ddos网页端DDoS常见的六种攻击类型如何防御

  DDOS是企业和机构目前遇到的一种网络攻击。 DDOS的目的很简单,就是计算机或网络无法提供正常的服务。 DDOS攻击可以追溯到1996年初.DDOS攻击有六种主要方式。

六种DDOS攻击方式
SYN Flood攻击
SYN Flood攻击是当前网络上最常见的DDos攻击。它也是最经典的拒绝服务攻击。它通过向网络服务所在的端口发送大量伪造源地址的半连接请求来利用TCP协议实现中的缺陷。目标服务器中的半连接队列已满,消耗CPU和内存资源,使服务器过载,阻止其他合法用户访问。早在1996年就发现了这种攻击,但它仍然显示出强大的生命力。它可以被描述为“不朽”。许多操作系统,甚至防火墙和路由器都无法有效防御此类攻击,并且因为它可以轻松伪造源地址,所以很难跟踪它们。
TCP完全连接攻击
此类攻击旨在绕过对传统防火墙的检查。一般来说,常规防火墙大多具有syn cookie或syn proxy的功能,可以有效地应对伪造的IP攻击,但适用于普通的TCP连接。但是,不知道许多网络服务程序可以接受的TCP连接的数量是有限的。一旦有大量的TCP连接,即使是正常的,网站访问也会非常慢,甚至无法访问。所谓的“激情永远是无情的”。 TCP全连接攻击是通过许多僵尸主机与受害者服务器重复建立大量TCP连接,直到服务器的内存和其他资源耗尽和拖拽,导致拒绝服务,其特点是绕过通用防火墙。保护达到攻击的目的。
TCP混乱包攻击
TCP混乱数据包攻击类似于Syn Flood攻击。它发送伪造源IP的TCP数据包,但TCP标头的TCP标志部分令人困惑。它可以是syn,ack,syn + ack,syn + rst等。一些保护设备处理错误锁定,消耗服务器CPU内存并阻止带宽,并在混淆对手时施加最终的致命一击。
UDP Flood攻击
UDP Flood是一种越来越猖獗的流量DOS攻击,原理很简单。常见的情况是使用大量UDP数据包来影响DNS服务器或Radius身份验证服务器和流式视频服务器。 100k PPS的UDP泛洪经常会破坏线路上的骨干设备,例如防火墙,导致整个网段瘫痪。由于UDP协议是无连接服务,因此在UDP FLOOD攻击中,攻击者可以发送大量欺骗源IP地址的小UDP数据包。但是,由于UDP协议是无连接的,只要提供UDP端口来提供相关服务,就可以对相关服务进行攻击。DNS Flood攻击
UDP DNS Query Flood攻击本质上是一种UDP Flood。但是,由于DNS服务器具有不可替代的关键作用,一旦服务器关闭,其影响通常很大。 UDP DNS Query Flood攻击使用的方法是向受攻击的服务器发送大量域名解析请求。通常,要解析的域名是随机生成的,或者是网络世界中不存在的域名。受攻击的DNS服务器接收域名解析。请求时,它将首先查明服务器上是否有相应的缓存。如果找不到域名且服务器无法直接解析域名,DNS服务器将递归查询域名信息到其上层DNS服务器。根据微软的统计数据,DNS服务器可以承受的动态域名查询的上限是每秒9000个请求。我们知道,每秒可以在一台PC上轻松构建成千上万的域名解析请求,足以使DNS服务器具有非常高的硬件配置,从而显示DNS服务器的漏洞。
CC攻击
挑战Collapsar(Challenge Collapsar)是一种DDOS攻击,它使用常量请求向网站发送连接以导致拒绝服务。与其他DDOS攻击相比,CC攻击是应用级别的,主要用于网站。 CC主要用于攻击页面。 CC是模拟多个用户(有多少用户是小线程)来连续访问需要大量数据操作的页面(即需要大量CPU时间),从而浪费服务器资源和CPU长度。时间为100%,在网络拥塞和正常访问中止之前,始终存在无法处理的连接。
这种攻击主要是针对ASP,JSP,PHP,CGI等脚本程序的存在而设计的,并调用MSSQL Server,MySQLServer,Oracle等数据库系统。该功能是与服务器建立正常的TCP连接,并继续执行脚本。该程序提交消耗大量数据库资源的查询,列表和其他调用,通常采用小型攻击方法。这种攻击的特点是它可以完全绕过普通的防火墙保护。很容易找到一些Proxy代理来实现攻击。缺点是处理仅具有静态页面的网站的效果将大大降低,并且一些代理将暴露攻击者的IP地址。
防御DDOS攻击的六种方法
上述六种DDOS攻击方法都有自己的特点和杀伤力,但并非不可能预防。合理使用DDoS防御技术可以减轻或减轻攻击伤害。
同步防洪技术
Syn cookie/syn代理保护技术:该技术主动响应所有syn数据包,并检测syn数据包的源IP地址是否实际存在。如果IP地址存在,则IP将响应保护设备的检测包。从而建立TCP连接。大多数国内外抗DDOS产品都使用这种技术。Safereset技术:该技术主动响应所有syn数据包。探测包故意构造错误的字段。真实IP地址将第一个数据包发送到保护设备,然后启动第二个连接以建立TCP连接。一些国外产品使用这种保护算法。
Syn重传技术:该技术利用TCP/IP协议的重传特性。当来自源IP的第一个syn数据包到达时,它将被直接丢弃并记录该状态。当源IP的第二个syn包到达时,第二个syn包到达。验证然后发布。
UDP洪水防御技术
与TCP协议不同,UDP协议是无连接状态协议,UDP应用协议非常多样化。防止UDP Flood是非常困难的。最简单的方法是不向外界打开UDP服务。
如果必须打开UDP服务,则可以根据服务UDP的最大包长度来设置UDP最大包大小,以过滤异常流量。另一种方法是建立UDP连接规则,要求所有目的地为该端口的UDP数据包,必须首先与TCP端口建立TCP连接,然后使用UDP通信。
难以导航是UDP Flood防御技术的一个特点,虽然它难以捉摸,但一旦它很复杂,效果非常好。
DNS防御技术
UDP DNS查询泛洪攻击基于UDP泛洪进行防御,服务器根据域名IP自学习结果自动响应,以减少服务器负载(使用DNS缓存)。
限制大量频繁生成的域名解析请求的源IP地址。发生攻击时,很少减少域名解析请求的源IP地址。每个源IP地址的域名解析都是有限的。请求数量。 DNS Flood防御技术可以不断调整以适应变化,以实现最佳防御。

