DDOS是目前應(yīng)用最為廣泛的一種攻擊手段，也是令人最為頭疼的一種攻擊方式。攻擊者會在瞬間耗盡機器的資源，使得正常的業(yè)務(wù)無法運行，網(wǎng)絡(luò)處于癱瘓狀態(tài)。有人做了一個形象的比喻，如果酒店有300間客房，惡意的消費者通過電話預(yù)定300間，僅僅是預(yù)定，但是不執(zhí)行，這就使正常的客人無法入住，嚴(yán)重影響酒店正常運營。針對該種攻擊方式，業(yè)內(nèi)推出了很多的相關(guān)產(chǎn)品，但是一直無法很好的解決，莫非DDOS真的無可防范嗎?哪里有攻擊哪里就會有防御，IDP給出了一個很好的解決方案。

　　一 DDOS的攻擊原理

　　DOS攻擊目前主要有兩種方式：帶寬攻擊和連通性攻擊。針對帶寬攻擊，就是發(fā)送大量的流量耗盡網(wǎng)絡(luò)帶寬資源，由于網(wǎng)絡(luò)管理者可以主動根據(jù)具體的網(wǎng)絡(luò)應(yīng)用，具體的用戶限制帶寬，所以帶寬攻擊的影響已經(jīng)越來越小。連通性攻擊就是通過建立連接來沖擊計算機，使得機器的資源被耗盡，達(dá)到攻擊的目的。針對該種攻擊，由于網(wǎng)絡(luò)管理者不能手動干涉連接的建立，在攻擊中就顯得很被動，很難控制該攻擊的發(fā)生，本文主要是針對連通性攻擊給出的具體的防范案例。

　　在連通性攻擊中應(yīng)用最廣泛的就是SYN Flood的攻擊，SYN Flood的攻擊者主要是利用TCP連接中的漏洞，達(dá)到其攻擊目的。如下圖所示：

　　

　　本來，正常的TCP連接是需要三次握手協(xié)議完成的，攻擊者先向目的主機發(fā)出一個SYN請求，由于目的主機不能判斷對方是否惡意，所以會回復(fù)一個SYN/ACK，這樣在目的主機就需要維護(hù)一個這樣的半連接，等待對方回復(fù)ACK后，完成整個連接的建立。攻擊者正是利用了這一點，他只發(fā)送大量的SYN報文，并不回復(fù)ACK，這樣在目的主機中就維護(hù)了大量的半連接隊列，由于主機的資源是有限的，攻擊者通過持續(xù)不斷的發(fā)送SYN報文，耗盡了目的主機的資源，使得正常的服務(wù)連接得不到建立，網(wǎng)絡(luò)處于癱瘓狀態(tài)。

　　二 IDP的解決方案

　　通過IDP的部署，可以保證TCP連接的正常建立，以此來防范那些惡意的半連接�；氐介_篇咱們舉的那個例子，如果在酒店和客戶之間有一個中間機構(gòu)，該機構(gòu)限定客戶的響應(yīng)時間，如果超過一定時間沒有響應(yīng)，則通知酒店取消預(yù)定，或者該機構(gòu)作為酒店代理，只有收到款后才跟酒店建立業(yè)務(wù)關(guān)系，這樣酒店就可以避免惡意的預(yù)定，正常運營。IDP設(shè)備就是在攻擊者和服務(wù)器之間充當(dāng)這樣的一個中間機構(gòu)。針對上述中間機構(gòu)的兩種處理方式，IDP設(shè)備也有兩種工作模式：被動模式和主動模式。

　　1.被動模式

　　IDP的被動工作模式，是指其并不參與到客戶機目標(biāo)服務(wù)器之間連接的建立，但是其會維護(hù)一個連接建立的時間表，它監(jiān)控整個連接建立過程，如果客戶機超過一定時間沒有回復(fù)ACK報文，那么IDP就向目標(biāo)服務(wù)器發(fā)送一個RESET報文，取消該連接。如圖所示：

　　

　　IDP維護(hù)的時間表會低于目標(biāo)服務(wù)器連接隊列老化時間，以此來減少目標(biāo)服務(wù)器的資源利用率。IDP可以根據(jù)每秒SYN報文的個數(shù)來決定是否應(yīng)用此策略，因為如果每秒SYN報文個個數(shù)比較少根本對目的主機構(gòu)不成威脅，也沒必要采取措施。默認(rèn)值為1000，既如果每秒SYN報文超過1000，則啟動該功能。

　　2.主動模式

　　主動模式中IDP實際參與到了連接建立的過程中，其作為主機和目標(biāo)服務(wù)器之間的一個中轉(zhuǎn)機構(gòu)，以此來確保目標(biāo)服務(wù)器只會給處于連接建立狀態(tài)的連接分配資源，阻止了非法攻擊的資源消耗。對于主機和目標(biāo)服務(wù)器來說，IDP設(shè)備是透明的，如下圖所示：

　　

　　IDP作為中轉(zhuǎn)設(shè)備，其每收到一個SYN報文，其都會回復(fù)一個SYN/ACK，對主機來說就像是目標(biāo)服務(wù)器回復(fù)的一樣，如果規(guī)定時間內(nèi)主機能夠回復(fù)ACK，那么連接就能正常建立，IDP就允許連接轉(zhuǎn)移到目標(biāo)服務(wù)器上，對目標(biāo)服務(wù)器來說，此時的IDP設(shè)備就是請求服務(wù)的主機。如果規(guī)定時間內(nèi)IDP沒有收到主機回復(fù)的ACK報文，那么IDP就會關(guān)閉該連接，目標(biāo)服務(wù)器根本不會感知到這一過程，在無聲無息中就將危險阻止于門外。

　　根據(jù)自己的網(wǎng)絡(luò)狀況，合理選擇IDP的應(yīng)用模式，相信DDOS不會再成為困擾你的問題。

標(biāo)簽： ddos 服務(wù)器 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。