从传输层识别DoS攻击
TCP SYN泛洪是最常用的DoS攻击。TCP连接初始化过程称为三次握手(三次握手):一个发送一个TCP连接的SYN包开始的标志数据到目的地,协商的参数初始化连接;B端使用SYN / ACK来展示他们的连接参数,确定引发剂引发剂连接参数;C SYN / ACK ACK使用收据后,确认目的地的连接参数。这样三的TCP分组交换,在建立一个TCP连接的发起者和接收者。当目的地TCP / IP接收TCP SYN,它将在地方建立连接的预留资源,并等待发起者确定连接参数,这是有必要建立一个稳定的D有效的TCP连接。但是,如果大量的TCP SYN发送给主机,而不是响应TCP ACK,大量的连接会在半开状态打开(半开),从而导致资源不释放很长时间(直到超时),这将最终会导致目的地资源的枯竭。
U3000 U3000
UDP洪水利用UDP传输的无状态性,填补了网络设备的连接状态表(主要是路由器或防火墙)通过发送大量的UDP数据包与伪装IP地址,导致服务被拒绝。
唉呀CRC驱是一种新型的DoS攻击的形式,随着网络安全设备,如防火墙的目的,如记录连接状态。为了加快数据包通过防火墙,防火墙通常不使用校验和数据包验证,只需添加一个连接到连接状态表;Crikey CRC洪水在TCP和UDP头的校验和错误。当这些数据包到达目的主机,校验和错误将被拒绝。这样,一个连接,是不是建立在连接状态表中的记录。如果防火墙接收了大量这样的数据包,它最终将导致连接状态表被填满,新的连接请求被拒绝。
预防方法
在最初的一阵TCP SYN防火墙上的上限,防火墙无法正常和恶意SYN SYN确认,一般的TCP SYN连接突然调整到内部主机可以承受,当超过设定的金额将会自动清洁或突然停止,这个功能是目前很多宽带路由支持,但是,像蜘蛛路由,每个路由组的项的名称可能是不一样的,和相同的作用原理。一些高端防火墙具有特殊功能如TCP SYN网关和TCP SYN中继,也可以抵御TCP SYN洪水。他们是通过干扰。与TCP SYN网关防火墙接收TCP SYN后,转发给内部主机记录的连接,当接收主机的TCP SYN和ACK,客户端发送TCP ACK代表主机,帮助三次握手,连接的半开放状态,开放的状态(后者比前者占用资源少),TCP SYN中继功能的防火墙是不转发给内部主机接收TCP SYN后,而是内部主机,它响应TCP SYN和ACK。如果接收到TCP ACK,则表示连接不是恶意的,否则将及时释放由半连接占用的资源。
U3000 U3000
UDP和TCP SYN SYN限制几乎爆裂的连接一般是UDP SYN,但UDP连接控制的相对效果要稍近的防火墙,我们可以使用一些客户端软件实现单机UDP限制并发连接数的限制,蜘蛛海盾2.4版的最新版本提供了这个功能的效果也很好。
Crikey CRC泛滥,主要目标是网络安全设备,防火墙的安全补丁的需要,通过使用校验和来验证数据包的校验和错误,TCP和UDP数据包丢弃;链路状态条目减少老化时间,连接的活动数量应及时清除,防止填充连接状态表。