关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

地瓜云高防云服务器是通过什么认证来防御SYN Flood攻击的

发布时间:2019-12-03 10:31:24

在SYN Flood攻击中,攻击者在短时间内发送大量的伪造源IP的SYN包给受害者,受害者会为每个TCP SYN包建立半连接,攻击者传送许多SYN包就是不送"ACK"回到云服务器。该连接因此处于半开状态并消耗云服务器资源。DDOS攻击的结果是合法用户连接不上云服务器。这样大量的半连接,造成很大的系统负担,最终导致系统不能正常工作。 

目前针对SYN Flood攻击有很多种防攻击方法,具体包括以下三种: 

1.半开连接数检测。实时记录所有客户端向云服务器发起的所有半开连接数和完成了握手交互且转变为全连接的半开连接数,二者之差在云服务器未受到攻击时会保持在一个相对恒定的范围内。如果未完成的半连接数突然增多,甚至接近云服务器的资源分配上限时就可以怀疑此时云服务器正受到异常流量的攻击。 

2.新建连接速率检测。当恶意客户端向目标云服务器发起SYN Flood攻击时,其呈现的结果就是发往云服务器的报文会在短时间内大量增加。恶意客户端发向云服务器的报文中,一部分是新建连接的报文,一部分是已建立连接的后续数据报文。通过记录每秒新建连接的数量,并与设定的阈值进行比较来判断向目标云服务器发起SYN Flood攻击行为是否发生,若达到或超过,则认为攻击行为发生。 

3.SYN Cookie。因为前两种方法的缺点很明显,即消耗大量的检测系统资源和存在误报漏报,所以普遍采用SYN Cookie的检测方法。在云服务器收到SYN包并返回SYN_ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个Cookie值。在收到TCP ACK包时,TCP云服务器在根据那个Cookie值检查这个TCP ACK包的合法性。SYN Cookie检测可以应用于云服务器本身的防SYN Flood系统中,也可以应用于防DDOS防火墙中。 

高防云服务器通过SYN Cookie源认证来防御DDOS攻击,在受到攻击的云服务器Victim收到的SYN报文超过设定的阈值后,高防云服务器针对SYN报文生成SYN Cookie,作为TCP序列号封装发送SYN_ACK报文给SYN报文发送源,待高防云服务器接收的ACK报文验证SYN Cookie通过后,该SYN报文发送源的后续报文由防DDOS云服务器透传给Victim。 

通过SYN Cookie源认证来抵御DDOS攻击的方法可以应用于防DDOS源认证解决方案中,也可以应用于云服务器自身的防SYN flood攻击,还可以应用于防DDOS多核产品中;能够准确迅速地找出攻击者,对云服务器进行有效的保护。

此外,本发明实施例提供的防DDOS攻击的SYN Cookie源认证方法,同时能够大量节省系统资源,对云服务器或客户端的运行速度影响很小,在使用中基本不存在误报漏报情况。



/template/Home/Zkeys/PC/Static