目录
D、UDP Flood(拼资源,谁带宽大,谁就能坚持到最后)
一、攻击的方式 - 带宽消耗型
A、Ping of Death(死亡之ping)
向目标电脑发送错误封包的或恶意ping指令的攻击方式;以前的大部分电脑无法处理大于IPv4最大封包大小(65535字节)的ping封包。因此发送这样大小的ping可以令目标电脑协议栈处理流程中的内存分配超限,导致系统崩溃。
防护:该攻击已失效
B、Tear Drop(泪滴攻击)
泪滴攻击指的是向目标机器发送损坏的IP包,诸如重叠的包或过大的包载荷。借由这些手段,该攻击可以通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。
防护:
1、对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
2、网络安全设备将接收到的分片报文先放入缓存中,并根据源IP地址和目的IP地址对报文进行分组,源IP地址和目的IP地址均相同的报文归入同一组,然后对每组IP报文的相关分片信息进行检查,丢弃分片信息存在错误的报文。为了防止缓存益处,当缓存快要存满是,直接丢弃后续分片报文。
C、ICMP Flood
ICMP Flood则是向目标机器大量的发送ICMP包,从而占用大量的服务器和带宽资源。
防护:直接过滤ICMP包
D、UDP Flood(拼资源,谁带宽大,谁就能坚持到最后)
UDP类攻击中的报文源IP和源端口变化频繁,通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快
防护:
1、建立TCP连接,由TCP防御产生的白名单决定同一源的UDP报文是丢弃还是转发
2、攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
3、攻击端口为非业务端口:一个是丢弃所有UDP包,可能会误伤正常业务;一个是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。
二、攻击的方式 - 资源消耗型
A、LAND
与SYN flood类似,不过在LAND攻击包中的源地址和目标地址都是攻击对象的IP。让服务器创建空连接
防护:过滤目的和源相同的包
B、CC(挑战黑洞)
CC攻击使用【单主机虚拟多IP地址攻击、代理服务器攻击、僵尸网络攻击】向受害服务器发送大量貌似合法的请求(通常使用HTTP GET),从而造成大量的并发访问,直至服务器资源耗尽。
防护:
1.选择可靠的高防服务器,提升服务器硬件和网络带宽资源
2.网站页面静态化
3.IP屏蔽限制
4.部署高防CDN:接入高防CDN,隐藏服务器源IP,自动识别攻击流量,清洗后将正常访客流量回源到源服务器IP上,保障业务安全;
5.关闭不需要的端口和服务。
C、SYN Flood
SYN Flood攻击利用TCP协议缺陷,不和服务器进行第三次握手确认,让服务器不重试和等待
防护:
1:SYN COOKIT:对每个请求IP分配COOKIT,短时间内收到同IP的大量SYN报文则认为是攻击,之后收到该IP的请求就丢弃
2:SYN PROXY:启用代理服务器(或者防火墙代理),和客户端(不知道的)模拟真实服务器的三次握手,只有建立成功的TCP连接才会向真实服务器转发该请求
3:Safe Reset:启用代理服务器(或者防火墙代理),回应客户都的第一次握手时,发送错误的SYN-ACK包,等待客户端的RST,如果代理收到则下次该IP请求会正常放行
-----------------------------------------------------------------我是分割线--------------------------------------------------------------
看完了觉得不错就点个赞或者评论下吧,感谢!!!
如果本文哪里有误随时可以提出了,收到会尽快更正的
扫一扫
1073
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