CC防御技术
对于HTTP Get的判断,有必要计算到达每个服务器的每秒GET请求的数量。如果它远远超出正常值,则需要解码HTTP协议并找出HTTP Get及其参数(例如URL等)。然后确定GET请求是来自代理服务器还是恶意请求,并使用密钥响应响应请求,请求发起者做出相应的反馈。如果启动器没有响应,则表示该请求是由该工具启动的,因此HTTP Get请求无法到达服务器并实现保护效果。
限制连接数
目前,市场上的安全产品,包括防火墙,入侵防御,DDOS防御等产品,主要是利用限制服务器主机数量来抵御DDOS攻击的手段,这是基本伎俩。使用安全产品来限制连接主机的数量,即每秒访问次数,确保受保护的主机不会超过网络层的负载(没有CC攻击),尽管用户访问是间歇性的,但保证是protected主机始终能够处理数据消息。使用安全产品来限制客户端发起的连接数可以有效降低停机时间的攻击效果,也就是说,启动相同规模的攻击需要更多的停机时间。攻击防御可追溯源技术
CC攻击防御的可追溯性源技术是实时监控服务器访问流量,可以发现它在一定范围内波动。此时,设置服务器低压阈值,并在服务器访问流量高于低压阈值时开始记录。跟踪访问来源。另外,设置服务器高压阈值。此高压阈值表示服务器可承受的最大负载。当服务器访问流量达到或超过高压阈值时,表示发生DOS或DDOS攻击事件,并且需要实时阻止攻击。流量,此时,系统将逐个搜索被攻击服务器的攻击源列表,检查每个攻击源的访问流量,并判断突发大流量的源IP地址为DOS的攻击源攻击,这些攻击源及其连接的流量实时被阻止ddos网页端

相关推荐

发表评论

路人甲

网友评论(0)