廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2290 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 防火牆防止DDOS SYN Flood的原理詳細介紹
防火牆防止DDOS SYN Flood的原理詳細介紹

發佈時間:2007.07.25 06:38   來源:賽迪網   作者:kit

DoS(Denial of Service拒絕服務)和DDoS(Distributed Denial of Service分佈式拒絕服務)攻擊是大型網站和網路伺服器的安全威脅之一。2000年2月,Yahoo、亞馬遜、CNN被攻擊等事例,曾被刻在重大安全事件的歷史中。SYN Flood由於其攻擊效果好,已經成為目前最流行的DoS和DDoS攻擊手段。

SYN Flood利用TCP協議缺陷,發送了大量偽造的TCP連接請求,使得被攻擊方資源耗盡,無法及時回應或處理正常的服務請求。一個正常的TCP連接需要三次握手,首先客戶端發送一個包含SYN標誌的數據包,其後伺服器返回一個SYN/ACK的應答包,表示客戶端的請求被接受,最後客戶端再返回一個確認包ACK,這樣才完成TCP連接。在伺服器端發送應答包後,如果客戶端不發出確認,伺服器會等待到超時,期間這些半連接狀態都保存在一個空間有限的緩存隊列中;如果大量的SYN包發到伺服器端後沒有應答,就會使伺服器端的TCP資源迅速耗盡,導致正常的連接不能進入,甚至會導致伺服器的系統崩潰。

防火牆通常用於保護內部網路不受外部網路的非授權訪問,它位於客戶端和伺服器之間,因此利用防火牆來阻止DoS攻擊能有效地保護內部的伺服器。針對SYN Flood,防火牆通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。

SYN網關 防火牆收到客戶端的SYN包時,直接轉發給伺服器;防火牆收到伺服器的SYN/ACK包後,一方面將SYN/ACK包轉發給客戶端,另一方面以客戶端的名義給伺服器回送一個ACK包,完成TCP的三次握手,讓伺服器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時,有數據則轉發給伺服器,否則丟棄該包。由於伺服器能承受連接狀態要比半連接狀態高得多,所以這種方法能有效地減輕對伺服器的攻擊。

被動式SYN網關 設置防火牆的SYN請求超時參數,讓它遠小于伺服器的超時期限。防火牆負責轉發客戶端發往伺服器的SYN包,伺服器發往客戶端的SYN/ACK包、以及客戶端發往伺服器的ACK包。這樣,如果客戶端在防火牆計時器到期時還沒發送ACK包,防火牆則往伺服器發送RST包,以使伺服器從隊列中刪去該半連接。由於防火牆的超時參數遠小于伺服器的超時期限,因此這樣能有效防止SYN Flood攻擊。

SYN中繼防火牆在收到客戶端的SYN包後,並不向伺服器轉發而是記錄該狀態資訊然後主動給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問,由防火牆向伺服器發送SYN包並完成三次握手。這樣由防火牆做為代理來實現客戶端和伺服器端的連接,可以完全過濾不可用連接發往伺服器。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-04-30 03:22 |
liujenha 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x0 鮮花 x4768
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

非常感謝提供這麼詳細的介紹


獻花 x0 回到頂端 [1 樓] From:歐洲 | Posted:2008-04-30 06:14 |
aa 手機 會員卡 葫蘆墩家族
個人文章 個人相簿 個人日記 個人地圖 個人商品
特殊貢獻獎 社區建設獎
頭銜:            
站長
級別: 站長 該用戶目前不上站
推文 x1964 鮮花 x5260
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

其實現在很多防火牆都有做這樣的防護,不過對於大量的 DDOS 攻擊,就要看機房對外的頻寬而定了

之前我有一個客戶跟我租實體主機,後來被 DDOS 攻擊,造成了其他主機也受影響,後來客戶自己買了一台硬體防火牆來擋,不過還是沒有用,因為來一攻擊的流量遠大於我跟機房租的頻寬,後來請機房協助,整整幫那個客戶處理了一個月,最後還是無解,後來客戶只好搬走... 表情


獻花 x1 回到頂端 [2 樓] From:臺灣新世紀資通股份有限公司 | Posted:2008-05-01 10:47 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

表情
正如之前所說的 加裝再多的防護與設定
只是延後被攻陷的時間罷了


爸爸 你一路好走
獻花 x0 回到頂端 [3 樓] From:臺灣和信超媒體寬帶網 | Posted:2008-05-01 11:42 |
aa 手機 會員卡 葫蘆墩家族
個人文章 個人相簿 個人日記 個人地圖 個人商品
特殊貢獻獎 社區建設獎
頭銜:            
站長
級別: 站長 該用戶目前不上站
推文 x1964 鮮花 x5260
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用upside於2008-05-01 11:42發表的 :
表情
正如之前所說的 加裝再多的防護與設定
只是延後被攻陷的時間罷了

當時我跟機房租 10M,進來的 request 就佔滿了 10M,後來機房幫我先開到 100M,而很快的 100M 也被佔滿,所以攻擊是大於 100M 的,而機房為了怕影響別的客戶,所以也不能再開頻給我試,試了兩天就改回 10M,如果肉雞夠多,可能可以佔到 1G 以上的頻寬,這樣我想沒有幾個站可以撐的住.. 表情


獻花 x0 回到頂端 [4 樓] From:臺灣新世紀資通股份有限公司 | Posted:2008-05-01 18:30 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用aa於2008-05-01 18:30發表的 :


當時我跟機房租 10M,進來的 request 就佔滿了 10M,後來機房幫我先開到 100M,而很快的 100M 也被佔滿,所以攻擊是大於 100M 的,而機房為了怕影響別的客戶,所以也不能再開頻給我試,試了兩天就改回 10M,如果肉雞夠多,可能可以佔到 1G 以上的頻寬,這樣我想沒有幾個站可以撐的住.. 表情
這次攻擊約幾千隻而已 就已經足夠攻下
我方第三大網站了 單靠我方自身的防護是不夠的
只能往ISP 那邊 請求支援


爸爸 你一路好走
獻花 x0 回到頂端 [5 樓] From:臺灣和信超媒體寬帶網 | Posted:2008-05-01 19:08 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

嗯嗯!
又多了一項知識!
真的是不知道真多!


獻花 x0 回到頂端 [6 樓] From:臺灣新世紀 | Posted:2008-06-02 13:44 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.051793 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言