防火墙没有收到客户端访问该URI的请求,则认定此客户端为虚假源,反之则为真实源,并加入白名单,然后会继续发送一个重定向命令,再指定到用户要访问的原始URI上,客户端需要进行两次重定向。

以上是关于常见的DDOS攻击的主要内容,如果未能解决你的问题,请参考以下文章

DDOS几种常见攻击方式的原理及解决办法

怎么防御DDOS攻击

DDOS攻击的三种常见方式

技术分享 | 常见的DDoS攻击类型及防御措施

DDoS攻击之SSL Flood攻击

网络安全技术 常见的DDoS攻击方法都有哪些