你有沒有想過哪種類型的DDoS攻擊最難阻止?有許多不同類型的分布式拒絕服務攻擊,但并非所有這些攻擊都難以阻止,因此我們將DDoS保護難題的前三名放在一起。一般來說,要有效防御應用程序的合法流量遭受DDoS攻擊總是很難,但是有一些攻擊特別難以阻止。
一、直接僵尸網絡攻擊
僵尸網絡是受感染的PC和/或服務器的數字(范圍從10到100,000+),可以由攻擊者從所謂的C&C(命令和控制)服務器控制。根據僵尸網絡的類型,攻擊者可以使用它來執行各種不同的攻擊。例如,它可用于第7層HTTP攻擊,攻擊者會使每個受感染的PC /服務器向受害者的網站發送HTTP GET或POST請求,直到Web服務器的資源耗盡為止。
通常,僵尸網絡在攻擊期間建立完整的TCP連接,這使得它們很難被阻止。它基本上是第7層DDoS,可以修改為盡可能多地對任何應用程序造成傷害,不僅僅是網站,還有游戲服務器和任何其他服務。即使機器人無法模仿目標應用程序的協議,他們仍然可以建立這么多TCP連接,使受害者的TCP / IP堆棧無法接受更多連接,因此無法響應。
通過分析來自機器人的連接并弄清楚它們發送的有效載荷如何與合法連接不同,可以減輕直接僵尸網絡攻擊。連接限制也可以提供幫助,但這一切都取決于僵尸網絡的行為方式,每次都可能不同。通常是識別和停止直接僵尸網絡DDoS的手動過程。
二、第7層 HTTP DDoS
基于HTTP的第7層攻擊(例如HTTP GET或HTTP POST)是一種DDoS攻擊,它通過向Web服務器發送大量HTTP請求來模仿網站訪問者以耗盡其資源。雖然其中一些攻擊具有可用于識別和阻止它們的模式,但是無法輕易識別的HTTP洪水。它們并不罕見,對網站管理員來說非??量?,因為它們不斷發展以繞過常見的檢測方法。
針對第7層HTTP攻擊的緩解方法包括HTTP請求限制,HTTP連接限制,阻止惡意用戶代理字符串以及使用Web應用程序防火墻(WAF)來識別已知模式或源IP的惡意請求。
三、TCP SYN / ACK反射攻擊(DrDoS)
TCP反射DDoS攻擊是指攻擊者向任何類型的TCP服務發送欺騙數據包,使其看起來源自受害者的IP地址,這使得TCP服務向受害者的IP地址發送SYN / ACK數據包。例如,攻擊者想要攻擊的IP是1.2.3.4。為了定位它,攻擊者將數據包發送到端口80上的任何隨機Web服務器,其中標頭是偽造的,因為Web服務器認為該數據包來自1.2.3.4,實際上它沒有。這將使Web服務器將SYN / ACK發送回1.2.3.4以確認它收到了數據包。
TCP SYN / ACK反射DDoS很難阻止,因為它需要一個支持連接跟蹤的狀態防火墻。連接跟蹤通常需要防火墻設備上的一些資源,具體取決于它必須跟蹤的合法連接數。它會檢查一個SYN數據包是否實際上已經發送到IP,它首先接收到SYN / ACK數據包。
另一種緩解方法是阻止攻擊期間使用的源端口。在我們的示例案例中,所有SYN / ACK數據包都有源端口80,合法數據包通常沒有(除非在受害者的計算機上運行代理),因此通過阻止所有數據來阻止這種攻擊是安全的。源端口為80的TCP數據包。
河南億恩科技股份有限公司(www.endtimedelusion.com)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900