飘仙建站论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1311|回复: 0

[分享] 墨者安全分析:DDoS攻击的原理是什么?

[复制链接] |关注本帖
     
发表于 2018-10-24 16:52:21 | 显示全部楼层 |阅读模式
DDoS全名是Distributed Denial of service,又称分布式拒绝服务攻击。这是一种利用TCP协议缺陷,向受害主机发送大量伪造却看似合法的网络包,从而造成网络阻塞或服务器资源耗尽,导致造成网络瘫痪或服务器系统崩溃。TCP协议的缺陷,目前没办法根除,除非重做TCP协议,但现在来看是不太可能。
QQ截图20181024151342.jpg



正常情况下TCP连接需要3次握手,过程如下:

1、TCP三次握手,客户端向服务器端发起连接的时候发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。

2、服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment),夹带也发送一个SYN包给客户端,并且服务器分配资源给该连接。

3、客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。

而DDoS攻击则利用TCP三次握手的缺陷,首先会伪造大量的源IP地址,分别向服务器发送大量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP地址不会应答,而服务器端没有收到伪造的IP的回应,会有重试默认5次回应第二个SYN/ACK包,并且等待一个SYN time(一般是30秒至2分钟),如果超时就会丢弃这个连接;当攻击者大量发送这种伪造的源地址的SYN请求,服务器端将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断的对这些IP 进行SYN/ACK重试,最后就会导致服务器资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。


QQ截图20181024155626.jpg

DDOS攻击可以通过反射将攻击流量放大数万倍,这么大规模的攻击靠企业自身的防护系统是无法阻挡的。DDOS攻击更可怕的地方是攻击成本极其的低,不管是经济成本还是技术成本都非常低,50块钱就可以对一个网站发动攻击,在一些在线攻击平台,不需要懂什么IT技术,直接输入你要攻击的IP地址就可以发动攻击了。

QQ截图20181015165805.png

对抗DDOS攻击主要措施首先还是要企业提高自身的网络安全意识,尽量的升级主机服务器硬件和充足的网络带宽,安装专业抗DDOS防火墙,墨者安全高防的墨者盾全网第一款指纹识别技术防火墙,TB级防护,动态负载保护,自动过滤清洗流量,保障企业服务器的网络安全,避免企业因DDOS攻击而受到损失。


发帖求助前要善用论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /3 下一条

飘仙建站论坛创建于2010/10/01,您看到的内容均为会员发表,并不代表飘仙建站论坛立场,转载时请注明作者和出处!

拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!

咨询/投诉建议 联系:QQ 858001217 邮箱:admin@piaoxian.net

QQ|小黑屋|手机版|西部数码代理|( 豫ICP备08106178号-2 )  

GMT+8, 2018-11-21 06:16 , Processed in 0.171875 second(s), 38 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表