网站安全防护

服务咨询热线:

17202014336

ddos防护,高防服务器

大规模DDOS攻击,该如何防御?

当前位置: 首页> 安全研究> 大规模DDOS攻击,该如何防御?
时间:2021-07-31

  DDOS的产生:最早可以追溯到1996年的最初,2002年中国开始频繁出现,2003年ddos防护开始形成。此后,由于宽带的普及,许多网站开始盈利,其中许多非法网站利润巨大,造成同行之间互相攻击,还有一部分利用网络攻击进行勒索。与此同时,windows平台出现大量漏洞,流氓软件,病毒,木马大量充斥网络,有些技术人员可轻易非法入侵控制大量个人电脑,发起DDoS攻击从中获利。


  黑客攻击已成为互联网上最直接的竞争方式,而且收益极高,受利益驱动,已演变成非常完善的产业链。将木马病毒注入大型网站的网页后,木马病毒可以通过windows平台的漏洞感染浏览网站,一旦中了木马,这台电脑就会被后台人员控制,这台电脑就成为了所谓的肉鸡,每天都有人专门收集肉鸡,然后以几毛到一块的价格卖掉,因为利益需要攻击的人就会买下,遥控这些肉鸡来攻击高防服务器

ddos防护
  DDOS的几种主要攻击类型。


  SYN变种攻击。


  SYN数据包,伪造源IP,但包不是64字节,而是上千字节这种攻击会导致一些防火墙处理错误锁定,消耗服务器CPU内存,同时也会阻塞带宽。混乱的TCP包攻击。


  发送虚假的源IP。


  TCP包,TCP头的TCPFlags部分混乱的可能是syn,ack,syn+ack,syn+rst等,造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。


  以UDP协议进行攻击。


  许多聊天室,视频音频软件,都是通过UDP数据包进行传输的,攻击者针对分析要攻击的网络软件协议,发送与普通数据相同的数据包,这种攻击很难防范,一般防护墙通过拦截攻击数据包的特征码防护,但这样会导致正常的数据包被拦截。


  当大量鸡群同时连接到网站时,导致网站无法处理瘫痪,这种攻击与正常访问网站相同,仅仅是瞬间访问量增加几十倍甚至数百倍,有些防火墙可以通过限制每个连接过来的IP连接数来保护每个连接,但这样会导致正常用户稍微打开几个网站也会被封住,针对WEBServer的变种攻击。


  由于不断地发送一些特殊GET访问请求,通过控制大量连接来访问网站,不间断地发送一些特殊的GET访问请求,导致网站数据库或某些页面消耗大量CPU资源,因此限制每个连接的IP连接数就会失效,因为每个肉鸡可能只建立一个或只建立少量连接。这类攻击很难保护,下面就为大家介绍一下防火墙。


  对WEBServer的变种攻击。


  在不发送GET请求的情况下,大多数防火墙分析攻击包的前三个字节是GET字符,而不发送GET请求,大多数防火墙分析攻击包的前三个字节是GET字符,然后进行http协议分析,这种攻击,不发送GET请求就能绕过防火墙到达服务器,一般服务器共享带宽不会超过10M。


  这样大量的鸡肋攻击数据包会把这台服务器的共享带宽阻塞而导致服务器瘫痪,这种攻击也很难防范,因为如果只是简单地截获客户端发过来没有GET字符的包,会错误地封锁许多正常数据包造成正常用户无法访问,后面给大家介绍防火墙针对游戏服务器的攻击。


  由于游戏服务器的数量很多,这里介绍的最早也是最具影响力的游戏,传奇游戏分为登陆注册端口7000,角色选择端口7100,游戏运行端口7200,7300,7400,等等,因为游戏本身的协议设计非常复杂,所以游戏本身的协议也会有很多不同的类型,比如,登录、建立角色、角色选择端口7100,以及游戏运行端口7200,7300,7400等等。上面提到的一些最常见的攻击也是较难防御的攻击。通常基于包过滤的防火墙只能分析每一个数据包,或者分析数据连接所建立的有限状态,对SYN进行保护,或变种SYN,ACK攻击效果不错,但不能从根本上分析tcp,udp协议,以及对应用层的协议,如http,游戏协议,软件视频音频协议,现在新的攻击越来越多的攻击是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据,或者模拟正常的数据流,单从数据包的角度分析每个数据包中有什么新的攻击,ACK攻击越来越多的是针对应用层协议漏洞,或者是模拟正常的数据流,单从数据包层面,分析每个数据包都有新的攻击。


  SYN攻击解析。


  SYN攻击是DOS的一种,它利用TCP协议的缺陷,通过发送大量的半连接请求来消耗CPU和内存资源。TCP协议在建立连接时需要双方对信息进行确认,防止虚假连接和精确控制整个数据传输过程中的数据的完整性和有效性。因此TCP协议采用三次握手来建立连接。


  在建立连接时,客户机向服务器发送syn包,然后进入SYN_SEND状态,等待服务器确认;


  二次握手:服务器接收到syn包后,必须确认客户的SYN同时也发送SYN包即SYN+ACK包,此时服务器进入SYN_RECV状态;


  三次握手:客户端接收服务器的SYN+ACK包,向服务器发送确认包ACK此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。


  SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN数据包,也就是伪造第一次握手数据包,服务器每收到一个SYN包就会为该连接信息分配核心内存,放入半连接队列,如果短时间内接收的SYN过多,服务器就会溢出,操作系统每接收一个SYN数据包就会溢出,操作系统会将此连接信息丢弃而导致无法连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接会被服务器丢弃,每一种半连接队列的大小都不一样,因此抵抗SYN攻击的能力不一样。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的官网新闻!

上一篇:面对网络攻击企业应如何进行保护? 下一篇:购买DDoS高防服务需要考虑哪些主要因素?
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测