DDoS全名是Distributed Denial of service,又称分布式拒绝服务攻击。这是一种利用TCP协议缺陷,向受害主机发送大量伪造却看似合法的网络包,从而造成网络阻塞或服务器资源耗尽,导致造成网络瘫痪或服务器系统崩溃。TCP协议的缺陷,目前没办法根除,除非重做TCP协议,但现在来看是不太可能。
正常情况下TCP连接需要3次握手,过程如下:
1、TCP三次握手,客户端向服务器端发起连接的时候发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号。
2、服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment),夹带也发送一个SYN包给客户端,并且服务器分配资源给该连接。
3、客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
而DDoS攻击则利用TCP三次握手的缺陷,首先会伪造大量的源IP地址,分别向服务器发送大量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP地址不会应答,而服务器端没有收到伪造的IP的回应,会有重试默认5次回应第二个SYN/ACK包,并且等待一个SYN time(一般是30秒至2分钟),如果超时就会丢弃这个连接;当攻击者大量发送这种伪造的源地址的SYN请求,服务器端将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断的对这些IP 进行SYN/ACK重试,最后就会导致服务器资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。
DDOS攻击可以通过反射将攻击流量放大数万倍,这么大规模的攻击靠企业自身的防护系统是无法阻挡的。DDOS攻击更可怕的地方是攻击成本极其的低,不管是经济成本还是技术成本都非常低,50块钱就可以对一个网站发动攻击,在一些在线攻击平台,不需要懂什么IT技术,直接输入你要攻击的IP地址就可以发动攻击了。
对抗DDOS攻击主要措施首先还是要企业提高自身的网络安全意识,尽量的升级主机服务器硬件和充足的网络带宽,安装专业抗DDOS防火墙,墨者安全高防的墨者盾全网第一款指纹识别技术防火墙,TB级防护,动态负载保护,自动过滤清洗流量,保障企业服务器的网络安全,避免企业因DDOS攻击而受到损失。
领取专属 10元无门槛券
私享最新 技术干货