一分钟看破DDOS攻击,并助您快速做好安全防护!
  

新手910830 发表于 2016-5-9 09:36

一分钟看破DDOS攻击,并快速做好安全防护

DDoS攻击已经成为一种非常多见的攻击方式,其攻防技术都已经非常成熟。近几年来,DDoS攻击又演变出了更多的花样,攻击的规模也在逐渐扩大,特别是针对应用层的DDoS攻击,给用户带来了新的网络安全威胁。

那么,什么是应用层DDoS攻击?与传统的网络层DDoS攻击又有什么区别呢?


网络层DDoS攻击
网络层DDoS 攻击是利用了TCP 协议“先天”的缺陷。两台机器通信时要先进行三次握手,首先是客户机发出一个请求 (SYN) ,服务器收到该请求后,填写会话信息表 (TCB,保存在内存中)并且向客户机反馈一个回应包 (SYN-ACK) ,此时该连接处于半开连接状态,正常情况下,客户端会回应ACK包,三次握手完成。如果服务器没有收到客户机的 ACK 信息包,会隔一段时间再发送一次回应包 SYN-ACK,这样经过多次重试后,客户机还没有回应的话,服务器才会关闭会话并从 TCB 中删除。
                                                                             

QQ20160509-0@2x.png             
                                                                                       

怎么样,看出问题了吗?

如果有人想攻击服务器,很简单,攻击端收到服务器的SYN-ACK包以后,不再回应ACK包,服务器会等待一段时间才会释放TCB。攻击者控制“肉鸡”同时向服务器发起大量的请求 (SYN) ,并且本身拒绝发送 SYN-ACK 回应,服务器的 TCB 将会很快超出正常负荷,服务器无法响应正常用户的请求,最终导致业务中断。


这种利用TCP协议缺陷的DDoS攻击,可以用“简单粗暴”这个词来形容,其特征比较明显,非常容易被识别,目前针对它的防护技术也已经较为成熟。


应用层DDoS攻击
同样的,应用层协议也有着自己的不足,攻击者也正是利用了一点。应用层协议较为复杂且形式多样,应用层DDoS攻击并不具备传统攻击的特征,一般网络安全设备很难检测到,其破坏力也远大于传统的网络层DDoS攻击。

以HTTP协议为例,常见的HTTPDDoS攻击主要有两种,CC攻击和慢速攻击。

CC攻击是一种针对WEB服务器的Flood(泛洪)攻击,即HTTP Get Flood,它以消耗服务器的带宽资源为目的。攻击者操控大量“肉鸡”对服务器发送大量的HTTP Request,导致服务器带宽资源耗尽,无法响应正常用户的请求。

1.CC攻击

由于很多网站使用动态页面的技术,通常一次GET请求可能引发后台数据库的查询等动作,当HTTP Get 数量增加到一定程度时,数据库也将不堪重负,导致动态页面无法响应。从攻击手法上来看,CC攻击与传统网络层DDoS攻击类似,都是发送大量的请求,耗尽服务器带宽资源,只是二者利用的协议不同。

1.png


2.慢速攻击

另一种常见的攻击是慢速攻击,它是以消耗服务器的计算资源为目的,它并不需要“简单粗暴”的发送大量的数据包,只发送很少的数据即可给服务器造成致命的打击。


攻击者跟服务器建立连接时,先指定一个比较大的Content-Length,然后以非常低的速度发包,比如1-10s 发一个字节,服务器认为客户端要发送的内容很大,会一直处于等待状态,维持住这个连接不断开。如果攻击者的“肉鸡”持续建立这样的连接,那么服务器上可用的资源将一点一点被占满,从而导致服务器无法响应正常用户的请求。


如何防护DDoS攻击
深信服AD应用交付系列产品可防护网络层和应用层的DDoS攻击(如SYN-Flood, Smurf, SSL-Flood,CC攻击,HTTP慢速攻击等)!


QQ20160509-1@2x.png

QQ20160509-2@2x.png


为什么要在应用交付上实现DDoS攻击防护的功能呢?

应用交付通常部署于服务器的前端,需要将业务稳定、安全、高效的交付给用户。

在全代理模式下,它可以实现客户端和服务端的网络隔离,使二者不会建立网络连接。业务访问的所有流量都会先交给应用交付设备,由应用交付设备进行分发。黑客攻击的“服务器”实际上就是对外发布业务的应用交付设备,这就要求它具备一定的安全防护能力,其本身性能也非常强大,可以抵挡住DDoS泛洪攻击的大流量。


怎么样,GET到新技能么?看小伙伴们是怎么用的?

2.png



对于AD 新版本中的DDOS防护功能,您有什么想说的,欢迎跟帖!

