根据针对的协议类型和攻击方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。
可以通过请求的频率拦截DDOS攻击,正常的请求不会出现一秒钟几千上万次的访问,设置阈值拦截范围外的请求。抗D设备具有自学习模式,通过一段时间学习正常访问,能够生成适用当前网络的策略。
针对SYNFlood攻击防御有syn代理和首包丢弃技术。
SYNFlood是利用TCP协议缺陷,发送大量伪造的TCP连接请求(SYN报文),被攻击方在收到攻击方SYN报文回复SYN-ACK报文,但是伪造的SYN报文一般源IP地址不存在或不可达,导致被攻击方为维护数以万计的SYN_RCVD状态(半开放状态)连接而消耗巨大的资源,产生频繁的超时重传动作,使得正常的连接请求无法建立,甚至于被攻击方的CPU资源被耗尽,服务器处于瘫痪状态。
首包丢弃利用攻击包只发第一个syn包,不会重传的特性,将收到的第一个syn包丢弃,如果是正常连接,没有收到ack会重新发送syn请求,从第二个syn请求开始建立连接。
syn代理是由抗D设备与攻击者/访问者之间建立会话,由设备回复SYN-ACK报文,攻击包不会回应SYN-ACK,关闭会话。
网友评论