用防火牆防止DDOS分散式阻斷服務攻擊

來源:互聯網
上載者:User

  DoS(Denial of Service拒絕服務)和DDoS(Distributed Denial of Service分散式阻斷服務)攻擊是大型網站和網路伺服器的安全威脅之一。2000年2月,Yahoo、亞馬遜、CNN被攻擊等案例,曾被刻在重大安全事件的曆史中。SYN Flood由於其攻擊效果好,已經成為目前最流行的DoS和DDoS攻擊手段。

  SYN Flood利用TCP協議缺陷,發送了大量偽造的TCP串連請求,使得被攻擊方資源耗盡,無法及時回應或處理正常的服務要求。一個正常的TCP串連需要三向交握,首先用戶端發送一個包含SYN標誌的資料包,其後伺服器返回一個SYN/ACK的應答包,表示用戶端的請求被接受,最後用戶端再返回一個確認包ACK,這樣才完成TCP串連。在伺服器端發送應答包後,如果用戶端不發出確認,伺服器會等待到逾時,期間這些半串連狀態都儲存在一個空間有限的緩衝隊列中;如果大量的SYN包發到伺服器端後沒有應答,就會使伺服器端的TCP資源迅速耗盡,導致正常的串連不能進入,甚至會導致伺服器的系統崩潰。

  防火牆通常用於保護內部網路不受外部網路的非授權訪問,它位於用戶端和伺服器之間,因此利用防火牆來阻止DoS攻擊能有效地保護內部的伺服器。針對SYN Flood,防火牆通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。

  SYN網關 防火牆收到用戶端的SYN包時,直接轉寄給伺服器;防火牆收到伺服器的SYN/ACK包後,一方面將SYN/ACK包轉寄給用戶端,另一方面以用戶端的名義給伺服器回送一個ACK包,完成TCP的三向交握,讓伺服器端由半串連狀態進入串連狀態。當用戶端真正的ACK包到達時,有資料則轉寄給伺服器,否則丟棄該包。由於伺服器能承受串連狀態要比半串連狀態高得多,所以這種方法能有效地減輕對伺服器的攻擊。

  被動式SYN網關 設定防火牆的SYN請求逾時參數,讓它遠小於伺服器的逾時期限。防火牆負責轉寄用戶端發往伺服器的SYN包,伺服器發往用戶端的SYN/ACK包、以及用戶端發往伺服器的ACK包。這樣,如果用戶端在防火牆計時器到期時還沒發送ACK包,防火牆則往伺服器發送RST包,以使伺服器從隊列中刪去該半串連。由於防火牆的逾時參數遠小於伺服器的逾時期限,因此這樣能有效防止SYN Flood攻擊。

  SYN中繼 SYN中繼防火牆在收到用戶端的SYN包後,並不向伺服器轉寄而是記錄該狀態資訊然後主動給用戶端回送SYN/ACK包,如果收到用戶端的ACK包,表明是正常訪問,由防火牆向伺服器發送SYN包並完成三向交握。這樣由防火牆做為代理來實現用戶端和伺服器端的串連,可以完全過濾不可用串連發往伺服器。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。