DDoS***防御新思考
2012-03-15 08:55
274 查看
随着Internet互联网络带宽的增加和多种*****工具的不断发布,*****拒绝服务***的实施越来越容易,********事件正在呈上升趋势。 出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被********所困 扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决********问题成为网络服务商必须要考虑的头等大事。
在探讨*****之前我们首先要对DoS有所了解,DoS即Denial Of Service,拒绝服务的缩写。DoS是指故意的***网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被***对象的资源,目的是让目标计算机或网络无法 提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此***中并不包括侵入目标服务器或目标网络设备。通常而言,DoS的网络数据包是利 用TCP/IP协议在Internet传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资 源,造成服务拒绝,这就是DoS***的基本工作原理。
DoS***之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS***。加之许多DoS***都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。
具体DoS***实现有如下几种方法:
1.SYN FLOOD
利用服务器的连接缓冲区,设置特殊的TCP包头,向服务器端不断地发送大量只有SYN标志的TCP连接请求。当服务器接收的时候,认为是没有建立起来的 连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了, 因此其他合法用户的连接都会被拒绝掉。如下图所示:
本来正常的TCP连接是需要三次握手协议完成的,***者先向目的主机发出一个SYN请求,由于目的主机不能判断对方是否恶意,所以会回复一个 SYN/ACK,这样在目的主机就需要维护一个这样的半连接,等待对方回复ACK后,完成整个连接的建立。***者正是利用了这一点,他只发送大量的SYN 报文,并不回复ACK,这样在目的主机中就维护了大量的半连接队列,由于主机的资源是有限的,***者通过持续不断的发送SYN报文,耗尽了目的主机的资 源,使得正常的服务连接得不到建立,网络处于瘫痪状态。
[摘要] 随着Internet互联网络带宽的增加和多种*****工具的不断发布,*****拒绝服务***的实施越来越容易,********随处可见,人们为克 服********进行了大量研究,提出了多种解决方案。本文系统分析了********的原理和***思路,从管理和技术两个方面提出一些关于减少***** ***方法。
[关键词] *****拒绝服务 网络***
随着Internet互联网络带宽的增加和多 种*****工具的不断发布,*****拒绝服务***的实施越来越容易,********事件正在呈上升趋势。出于商业竞争、打击报复和网络敲诈等多种因 素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被********所困扰,随之而来的是客户投诉、同虚拟主机用户受 牵连、法律纠纷、商业损失等一系列问题,因此,解决********问题成为网络服务商必须要考虑的头等大事。
在探讨*****之前我们首先 要对DoS有所了解,DoS即Denial Of Service,拒绝服务的缩写。DoS是指故意的***网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被***对象的资源,目的是让目标计算机或网络无法 提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此***中并不包括侵入目标服务器或目标网络设备。通常而言,DoS的网络数据包是利 用TCP/IP协议在Internet传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资 源,造成服务拒绝,这就是DoS***的基本工作原理。
DoS***之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS***。加之许多DoS***都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。
具体DoS***实现有如下几种方法:
1.SYN FLOOD
利用服务器的连接缓冲区,设置特殊的TCP包头,向服务器端不断地发送大量只有SYN标志的TCP连接请求。当服务器接收的时候,认为是没有建立起来的 连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了, 因此其他合法用户的连接都会被拒绝掉。如下图所示:
本来正常的TCP连接是需要三次握手协议完成的,***者先向目的主机发出一个SYN请求,由于目的主机不能判断对方是否恶意,所以会回复一个 SYN/ACK,这样在目的主机就需要维护一个这样的半连接,等待对方回复ACK后,完成整个连接的建立。***者正是利用了这一点,他只发送大量的SYN 报文,并不回复ACK,这样在目的主机中就维护了大量的半连接队列,由于主机的资源是有限的,***者通过持续不断的发送SYN报文,耗尽了目的主机的资 源,使得正常的服务连接得不到建立,网络处于瘫痪状态。