即日起至5月31日有效跟帖即送100S~

送豆活动已结束,感谢小伙伴们的参与,100S豆已存入以下用户的账户,请查收!
帖子评论
回复者
3楼回复:长见识了。
防火墙里面有这个功能嘛? 应用DDos
952788
4楼回复:这功能AD要开启安全分析模块吗?
小huihui
5楼回复:
高大上啊,想得越来越周到了,原以为只有AF和AC上面才有防止DDOS攻击的功能,AD上面确实也需要做一个这种防护,安全方面就更加有保障了
Charles
6楼回复:确实学到新知识了,ad也可以做ddos防御这些,可能是ad接触少的缘故,现在补起,还不晚
XiaoYang
7楼回复:我的5.6没有这个功能?目前是稳定版么?要升级时候注意什么吗?
魅力长安
8楼回复:     不错 不错   AF也要继续加强啊  哈哈
小鸟
9楼回复:针对与大流量的DDOS和CC攻击 防火墙只是硬扛,建议深信服有自己的高防IP流量迁移,可以满足实际用户中的各种安全需求
tracy
10楼回复:TCP是传输层,为什么叫网络层的DDOS!
kkflsc
11楼回复:防火墙可以从数据库保护方面做一些优化!
XDC李晋
12楼回复:提建议吧,中小型企业可以自行解决小型DDOS流量,如果是大流量DDOS不建议自行解决,一个人再强大也无法抵挡一群人的攻击,如果是大流量的话,目前比较好的方法就是通过CDN来抵抗DDOS。
hksnowball
13楼回复:问一下,AD-6.4能防护ping命令的洪水攻击吗?
AD的防DDoS攻击的功能很实用,测试AD产品时,经常有客户咨询能不能防ping的洪水攻击、应用层攻击,以前不确认,或者只知道能防一部分,以后就可以放心大胆的说能防网络层到应用层的DDos攻击了。
adds
14楼回复:这个防护真不错,考虑周到贴合用户需求
peternao
15楼回复:确实很实用。AD服务器负载均衡+防DDoS
skyma
16楼回复:不错,学习了。。。
新手663083
17楼回复:之前测试负载时,用到过感觉还不错
tyjhz
18楼回复:遇上过n台肉鸡使用暴力破解密码的方式,对邮件服务器发起验证用户密码的ddos攻击。最后服务器挂掉。这种情况除了封ip外只能硬扛。但是现在人家黑客也搞云攻击,ip地址太多,封都封不过来
AlexJun
19楼回复:都是基于连接状态的分析 消耗计算资源或者网络资源造成不能提供正常服务     现在Ddos的成本极小  防火墙的性能可以保证服务器的计算资源不被消耗掉  但是无法保证网络资源不被消耗掉的  前段时间遇到的情况 客户的外网出口是500m  被20G的ddos打的网络不能正常使用了   防火墙性能也不够  
建议深信服厂家考虑结合流量迁移 这样可以做到比较完善的防护手段   
tracy
20楼回复:我理解的就是一个劲的向服务器发送请求,同一时间发送,导致服务器忙不过来,不知道该先给谁回复,导致网络有发送没有返回,中断业务。
紫色焰火
21楼回复:AF也新增这个功能比较好
杰哥哇
22楼回复:涨姿势啦
Mr·陈
23楼回复:AF的联动封锁IP不太实用,特别是在一些有大型分支的企业中,一个分支机构有几百人,实用一个公网IP访问AF上的应用,如果一个终端出现了问题,会引起整个分支机构无法使用。
新手875744
24楼回复:新手,过来学习。
阳光在线
25楼回复:防火墙好像没看这个功能。不知道是不是我有没有注意
新手104612
26楼回复:普及的很详细 学习了~
Minimal
27楼回复:已经给客户的设备升级好了,坐等黑客入网啦!
北回归线
28楼回复:我才看懂ddos攻击,我还有救吗
新手559369
29楼回复:AD 上的DDOS  不错,赞一个
woshishui
30楼回复:学习了……
zhangsx03

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2016-5-10 17:00
  

QQ20160510-1@2x.png

有DDOS防护需求的小伙伴们,别忘了将设备升级到AD6.4哦!
952788 Lv9发表于 2016-5-11 08:06
  
长见识了。
防火墙里面有这个功能嘛? 应用DDos
小huihui Lv10发表于 2016-5-11 09:51
  
这功能AD要开启安全分析模块吗?
Charles Lv9发表于 2016-5-11 10:22
  
本帖最后由 Charles 于 2016-5-11 11:30 编辑

高大上啊,想得越来越周到了,原以为只有AF和AC上面才有防止DDOS攻击的功能,AD上面确实也需要做一个这种防护,安全方面就更加有保障了
XiaoYang Lv6发表于 2016-5-11 13:46
  
确实学到新知识了,ad也可以做ddos防御这些,可能是ad接触少的缘故,现在补起,还不晚
魅力长安 Lv11发表于 2016-5-12 08:20
  
我的5.6没有这个功能
小鸟 Lv3发表于 2016-5-12 08:32
  
     不错 不错   AF也要继续加强啊  哈哈
tracy Lv2发表于 2016-5-12 09:27
  
针对与大流量的DDOS和CC攻击 防火墙只是硬扛,建议深信服有自己的高防IP流量迁移,可以满足实际用户中的各种安全需求
kkflsc Lv2发表于 2016-5-12 10:27
  
TCP是传输层,为什么叫网络层的DDOS!