SYN Flood
原理:SYN-Flood攻击利用TCP协议实现上的缺陷,通过向网络服务所在端口发送大量伪造源地址的攻击报文,造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
防护:市面上有些防火墙具有SYN Proxy功能,一般是定每秒通过指定对象的SYN片段数的阀值,当来自相同源地址或发往相同目标地址的SYN片段数,达到这些阀值,防火墙就开始截取连接请求和代理回复,并将不完全的连接请求存储到连接队列中,直到连接完成或请求超时。
HTTP Get
原理:主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用数据库的网站系统而设计,和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,以小博大的攻击方法。
防护:统计到达每个服务器每秒钟的GET请求数,如果远远超过正常值,就要对HTTP协议解码,找出HTTP Get及其参数。然后,判断某个GET请求是来自代理服务器还是恶意请求。并回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的,这样HTTP Get请求就无法到达服务器,达到防护效果。
ACK Flood
原理:ACK Flood攻击是在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。
防护:一些防火墙建立一个hash表,用来存放TCP连接“状态”,相对于主机的TCP stack实现来说,状态检查的过程相对简化。
以上是对几种ddos攻击原理及防护的介绍,想要有效预防ddos可选择的高防服务,详情请点击。
注意:现在服务器报价出炉,价格很低
1、腾讯云:限时 2860 元无门槛优惠券:点击一键领取。
2、腾讯云最新活动,3年/5年服务器限时抢购:点击前往。
3、阿里云:限时 2000 元无门槛优惠券:点击一键领取。
