一分钟看破DDOS攻击,并助您快速做好安全防护!
  

新手910830 166291人觉得有帮助

{{ttag.title}}
一分钟看破DDOS攻击,并快速做好安全防护

DDoS攻击已经成为一种非常多见的攻击方式,其攻防技术都已经非常成熟。近几年来,DDoS攻击又演变出了更多的花样,攻击的规模也在逐渐扩大,特别是针对应用层的DDoS攻击,给用户带来了新的网络安全威胁。

那么,什么是应用层DDoS攻击?与传统的网络层DDoS攻击又有什么区别呢?


网络层DDoS攻击
网络层DDoS 攻击是利用了TCP 协议“先天”的缺陷。两台机器通信时要先进行三次握手,首先是客户机发出一个请求 (SYN) ,服务器收到该请求后,填写会话信息表 (TCB,保存在内存中)并且向客户机反馈一个回应包 (SYN-ACK) ,此时该连接处于半开连接状态,正常情况下,客户端会回应ACK包,三次握手完成。如果服务器没有收到客户机的 ACK 信息包,会隔一段时间再发送一次回应包 SYN-ACK,这样经过多次重试后,客户机还没有回应的话,服务器才会关闭会话并从 TCB 中删除。
                                                                             

QQ20160509-0@2x.png             
                                                                                       

怎么样,看出问题了吗?

如果有人想攻击服务器,很简单,攻击端收到服务器的SYN-ACK包以后,不再回应ACK包,服务器会等待一段时间才会释放TCB。攻击者控制“肉鸡”同时向服务器发起大量的请求 (SYN) ,并且本身拒绝发送 SYN-ACK 回应,服务器的 TCB 将会很快超出正常负荷,服务器无法响应正常用户的请求,最终导致业务中断。


这种利用TCP协议缺陷的DDoS攻击,可以用“简单粗暴”这个词来形容,其特征比较明显,非常容易被识别,目前针对它的防护技术也已经较为成熟。


应用层DDoS攻击
同样的,应用层协议也有着自己的不足,攻击者也正是利用了一点。应用层协议较为复杂且形式多样,应用层DDoS攻击并不具备传统攻击的特征,一般网络安全设备很难检测到,其破坏力也远大于传统的网络层DDoS攻击。

以HTTP协议为例,常见的HTTPDDoS攻击主要有两种,CC攻击和慢速攻击。

CC攻击是一种针对WEB服务器的Flood(泛洪)攻击,即HTTP Get Flood,它以消耗服务器的带宽资源为目的。攻击者操控大量“肉鸡”对服务器发送大量的HTTP Request,导致服务器带宽资源耗尽,无法响应正常用户的请求。

1.CC攻击

由于很多网站使用动态页面的技术,通常一次GET请求可能引发后台数据库的查询等动作,当HTTP Get 数量增加到一定程度时,数据库也将不堪重负,导致动态页面无法响应。从攻击手法上来看,CC攻击与传统网络层DDoS攻击类似,都是发送大量的请求,耗尽服务器带宽资源,只是二者利用的协议不同。

1.png


2.慢速攻击

另一种常见的攻击是慢速攻击,它是以消耗服务器的计算资源为目的,它并不需要“简单粗暴”的发送大量的数据包,只发送很少的数据即可给服务器造成致命的打击。


攻击者跟服务器建立连接时,先指定一个比较大的Content-Length,然后以非常低的速度发包,比如1-10s 发一个字节,服务器认为客户端要发送的内容很大,会一直处于等待状态,维持住这个连接不断开。如果攻击者的“肉鸡”持续建立这样的连接,那么服务器上可用的资源将一点一点被占满,从而导致服务器无法响应正常用户的请求。


如何防护DDoS攻击
某公司AD应用交付系列产品可防护网络层和应用层的DDoS攻击(如SYN-Flood, Smurf, SSL-Flood,CC攻击,HTTP慢速攻击等)!


QQ20160509-1@2x.png

QQ20160509-2@2x.png


为什么要在应用交付上实现DDoS攻击防护的功能呢?

应用交付通常部署于服务器的前端,需要将业务稳定、安全、高效的交付给用户。

在全代理模式下,它可以实现客户端和服务端的网络隔离,使二者不会建立网络连接。业务访问的所有流量都会先交给应用交付设备,由应用交付设备进行分发。黑客攻击的“服务器”实际上就是对外发布业务的应用交付设备,这就要求它具备一定的安全防护能力,其本身性能也非常强大,可以抵挡住DDoS泛洪攻击的大流量。


怎么样,GET到新技能么?看小伙伴们是怎么用的?

2.png



对于AD 新版本中的DDOS防护功能,您有什么想说的,欢迎跟帖!

