SYN Flood
原理:SYN-Flood攻击利用TCP协议实现上的缺陷,通过向网络服务所在端口发送大量伪造源地址的攻击报文,造成目标主机中的半开连接队列被占满,从而阻止其他合法用户进行访问。
防护:市面上有些防火墙具有SYN Proxy功能,一般是定每秒通过指定对象的SYN片段数的阀值,当来自相同源地址或发往相同目标地址的SYN片段数,达到这些阀值,防火墙就开始截取连接请求和代理回复,并将不完全的连接请求存储到连接队列中,直到连接完成或请求超时。
HTTP Get
原理:主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用数据库的网站系统而设计,和主机建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,以小博大的攻击方法。
防护:统计到达每个主机每秒钟的GET请求数,如果远远超过正常值,就要对HTTP协议解码,找出HTTP Get及其参数。然后,判断某个GET请求是来自代理主机还是恶意请求。并回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的,这样HTTP Get请求就无法到达主机,达到防护效果。
ACK Flood
原理:ACK Flood攻击是在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。
防护:一些防火墙建立一个hash表,用来存放TCP连接“状态”,相对于主机的TCP stack实现来说,状态检查的过程相对简化。
以上是对几种ddos攻击原理及防护的介绍,想要有效预防ddos可选择的高防服务,详情请点击。
提示:现在腾讯云新人点击注册然后实名认证后,可以点此一键领取2860元代金券,然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动,一次性买多年,免得续费贵,这样就可以获得最大的优惠折扣,省钱。
版权声明:xxxxxxxxx;
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态
