服务器最难防护的3大DDoS攻击
【小Y 提醒】文章部分内容来源网络,不代表本站观点!若有了解“服务器最难防护的3大DDoS攻击”等有关服务器、云主机租用、托管、配置、价格问题,请免费咨询YINGSOO客服,享受1v1贴心服务!
【主机价格】台湾200M服务器 | 香港云服务器 | 日本云服务器
【常见问答】抢票服务器工作原理,以及如何正确租用的详细解答!
你有没有想过哪种类型的DDoS攻击最难阻止?有许多不同类型的分布式拒绝服务攻击,但并非所有这些攻击都难以阻止,因此我们将DDoS保护难题的前三名放在一起。一般来说,要有效防御应用程序的合法流量遭受DDoS攻击总是很难,但是有一些攻击特别难以阻止。
一、直接僵尸网络攻击
僵尸网络是受感染的PC和/或服务器的数字,可以由攻击者从所谓的C&C服务器控制。根据僵尸网络的类型,攻击者可以使用它来执行各种不同的攻击。例如,它可用于第7层HTTP攻击,攻击者会使每个受感染的PC /服务器向受害者的网站发送HTTP GET或POST请求,直到Web服务器的资源耗尽为止。
通常,僵尸网络在攻击期间建立完整的TCP连接,这使得它们很难被阻止。它基本上是第7层DDoS,可以修改为尽可能多地对任何应用程序造成伤害,不仅仅是网站,还有游戏服务器和任何其他服务。即使机器人无法模仿目标应用程序的协议,他们仍然可以建立这么多TCP连接,使受害者的TCP / IP堆栈无法接受更多连接,因此无法响应。
通过分析来自机器人的连接并弄清楚它们发送的有效载荷如何与合法连接不同,可以减轻直接僵尸网络攻击。连接限制也可以提供帮助,但这一切都取决于僵尸网络的行为方式,每次都可能不同。通常是识别和停止直接僵尸网络DDoS的手动过程。
二、第7层 HTTP DDoS
基于HTTP的第7层攻击是一种DDoS攻击,它通过向Web服务器发送大量HTTP请求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于识别和阻止它们的模式,但是无法轻易识别的HTTP洪水。它们并不罕见,对网站管理员来说非常苛刻,因为它们不断发展以绕过常见的检测方法。
针对第7层HTTP攻击的缓解方法包括HTTP请求限制,HTTP连接限制,阻止恶意用户代理字符串以及使用Web应用程序防火墙来识别已知模式或源IP的恶意请求。
三、TCP SYN / ACK反射攻击
TCP反射DDoS攻击是指攻击者向任何类型的TCP服务发送欺骗数据包,使其看起来源自受害者的IP地址,这使得TCP服务向受害者的IP地址发送SYN / ACK数据包。例如,攻击者想要攻击的IP是1.2.3.4。为了定位它,攻击者将数据包发送到端口80上的任何随机Web服务器,其中标头是伪造的,因为Web服务器认为该数据包来自1.2.3.4,实际上它没有。这将使Web服务器将SYN / ACK发送回1.2.3.4以确认它收到了数据包。
TCP SYN / ACK反射DDoS很难阻止,因为它需要一个支持连接跟踪的状态防火墙。连接跟踪通常需要防火墙设备上的一些资源,具体取决于它必须跟踪的合法连接数。它会检查一个SYN数据包是否实际上已经发送到IP,它首先接收到SYN / ACK数据包。
另一种缓解方法是阻止攻击期间使用的源端口。在我们的示例案例中,所有SYN / ACK数据包都有源端口80,合法数据包通常没有,因此通过阻止所有数据来阻止这种攻击是安全的。源端口为80的TCP数据包。
攻击者模仿他所针对的应用程序用户的实际协议和行为越好,防护DDoS攻击就越难。有时很难发现合法和不良流量之间的差异,这使得安全专家很难制定过滤这些DDoS攻击的方法,尤其是在不影响任何合法流量的情况下。香港高防服务器,结合最先进的流量监测平台,可以最精准地识别全类型的DDoS攻击,并自动触发流量清洗过滤,并将正常流量返注回源站。本公司高防服务器可有效防护高达600Gbps以上规模的大型DDoS攻击,并提供免费压力测试,以及防御无效退款承诺。
国外 云端主机,YINGSOO国外 云端主机套餐,限时特惠,注册满减,助力企业出海,YINGSOO国外 云端主机安全,稳定,易用,弹性扩展,按需配置,3天免费试用,7x24在线支持
版权声明:本站文章来源标注为YINGSOO的内容版权均为本站所有,欢迎引用、转载,请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站,禁止在非www.yingsoo.com所属的服务器上建立镜像,否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来,仅供学习参考,不代表本站立场,如有内容涉嫌侵权,请联系alex-e#qq.com处理。
关注官方微信