DDos 攻击
Dos : Deny Of Service 服务拒绝
DDos: Distributed Deny Of Service 分布式服务拒绝
以下是常见的三种攻击方式:
UDP 反射放大攻击
最容易想到的使用 UDP 协议的服务器是 DNS 服务器。而这种使用 UDP 协议的网络包有个特点,就是请求包往往很小,而返回包往往很大。通过篡改请求包信息里的源 IP,改成目标攻击 IP,就会形成 UDP 反射放大攻击。
TCP 协议攻击
TCP 连接建立过程中存在三次握手,客户端发第一个 syn 包给服务器,服务器会返回一个 syn-ack 包给客户端,并等待接受客户端的第三次 syn 以建立真正的 TCP 连接通道。而 TCP 连接攻击就会利用这个特点,控制肉机收到服务器的 syn-ack 包后,不再发出 syn 包,以至于造成服务器就一直会处于等待状态。
常见的防范手法是:
-
开启源认证
开启源认证的服务器,会维护一个接受 syn 的阈值,到达这个阈值后,开对后续 syn 请求开启源认证的白名单机制。不在这个白名单的会主动丢弃。
-
首包丢弃
服务器意识到被攻击后,开启首包丢弃,即主动丢第一个 syn 包,攻击的肉鸡不会发第 2 次 syn。
Http 协议攻击(cc 攻击)
即控制大量肉机,执行脚本发送大量 http 请求占用服务器资源。
