ddos防护原理

ddos防护原理是什么?了解ddos的防护就得知道它的攻击原理,介绍几种常见的ddos攻击原理及其防护措施。

SYN Flood

原理:SYN-Flood攻击利用TCP协议实现上的缺陷,通过向网络服务所在端口发送大量伪造源地址的攻击报文,造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。

防护:市面上有些防火墙具有SYN Proxy功能,一般是定每秒通过指定对象的SYN片段数的阀值,当来自相同源地址或发往相同目标地址的SYN片段数,达到这些阀值,防火墙就开始截取连接请求和代理回复,并将不完全的连接请求存储到连接队列中,直到连接完成或请求超时。

HTTP Get

原理:主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用数据库的网站系统而设计,和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,以小博大的攻击方法。

防护:统计到达每个服务器每秒钟的GET请求数,如果远远超过正常值,就要对HTTP协议解码,找出HTTP Get及其参数。然后,判断某个GET请求是来自代理服务器还是恶意请求。并回应一个带key的响应要求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的,这样HTTP Get请求就无法到达服务器,达到防护效果。

ACK Flood

原理:ACK Flood攻击是在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。

防护:一些防火墙建立一个hash表,用来存放TCP连接“状态”,相对于主机的TCP stack实现来说,状态检查的过程相对简化。

以上是西部数码对几种ddos攻击原理及防护的介绍,想要有效预防ddos可选择西部数码的高防服务,详情请点击西部数码ddos高防

赞(0)
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:fanjiao@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码知识库 » ddos防护原理

登录

找回密码

注册