DDOS攻击和防御
DDOS攻击方式
- 最简单的方式:控制很多台机器不断访问目标站点,或者不断发送请求,如果访问的流量足够大,把目标站点拖垮了,那么它就拒绝服务了。显然这种方法不经济不实惠,消耗对方多少带宽,自己就需要多少带宽。这种方法是可行但是太傻以至于通常不会这样做。我们需要的是消耗自己一点资源,就能消耗对方大量资源的方法。
- 最经典的方法——SYN Flood攻击:利用TCP协议的三次握手,客户端只发送SYN,而不回复ACK,这样就会在服务端维护大量的半连接,直到服务端的资源消耗殆尽,无法处理新的连接请求。但可能会因为超时被释放掉。
- TCP全连接攻击:不断建立正常的连接,维持每个连接不让其释放,当连接数足够多的时候,服务器就会崩溃。需要发送一些心跳数据来维持连接的健康状态,保证不会被释放。
DDOS防御方式
- 关闭不必要的服务
- 限制同时打开的SYN半连接数目和超时时间
- 正确设置防火墙
- 获取而已请求的特征比如ip段或User agent,refer验证。
- 利用CDN等手段进行带宽扩容
网友评论