学习
实践
活动
工具
TVP
写文章

墨者安全分析:DDoS攻击的原理是什么?

DDoS全名是Distributed Denial of service,又称分布式拒绝服务攻击。这是一种利用TCP协议缺陷,向受害主机发送大量伪造却看似合法的网络包,从而造成网络阻塞或服务器资源耗尽,导致造成网络瘫痪或服务器系统崩溃。TCP协议的缺陷,目前没办法根除,除非重做TCP协议,但现在来看是不太可能。

正常情况下TCP连接需要3次握手,过程如下:

1、TCP三次握手,客户端向服务器端发起连接的时候发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。

2、服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment),夹带也发送一个SYN包给客户端,并且服务器分配资源给该连接。

3、客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。

而DDoS攻击则利用TCP三次握手的缺陷,首先会伪造大量的源IP地址,分别向服务器发送大量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP地址不会应答,而服务器端没有收到伪造的IP的回应,会有重试默认5次回应第二个SYN/ACK包,并且等待一个SYN time(一般是30秒至2分钟),如果超时就会丢弃这个连接;当攻击者大量发送这种伪造的源地址的SYN请求,服务器端将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断的对这些IP 进行SYN/ACK重试,最后就会导致服务器资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。

DDOS攻击可以通过反射将攻击流量放大数万倍,这么大规模的攻击靠企业自身的防护系统是无法阻挡的。DDOS攻击更可怕的地方是攻击成本极其的低,不管是经济成本还是技术成本都非常低,50块钱就可以对一个网站发动攻击,在一些在线攻击平台,不需要懂什么IT技术,直接输入你要攻击的IP地址就可以发动攻击了。

对抗DDOS攻击主要措施首先还是要企业提高自身的网络安全意识,尽量的升级主机服务器硬件和充足的网络带宽,安装专业抗DDOS防火墙,墨者安全高防的墨者盾全网第一款指纹识别技术防火墙,TB级防护,动态负载保护,自动过滤清洗流量,保障企业服务器的网络安全,避免企业因DDOS攻击而受到损失。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181024A19KUL00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券