IDC知識(shí)庫
IDC領(lǐng)域?qū)I(yè)知識(shí)百科平臺(tái)

服務(wù)器安全ddos防護(hù)原理

ddos防護(hù)原理是什么?了解ddos的防護(hù)就得知道它的攻擊原理,介紹幾種常見的ddos攻擊原理及其防護(hù)措施。

SYN Flood

原理:SYN-Flood攻擊利用TCP協(xié)議實(shí)現(xiàn)上的缺陷,通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量偽造源地址的攻擊報(bào)文,造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿,從而阻止其他合法用戶進(jìn)行訪問。

防護(hù):市面上有些防火墻具有SYN Proxy功能,一般是定每秒通過指定對(duì)象的SYN片段數(shù)的閥值,當(dāng)來自相同源地址或發(fā)往相同目標(biāo)地址的SYN片段數(shù),達(dá)到這些閥值,防火墻就開始截取連接請(qǐng)求和代理回復(fù),并將不完全的連接請(qǐng)求存儲(chǔ)到連接隊(duì)列中,直到連接完成或請(qǐng)求超時(shí)。

服務(wù)器安全ddos防護(hù)原理

HTTP Get

原理:主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序,并調(diào)用數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì),和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用,以小博大的攻擊方法。

防護(hù):統(tǒng)計(jì)到達(dá)每個(gè)服務(wù)器每秒鐘的GET請(qǐng)求數(shù),如果遠(yuǎn)遠(yuǎn)超過正常值,就要對(duì)HTTP協(xié)議解碼,找出HTTP Get及其參數(shù)。然后,判斷某個(gè)GET請(qǐng)求是來自代理服務(wù)器還是惡意請(qǐng)求。并回應(yīng)一個(gè)帶key的響應(yīng)要求請(qǐng)求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端并不響應(yīng)則說明是利用工具發(fā)起的,這樣HTTP Get請(qǐng)求就無法到達(dá)服務(wù)器,達(dá)到防護(hù)效果。

ACK Flood

原理:ACK Flood攻擊是在TCP連接建立之后,所有的數(shù)據(jù)傳輸TCP報(bào)文都是帶有ACK標(biāo)志位的,主機(jī)在接收到一個(gè)帶有ACK標(biāo)志位的數(shù)據(jù)包的時(shí)候,需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在,如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法,然后再向應(yīng)用層傳遞該數(shù)據(jù)包。

防護(hù):一些防火墻建立一個(gè)hash表,用來存放TCP連接“狀態(tài)”,相對(duì)于主機(jī)的TCP stack實(shí)現(xiàn)來說,狀態(tài)檢查的過程相對(duì)簡(jiǎn)化。

以上是域名頻道對(duì)幾種ddos攻擊原理及防護(hù)的介紹

贊(2)
分享到: 更多 (0)

中國(guó)專業(yè)的網(wǎng)站域名及網(wǎng)站空間提供商

買域名買空間