在探讨*****之前我们首先要对DoS有所了解,DoS即Denial Of Service,拒绝服务的缩写。DoS是指故意的***网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被***对象的资源,目的是让目标计算机或网络无法 提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此***中并不包括侵入目标服务器或目标网络设备。通常而言,DoS的网络数据包是利 用TCP/IP协议在Internet传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资 源,造成服务拒绝,这就是DoS***的基本工作原理。
DoS***之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS***。加之许多DoS***都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。
具体DoS***实现有如下几种方法:
1.SYN FLOOD
利用服务器的连接缓冲区,设置特殊的TCP包头,向服务器端不断地发送大量只有SYN标志的TCP连接请求。当服务器接收的时候,认为是没有建立起来的 连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了, 因此其他合法用户的连接都会被拒绝掉。如下图所示:
本来正常的TCP连接是需要三次握手协议完成的,***者先向目的主机发出一个SYN请求,由于目的主机不能判断对方是否恶意,所以会回复一个 SYN/ACK,这样在目的主机就需要维护一个这样的半连接,等待对方回复ACK后,完成整个连接的建立。***者正是利用了这一点,他只发送大量的SYN 报文,并不回复ACK,这样在目的主机中就维护了大量的半连接队列,由于主机的资源是有限的,***者通过持续不断的发送SYN报文,耗尽了目的主机的资 源,使得正常的服务连接得不到建立,网络处于瘫痪状态。
[摘要] 随着Internet互联网络带宽的增加和多种*****工具的不断发布,*****拒绝服务***的实施越来越容易,********随处可见,人们为克 服********进行了大量研究,提出了多种解决方案。本文系统分析了********的原理和***思路,从管理和技术两个方面提出一些关于减少***** ***方法。
[关键词] *****拒绝服务 网络***
随着Internet互联网络带宽的增加和多 种*****工具的不断发布,*****拒绝服务***的实施越来越容易,********事件正在呈上升趋势。出于商业竞争、打击报复和网络敲诈等多种因 素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被********所困扰,随之而来的是客户投诉、同虚拟主机用户受 牵连、法律纠纷、商业损失等一系列问题,因此,解决********问题成为网络服务商必须要考虑的头等大事。
在探讨*****之前我们首先 要对DoS有所了解,DoS即Denial Of Service,拒绝服务的缩写。DoS是指故意的***网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被***对象的资源,目的是让目标计算机或网络无法 提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此***中并不包括侵入目标服务器或目标网络设备。通常而言,DoS的网络数据包是利 用TCP/IP协议在Internet传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资 源,造成服务拒绝,这就是DoS***的基本工作原理。
DoS***之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS***。加之许多DoS***都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。
具体DoS***实现有如下几种方法:
1.SYN FLOOD
利用服务器的连接缓冲区,设置特殊的TCP包头,向服务器端不断地发送大量只有SYN标志的TCP连接请求。当服务器接收的时候,认为是没有建立起来的 连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了, 因此其他合法用户的连接都会被拒绝掉。如下图所示:
本来正常的TCP连接是需要三次握手协议完成的,***者先向目的主机发出一个SYN请求,由于目的主机不能判断对方是否恶意,所以会回复一个 SYN/ACK,这样在目的主机就需要维护一个这样的半连接,等待对方回复ACK后,完成整个连接的建立。***者正是利用了这一点,他只发送大量的SYN 报文,并不回复ACK,这样在目的主机中就维护了大量的半连接队列,由于主机的资源是有限的,***者通过持续不断的发送SYN报文,耗尽了目的主机的资 源,使得正常的服务连接得不到建立,网络处于瘫痪状态。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- DDoS***原理和防御方案【转】
- DDoS的攻击原理与防御方法
- 防大流量的DDOS攻击,DDOS应该怎么防御
- 如何防御DDOS等流量***?
- haproxy 防御ddos
- SQL注入攻击防御深层思考 推荐
- 思科路由器防御DDOS
- DDoS deflate - Linux下防御/减轻DDOS攻击
- 防御DDoS 攻击的方法
- windows服务器的DDOS防御,
- 防大流量的DDOS攻击,DDOS应该怎么防御
- 冲浪DDoS(拒绝服务)攻击的趋势与防御
- DDOS防御,注册表设置大全
- PHP DDos的几个防御方法详解
- 关于ddos事件的一点思考
- DDOS原理概述及其防御
- 深入浅出DDoS***防御应对篇:DDoS防御方案
- DDoS deflate - Linux下防御/减轻DDOS攻击
- 不可不知 DDoS的攻击原理与防御方法
- DDoS防御体系构建