DDoS攻击--连接耗尽-慢连接-异常报文攻击防护详解(TCP)

最新推荐文章于 2024-09-11 17:22:42 发布
最新推荐文章于 2024-09-11 17:22:42 发布
阅读量7.7k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: DDoS 网络攻击防护 计算机网络 DDoS攻击防护 文章标签: DDoS 网络攻击防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34777600/article/details/81948586
本文详细介绍了DDoS攻击中的连接耗尽、慢连接攻击及其防御原理,以及异常报文攻击的类型和防范措施。连接耗尽攻击通过大量空连接消耗服务器资源;慢连接攻击利用HTTP头部和POST请求制造延迟;异常报文攻击则通过发送错误报文导致协议栈崩溃。防御策略包括记录IP连接行为、状态检查和过滤畸形报文等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

连接耗尽攻击:

这种攻击方式也许是TCP攻击中,消耗资源最严重的攻击方式。通常黑客发起连接耗尽型的攻击的代价也比前面文章讲的攻击要高的多。 

那么让我们先来了解一下,一个TCP连接,将大致占用多少资源,通常服务器又能接受多少的连接的?下面以Linux系统为例,我们做一下简要的分析: 

在三次握手完成之后,内核会为每个连接分配相应的结构,保存TCP连接相应的控制信息,接收缓冲和发送缓冲。默认情况下占用大概10K的内存。 通常的连接耗尽攻击会发起10~ 100w的连接,大致占用100M ~ 1G的内存,也许你会觉得很少。但大量的空连接占用的不只是这些,攻击者通常还会建立后立马会fin报文结束连接。每个TCP连接都需要维护状态。不断的发起和断开,系统将不断分配和释放资源,将会大大增加系统的调度负担,同时上层应用也将在建立和断开连接上消耗大量的CPU,造成服务器不可以用。 

慢连接攻击:

例如通常的post请求都会在http头部设置content-length字段表明。请求的字节数,服务器应用通常获取到之后,会在连接上持续接收内容直到获取到指定长度的数据。黑客正是利用这个处理过程,比如:连接建立后,发送的http头指定长度content-length:10000,如何每秒发送1字节的数据。这样一样很少的连接就可能造成服务器占用严重,无法提供服务。

发展到今天,慢速攻击也多种多样,其种类可分为以下几种:

Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每30秒才向服务器发送一个HTTP头部,而Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。

Slow body:

