服務(wù)器安全ddos防護(hù)原理

ddos防護(hù)原理是什么？了解ddos的防護(hù)就得知道它的攻擊原理，介紹幾種常見的ddos攻擊原理及其防護(hù)措施。

SYN Flood

原理：SYN-Flood攻擊利用TCP協(xié)議實(shí)現(xiàn)上的缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量偽造源地址的攻擊報(bào)文，造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。

防護(hù)：市面上有些防火墻具有SYN Proxy功能，一般是定每秒通過指定對(duì)象的SYN片段數(shù)的閥值，當(dāng)來自相同源地址或發(fā)往相同目標(biāo)地址的SYN片段數(shù)，達(dá)到這些閥值，防火墻就開始截取連接請(qǐng)求和代理回復(fù)，并將不完全的連接請(qǐng)求存儲(chǔ)到連接隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。

HTTP Get

原理：主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)，和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用，以小博大的攻擊方法。

防護(hù)：統(tǒng)計(jì)到達(dá)每個(gè)服務(wù)器每秒鐘的GET請(qǐng)求數(shù)，如果遠(yuǎn)遠(yuǎn)超過正常值，就要對(duì)HTTP協(xié)議解碼，找出HTTP Get及其參數(shù)。然后，判斷某個(gè)GET請(qǐng)求是來自代理服務(wù)器還是惡意請(qǐng)求。并回應(yīng)一個(gè)帶key的響應(yīng)要求請(qǐng)求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端并不響應(yīng)則說明是利用工具發(fā)起的，這樣HTTP Get請(qǐng)求就無法到達(dá)服務(wù)器，達(dá)到防護(hù)效果。

ACK Flood

原理：ACK Flood攻擊是在TCP連接建立之后，所有的數(shù)據(jù)傳輸TCP報(bào)文都是帶有ACK標(biāo)志位的，主機(jī)在接收到一個(gè)帶有ACK標(biāo)志位的數(shù)據(jù)包的時(shí)候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。

防護(hù)：一些防火墻建立一個(gè)hash表，用來存放TCP連接“狀態(tài)”，相對(duì)于主機(jī)的TCP stack實(shí)現(xiàn)來說，狀態(tài)檢查的過程相對(duì)簡(jiǎn)化。

以上是域名頻道對(duì)幾種ddos攻擊原理及防護(hù)的介紹