找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 4453|回复: 0

[分享] 墨者安全分析:DDoS攻击的原理是什么?

[复制链接]
发表于 2018-10-24 16:52:21 | 显示全部楼层 |阅读模式 来自 中国–广东–深圳
DDoS全名是Distributed Denial of service,又称分布式拒绝服务攻击。这是一种利用TCP协议缺陷,向受害主机发送大量伪造却看似合法的网络包,从而造成网络阻塞或服务器资源耗尽,导致造成网络瘫痪或服务器系统崩溃。TCP协议的缺陷,目前没办法根除,除非重做TCP协议,但现在来看是不太可能。
QQ截图20181024151342.webp



正常情况下TCP连接需要3次握手,过程如下:

1、TCP三次握手,客户端向服务器端发起连接的时候发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。

2、服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment),夹带也发送一个SYN包给客户端,并且服务器分配资源给该连接。

3、客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。

而DDoS攻击则利用TCP三次握手的缺陷,首先会伪造大量的源IP地址,分别向服务器发送大量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP地址不会应答,而服务器端没有收到伪造的IP的回应,会有重试默认5次回应第二个SYN/ACK包,并且等待一个SYN time(一般是30秒至2分钟),如果超时就会丢弃这个连接;当攻击者大量发送这种伪造的源地址的SYN请求,服务器端将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断的对这些IP 进行SYN/ACK重试,最后就会导致服务器资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。


QQ截图20181024155626.webp

DDOS攻击可以通过反射将攻击流量放大数万倍,这么大规模的攻击靠企业自身的防护系统是无法阻挡的。DDOS攻击更可怕的地方是攻击成本极其的低,不管是经济成本还是技术成本都非常低,50块钱就可以对一个网站发动攻击,在一些在线攻击平台,不需要懂什么IT技术,直接输入你要攻击的IP地址就可以发动攻击了。

QQ截图20181015165805.webp

对抗DDOS攻击主要措施首先还是要企业提高自身的网络安全意识,尽量的升级主机服务器硬件和充足的网络带宽,安装专业抗DDOS防火墙,墨者安全高防的墨者盾全网第一款指纹识别技术防火墙,TB级防护,动态负载保护,自动过滤清洗流量,保障企业服务器的网络安全,避免企业因DDOS攻击而受到损失。


发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 需要先绑定手机号

关闭

站长推荐上一条 /1 下一条

QQ|侵权投诉|广告报价|手机版|小黑屋|西部数码代理|飘仙建站论坛 ( 豫ICP备2022021143号-1 )

GMT+8, 2024-11-23 15:57 , Processed in 0.043034 second(s), 7 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表