最低0.47元/天 解锁文章

200万优质内容无限畅学
常见DDOS攻击方式与防护详解
weixin_44983560的博客
11-15 393
常见DDOS攻击方式与防护详解,包含传输层、应用层,如UDP、TCP、HTTP、DNS等发起的DDOS攻击方式与防护方法。
tcp异常报文攻击与检测原理
focus on security
12-18 2049
简介 TCP报文标志位包括: URG ACK PSH RST SYN FIN 攻击者通过发送非法TCP flag组合的报文对主机造成危害。 检测异常 检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN,如果标志位异常,则认为是TCP异常报文。内置规则将所有TCP异常报文全部丢弃,记录攻击日志。 异常检测如下: Syn option字段不完整(syn-64) 6个标志位全为1。 6个标志位全为0。 SYN和FIN位同时为1。 ...
DDoS攻击--TCP攻击概述
一只IT小小鸟
08-22 1万+
前言 TCP协议,相信对于每一个开发工程师都不陌生。由于该协议是一个面向连接,可靠的特性,广泛应用于现在互联网的应用中。如常见的web,ssh,ftp等都是基于TCP协议。目前TCP协议占全网的流量达到80%,因此这也成为黑客主要攻击的类别。 TCP报文结构 一个TCP报头的标识(code bits)字段包含6个标志位: SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN=1...
连接&LazyParser
放翁(文初)的一亩三分地
06-20 1万+
连接&LazyParserAuthor:放翁(文初)Mail:fangweng@taobao.comTblog:weibo.com/fangweng 这里要从实际的测试中给Web应用开发者一个比较直观的关于连接优化的建议。 测试目标:1.  证明连接对于Java的应用容器的影响。2.  不同前端反向代理服务器对于连接的处理差异。3.  如何利用Laz
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2961
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
连接攻击
热门推荐
qinyushuang的专栏
01-29 2万+
提起攻击,第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之,以著称,以至于有些攻击目标被打死了都不知道是怎么死的,这就是连接攻击。 slowhttptest是一款对服务器进行攻击的测试软件,包含了几种攻击方式,像Slowloris、SlowHTTP POST、Slow Read attack等。 总而言之,该工具的原理就是设法让服务器等待,当服务器在保持连接等待时,就消耗
网络设备被异常报文攻击实例浅析
qq_44005305的博客
08-29 1168
本案例主要分析网络设备OLT被异常报文攻击/内存溢出,导致OLT出现脱管情况,脱管后主控盘挂死,无法登录OLT的命令行管理系统,严重会伴有用户偶发断网等故障现象。LineTerminal)设备是互联网中常用的宽带用户接入(光电一体)网络设备,它不仅具备L2交换机或L3路由交换机功能,还具备对用户端设备ONU的控制、管理等功能。某OLT不定期每隔约1周左右就会出现脱管情况,脱管后主控盘挂死,无法登录OLT的命令行管理模式,但是现场连接串口后有无关信息打印。每次拔插主控盘进行主备倒换或重启可恢复正常。
udp洪水攻击java_Linux网络编程--洪水攻击详解
weixin_28709715的博客
02-28 805
洪水攻击详解①注解:洪水攻击(FLOOD ATTACK)是指利用计算机网络技术向目标主机发送大量无用的数据报文,使得目标主机忙于处理无用的数据报文而无法提供正常服务的网络行为。主要原理:利用了网络协议中安全机制或者直接用十分简单的ping资源的方法来对主机造成影响。攻击手段:使用畸形报文让目标机处于处理或者等待,使用原始套接字进行程序设计。分类:ICMP回显攻击,利用原始套接字发送大量回显请求或者...
DDoS攻击原理及防护方法论
05-31
攻击成本低廉,而防护成本高昂,尤其是专业抗DDoS设备价格昂贵,且追踪攻击异常困难。 #### 数据包结构解析 理解DDoS攻击原理,首先要了解网络数据包的结构。包括IP报文结构、TCP报文结构、UDP报文结构和ICMP...
python3网站攻击_Python实现DDos攻击实例详解
weixin_39532421的博客
11-20 1194
SYN 泛洪攻击SYN泛洪攻击是一种比较常用的Dos方式之一。通过发送大量伪造的 TCP 连接请求,使被攻击主机资源耗尽(通常是 CPU 满负荷或内存不足)的攻击方式我们都知道建立 TCP 连接需要三次握手。正常情况下客户端首先向服务器端发送SYN报文,随后服务端返回以SYN+ACK报文,最后客户端向服务端发送ACK报文完成三次握手而SYN泛洪攻击则是客户端向服务器发送SYN报文之后就不再响应服务...