即日起至5月31日有效跟帖即送100S~

送豆活动已结束,感谢小伙伴们的参与,100S豆已存入以下用户的账户,请查收!
帖子评论
回复者
3楼回复:长见识了。
防火墙里面有这个功能嘛? 应用DDos
952788
4楼回复:这功能AD要开启安全分析模块吗?
小huihui
5楼回复:
高大上啊,想得越来越周到了,原以为只有AF和AC上面才有防止DDOS攻击的功能,AD上面确实也需要做一个这种防护,安全方面就更加有保障了
Charles
6楼回复:确实学到新知识了,ad也可以做ddos防御这些,可能是ad接触少的缘故,现在补起,还不晚
XiaoYang
7楼回复:我的5.6没有这个功能?目前是稳定版么?要升级时候注意什么吗?
魅力长安
8楼回复:     不错 不错   AF也要继续加强啊  哈哈
小鸟
9楼回复:针对与大流量的DDOS和CC攻击 防火墙只是硬扛,建议某公司有自己的高防IP流量迁移,可以满足实际用户中的各种安全需求
tracy
10楼回复:TCP是传输层,为什么叫网络层的DDOS!
kkflsc
11楼回复:防火墙可以从数据库保护方面做一些优化!
XDC李晋
12楼回复:提建议吧,中小型企业可以自行解决小型DDOS流量,如果是大流量DDOS不建议自行解决,一个人再强大也无法抵挡一群人的攻击,如果是大流量的话,目前比较好的方法就是通过CDN来抵抗DDOS。
hksnowball
13楼回复:问一下,AD-6.4能防护ping命令的洪水攻击吗?
AD的防DDoS攻击的功能很实用,测试AD产品时,经常有客户咨询能不能防ping的洪水攻击、应用层攻击,以前不确认,或者只知道能防一部分,以后就可以放心大胆的说能防网络层到应用层的DDos攻击了。
adds
14楼回复:这个防护真不错,考虑周到贴合用户需求
peternao
15楼回复:确实很实用。AD服务器负载均衡+防DDoS
skyma
16楼回复:不错,学习了。。。
新手663083
17楼回复:之前测试负载时,用到过感觉还不错
tyjhz
18楼回复:遇上过n台肉鸡使用暴力破解密码的方式,对邮件服务器发起验证用户密码的ddos攻击。最后服务器挂掉。这种情况除了封ip外只能硬扛。但是现在人家黑客也搞云攻击,ip地址太多,封都封不过来
AlexJun
19楼回复:都是基于连接状态的分析 消耗计算资源或者网络资源造成不能提供正常服务     现在Ddos的成本极小  防火墙的性能可以保证服务器的计算资源不被消耗掉  但是无法保证网络资源不被消耗掉的  前段时间遇到的情况 客户的外网出口是500m  被20G的ddos打的网络不能正常使用了   防火墙性能也不够  
建议某公司厂家考虑结合流量迁移 这样可以做到比较完善的防护手段   
tracy
20楼回复:我理解的就是一个劲的向服务器发送请求,同一时间发送,导致服务器忙不过来,不知道该先给谁回复,导致网络有发送没有返回,中断业务。
紫色焰火
21楼回复:AF也新增这个功能比较好
杰哥哇
22楼回复:涨姿势啦
Mr·陈
23楼回复:AF的联动封锁IP不太实用,特别是在一些有大型分支的企业中,一个分支机构有几百人,实用一个公网IP访问AF上的应用,如果一个终端出现了问题,会引起整个分支机构无法使用。
新手875744
24楼回复:新手,过来学习。
阳光在线
25楼回复:防火墙好像没看这个功能。不知道是不是我有没有注意
新手104612
26楼回复:普及的很详细 学习了~
Minimal
27楼回复:已经给客户的设备升级好了,坐等黑客入网啦!
北回归线
28楼回复:我才看懂ddos攻击,我还有救吗
新手559369
29楼回复:AD 上的DDOS  不错,赞一个
woshishui
30楼回复:学习了……
zhangsx03

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2016-5-10 17:00
  

QQ20160510-1@2x.png

有DDOS防护需求的小伙伴们,别忘了将设备升级到AD6.4哦!
952788 发表于 2016-5-11 08:06
  
长见识了。
防火墙里面有这个功能嘛? 应用DDos
小huihui 发表于 2016-5-11 09:51
  
这功能AD要开启安全分析模块吗?
Charles 发表于 2016-5-11 10:22
  
本帖最后由 Charles 于 2016-5-11 11:30 编辑

高大上啊,想得越来越周到了,原以为只有AF和AC上面才有防止DDOS攻击的功能,AD上面确实也需要做一个这种防护,安全方面就更加有保障了
XiaoYang 发表于 2016-5-11 13:46
  
确实学到新知识了,ad也可以做ddos防御这些,可能是ad接触少的缘故,现在补起,还不晚
魅力长安 发表于 2016-5-12 08:20
  
我的5.6没有这个功能
小鸟 发表于 2016-5-12 08:32
  
     不错 不错   AF也要继续加强啊  哈哈
tracy 发表于 2016-5-12 09:27
  
针对与大流量的DDOS和CC攻击 防火墙只是硬扛,建议某公司有自己的高防IP流量迁移,可以满足实际用户中的各种安全需求
kkflsc 发表于 2016-5-12 10:27
  
TCP是传输层,为什么叫网络层的DDOS!
发表新帖
热门标签
全部标签>
每日一问
GIF动图学习
信服课堂视频
项目案例
技术咨询
技术笔记
产品连连看
在线直播
专家分享
功能体验
技术圆桌
新版本体验
原创分享
安装部署配置
每日一记
SDP百科
VPN 对接
SANGFOR资讯
畅聊IT
答题自测
日志审计
解决方案
网络基础知识
升级
安全攻防
云计算知识
专家问答
MVP
上网策略
测试报告
问题分析处理
流量管理
运维工具
用户认证
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人