神武八荒一颗小说,有声小说打包下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

DDoS來襲，深信服應用交付如何防護

DDoS攻擊已經(jīng)成為一種非常多見的攻擊方式，其攻防技術都已經(jīng)非常成熟。近幾年來，DDoS攻擊又演變出了更多的花樣，攻擊的規(guī)模也在逐漸擴大，特別是針對應用層的DDoS攻擊，給用戶帶來了新的網(wǎng)絡安全威脅。那么，什么是應用層DDoS攻擊?與傳統(tǒng)的網(wǎng)絡層DDoS攻擊又有什么區(qū)別呢?

創(chuàng)新互聯(lián)專注于企業(yè)成都營銷網(wǎng)站建設、網(wǎng)站重做改版、臨沂網(wǎng)站定制設計、自適應品牌網(wǎng)站建設、H5開發(fā)、商城網(wǎng)站定制開發(fā)、集團公司官網(wǎng)建設、成都外貿(mào)網(wǎng)站建設、高端網(wǎng)站制作、響應式網(wǎng)頁設計等建站業(yè)務，價格優(yōu)惠性價比高，為臨沂等各大城市提供網(wǎng)站開發(fā)制作服務。

網(wǎng)絡層DDoS 攻擊是利用了TCP 協(xié)議“先天”的缺陷。兩臺機器通信時要先進行三次握手，首先是客戶機發(fā)出一個請求 (SYN) ，服務器收到該請求后，填寫會話信息表 (TCB，保存在內(nèi)存中)并且向客戶機反饋一個回應包 (SYN-ACK) ，此時該連接處于半開連接狀態(tài)，正常情況下，客戶端會回應ACK包，三次握手完成。如果服務器沒有收到客戶機的 ACK 信息包，會隔一段時間再發(fā)送一次回應包 SYN-ACK，這樣經(jīng)過多次重試后，客戶機還沒有回應的話，服務器才會關閉會話并從 TCB 中刪除。

怎么樣，看出問題了嗎?如果有人想攻擊服務器，很簡單，攻擊端收到服務器的SYN-ACK包以后，不再回應ACK包，服務器會等待一段時間才會釋放TCB。攻擊者控制“肉雞”同時向服務器發(fā)起大量的請求 (SYN) ，并且本身拒絕發(fā)送 SYN-ACK 回應，服務器的 TCB 將會很快超出正常負荷，服務器無法響應正常用戶的請求，最終導致業(yè)務中斷。

這種利用TCP協(xié)議缺陷的DDoS攻擊，可以用“簡單粗暴”這個詞來形容，其特征比較明顯，非常容易被識別，目前針對它的防護技術也已經(jīng)較為成熟。

同樣的，應用層協(xié)議也有著自己的不足，攻擊者也正是利用了一點。應用層協(xié)議較為復雜且形式多樣，應用層DDoS攻擊并不具備傳統(tǒng)攻擊的特征，一般網(wǎng)絡安全設備很難檢測到，其破壞力也遠大于傳統(tǒng)的網(wǎng)絡層DDoS攻擊。

以HTTP協(xié)議為例，常見的HTTP DDoS攻擊主要有兩種，CC攻擊和慢速攻擊。CC攻擊是一種針對WEB服務器的Flood(泛洪)攻擊，即HTTP Get Flood，它以消耗服務器的帶寬資源為目的。攻擊者操控大量“肉雞”對服務器發(fā)送大量的HTTP Request，導致服務器帶寬資源耗盡，無法響應正常用戶的請求。

由于很多網(wǎng)站使用動態(tài)頁面的技術，通常一次GET 請求可能引發(fā)后臺數(shù)據(jù)庫的查詢等動作，當HTTP Get 數(shù)量增加到一定程度時，數(shù)據(jù)庫也將不堪重負，導致動態(tài)頁面無法響應。從攻擊手法上來看，CC攻擊與傳統(tǒng)網(wǎng)絡層DDoS攻擊類似，都是發(fā)送大量的請求，耗盡服務器帶寬資源，只是二者利用的協(xié)議不同。

另一種常見的攻擊是慢速攻擊，它是以消耗服務器的計算資源為目的，它并不需要“簡單粗暴”的發(fā)送大量的數(shù)據(jù)包，只發(fā)送很少的數(shù)據(jù)即可給服務器造成致命的打擊。

攻擊者跟服務器建立連接時，先指定一個比較大的Content-Length，然后以非常低的速度發(fā)包，比如1-10s 發(fā)一個字節(jié)，服務器認為客戶端要發(fā)送的內(nèi)容很大，會一直處于等待狀態(tài)，維持住這個連接不斷開。如果攻擊者的“肉雞”持續(xù)建立這樣的連接，那么服務器上可用的資源將一點一點被占滿，從而導致服務器無法響應正常用戶的請求。

深信服AD應用交付系列產(chǎn)品可防護網(wǎng)絡層和應用層的DDoS攻擊(如SYN-Flood, Smurf, SSL-Flood,CC攻擊,HTTP慢速攻擊等)，那么為什么深信服要在應用交付上實現(xiàn)DDoS攻擊防護的功能呢?

應用交付通常部署于服務器的前端，將業(yè)務穩(wěn)定、安全、高效的交付給用戶。在全代理模式下，它可以實現(xiàn)客戶端和服務端的網(wǎng)絡隔離，使二者不會建立網(wǎng)絡連接。業(yè)務訪問的所有流量都會先交給應用交付設備，由應用交付設備進行分發(fā)。黑客攻擊的“服務器”實際上就是對外發(fā)布業(yè)務的應用交付設備，這就要求它具備一定的安全防護能力，其本身性能也非常強大，可以抵擋住DDoS泛洪攻擊的大流量。深信服應用交付開發(fā)團隊針對主流的DDoS攻擊進行了深入研究，結合應用交付自身的特點，在應用交付設備上實現(xiàn)了網(wǎng)絡層和應用層DDoS攻擊防護，與WEB服務器漏掃等安全功能呼應，為客戶的對外業(yè)務保駕護航。

當前題目：DDoS來襲，深信服應用交付如何防護
瀏覽路徑：http://m.fisionsoft.com.cn/article/cdjeggd.html

新聞中心

其他資訊