服務器安全ddos防護原理

ddos防護原理是什么？了解ddos的防護就得知道它的攻擊原理，介紹幾種常見的ddos攻擊原理及其防護措施。

SYN Flood

原理：SYN-Flood攻擊利用TCP協(xié)議實現(xiàn)上的缺陷，通過向網(wǎng)絡服務所在端口發(fā)送大量偽造源地址的攻擊報文，造成目標服務器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。

防護：市面上有些防火墻具有SYN Proxy功能，一般是定每秒通過指定對象的SYN片段數(shù)的閥值，當來自相同源地址或發(fā)往相同目標地址的SYN片段數(shù)，達到這些閥值，防火墻就開始截取連接請求和代理回復，并將不完全的連接請求存儲到連接隊列中，直到連接完成或請求超時。

HTTP Get

原理：主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計，和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，以小博大的攻擊方法。

防護：統(tǒng)計到達每個服務器每秒鐘的GET請求數(shù)，如果遠遠超過正常值，就要對HTTP協(xié)議解碼，找出HTTP Get及其參數(shù)。然后，判斷某個GET請求是來自代理服務器還是惡意請求。并回應一個帶key的響應要求請求發(fā)起端作出相應的回饋。如果發(fā)起端并不響應則說明是利用工具發(fā)起的，這樣HTTP Get請求就無法到達服務器，達到防護效果。

ACK Flood

原理：ACK Flood攻擊是在TCP連接建立之后，所有的數(shù)據(jù)傳輸TCP報文都是帶有ACK標志位的，主機在接收到一個帶有ACK標志位的數(shù)據(jù)包的時候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應用層傳遞該數(shù)據(jù)包。

防護：一些防火墻建立一個hash表，用來存放TCP連接“狀態(tài)”，相對于主機的TCP stack實現(xiàn)來說，狀態(tài)檢查的過程相對簡化。

以上是域名頻道對幾種ddos攻擊原理及防護的介紹