java nio 如何处理速的连接
iteye_7425的博客
10-04 193
java nio 如何处理速的连接 对企业级的服务器软件,高性能和可扩展性是基本的要求。除此之外,还应该有应对各种不同环境的能力。例如,一个好的服务器软件不应该假设所有的客户端都有很快的处理能力和很好的网络环境。如果一个客户端的运行速度很,或者网络速度很,这就意味着整个请求的时间变长。而对于服务器来说,这就意味着这个客户端的请求将占用更长的时间。这个时间的延迟不是由服务器造成的,因此C...
对于连接攻击你是否也深受其害?防御DDoS你知道哪些方式呢?
blublu7080的博客
01-28 456
我们需要先了解一些DDoS攻击类型,这样才能方便我们对症下药,选择合适的防御DDoS方案。DDoS攻击作为当前一种最常见的网络攻击方式,导致很多企业用户的网站业务或主机服务器深受其害,成为了云计算服务、IDC、游戏、电商等多个行业的“公敌”。 分布式拒绝服务攻击DDoS攻击)里就有一种特殊类型的攻击,他们以为特点,这就是连接攻击,对付这种攻击就需要特别的防御DDoS手段。连接攻击主要分为三种:Slow read攻击、Slow headers攻击、Slow body攻击。 Slow read攻
连接***的原理和防范
weixin_33849942的博客
04-21 190
所谓的***就是相对于ddos而言的,大家都知道ddos,海量的数据包从各个地方蜂拥而来,把服务器打死,但有时候连接***也能达到这个效果,在http协议当中最基本的过程是:1客户端连接一个主机2服务器接收连接3客户端请求一个文件4服务器发送一个应答它的原理就是让服务器等待先于目标服务器建立连接,再服务器再保持连接等待的时候就消耗了资源,在kalilinux...
畸形报文单包攻击检测防御原理
小王的储物间
07-22 641
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
HTTP连接攻击的原理和防范措施
最新发布
m0_66326520的博客
09-11 1805
HTTP攻击(Slowloris Attack)是一种利用HTTP协议特性进行的攻击方式。攻击者通过发送大量的半开连接请求到目标服务器,每个连接请求只发送少量的数据,并长时间保持连接不断开。这样,攻击者可以逐渐占满服务器的连接资源,导致服务器无法处理正常的请求,从而造成拒绝服务(DoS)或分布式拒绝服务(DDoS)的效果。由于这种攻击方式发送的请求都是合法的,因此很难被传统的防火墙或入侵检测系统所识别。同时,攻击还可以与其他攻击方式相结合,形成更为复杂的攻击链,进一步提高攻击的成功率和隐蔽性。
连接攻击是什么,如何进行防御
HoewDec的博客
01-17 532
攻击者通过建立大量的连接,使得服务器需要花费大量的时间和资源来处理这些连接,从而导致正常的用户请求被阻塞或延迟。连接攻击是一种独特的网络攻击方式,它利用了网络延迟和资源消耗的特性,通过故意减连接速度来耗尽目标资源,从而达到攻击的目的。在面对连接攻击时,SCDN能够检测到攻击流量,并采取相应的防御措施,如清洗恶意流量、阻断恶意请求等,从而保护内容服务器的稳定运行。通过加速内容传输、隐藏源站、提供安全防护和负载均衡等手段,SCDN可以降低连接攻击的影响,保护内容服务的可用性和稳定性。
遭受连接攻击怎么办?怎么预防
dexunjiaqiang的博客
01-13 619
连接攻击是一种常见的网络攻击方式,其原理是利用HTTP协议的特性,在建立了与Http服务器的连接后,尽量长时间保持该连接,不释放,达到对Http服务器的攻击。2.拒绝服务:连接攻击通过大量占用服务器资源,导致服务器无法处理正常请求,从而造成拒绝服务攻击的效果。通过设置合适的请求超时时间,可以及时断开长时间无操作的连接,避免被连接攻击利用。通过优化服务器配置,可以提高服务器的性能和响应速度,减少被连接攻击的可能性。通过教育和宣传,提高用户的安全意识,可以减少被攻击的可能性。
解决SSH连接
zsycsnd的博客
10-31 399
1、解决ssh连接 (1)、编辑sshd配置文件 vim /etc/ssh/sshd_config UseDNS yes ----> UseDNS no GSSAPIAuthentication yes ----> GSSAPIAuthentication no (2)、重启sshd服务 systemctl restart sshd ...
DDoS攻击详解防护策略
当遭受DDoS攻击时,目标系统通常会出现以下现象:网络流量异常增加,服务器响应速度减或直接崩溃,正常用户的请求无法得到处理,严重时可能导致整个服务完全中断。对此,防御DDoS攻击需要多方面的策略,包括但不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值