ddos防護原理是什么?了解ddos的防護就得知道它的攻擊原理,介紹幾種常見的ddos攻擊原理及其防護措施。
SYN Flood
原理:SYN-Flood攻擊利用TCP協(xié)議實現(xiàn)上的缺陷,通過向網(wǎng)絡服務所在端口發(fā)送大量偽造源地址的攻擊報文,造成目標服務器中的半開連接隊列被占滿,從而阻止其他合法用戶進行訪問。
防護:市面上有些防火墻具有SYN Proxy功能,一般是定每秒通過指定對象的SYN片段數(shù)的閥值,當來自相同源地址或發(fā)往相同目標地址的SYN片段數(shù),達到這些閥值,防火墻就開始截取連接請求和代理回復,并將不完全的連接請求存儲到連接隊列中,直到連接完成或請求超時。
HTTP Get
原理:主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計,和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調用,以小博大的攻擊方法。
防護:統(tǒng)計到達每個服務器每秒鐘的GET請求數(shù),如果遠遠超過正常值,就要對HTTP協(xié)議解碼,找出HTTP Get及其參數(shù)。然后,判斷某個GET請求是來自代理服務器還是惡意請求。并回應一個帶key的響應要求請求發(fā)起端作出相應的回饋。如果發(fā)起端并不響應則說明是利用工具發(fā)起的,這樣HTTP Get請求就無法到達服務器,達到防護效果。
ACK Flood
原理:ACK Flood攻擊是在TCP連接建立之后,所有的數(shù)據(jù)傳輸TCP報文都是帶有ACK標志位的,主機在接收到一個帶有ACK標志位的數(shù)據(jù)包的時候,需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在,如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法,然后再向應用層傳遞該數(shù)據(jù)包。
防護:一些防火墻建立一個hash表,用來存放TCP連接“狀態(tài)”,相對于主機的TCP stack實現(xiàn)來說,狀態(tài)檢查的過程相對簡化。
以上是域名頻道對幾種ddos攻擊原理及防護的介紹