上海高防云服務(wù)器可抵御的攻擊類型:1. 上海高防云服務(wù)器可抵御DDoS網(wǎng)絡(luò)帶寬消耗攻擊���、ICMP風(fēng)暴攻擊等網(wǎng)絡(luò)帶寬消耗攻擊。2. 上海高防云服務(wù)器可抵御TCPPUSHACK攻擊���、TCPSYN攻擊和異常消息格式攻擊等服務(wù)器資源消耗攻擊���。3. 上海高防云服務(wù)器可抵御對(duì)網(wǎng)絡(luò)層的攻擊,HTTP泛洪���、CC攻擊���、DNS攻擊都是網(wǎng)絡(luò)層攻擊的主要體現(xiàn)
具體內(nèi)容如下:
一���、網(wǎng)絡(luò)帶寬消耗攻擊
DDoS網(wǎng)絡(luò)帶寬消耗攻擊的關(guān)鍵是立即攻擊,利用攻擊者的位置���。當(dāng)來(lái)自許多代理的總攻擊流量聚集在整體目標(biāo)中時(shí)���,這足以消耗他們的互聯(lián)網(wǎng)接入網(wǎng)絡(luò)帶寬。UDPudp攻擊是一種日益猖獗的全流量DoS攻擊���。常見的情況是使用許多Udp數(shù)據(jù)包來(lái)沖擊DNS網(wǎng)絡(luò)服務(wù)器或Radius來(lái)驗(yàn)證網(wǎng)絡(luò)服務(wù)器���,流媒體服務(wù)器視頻服務(wù)器, 100 kbps的UDP攻擊經(jīng)常癱瘓路由上的技術(shù)骨干機(jī)器和設(shè)備���,如服務(wù)器防火墻���,導(dǎo)致所有子網(wǎng)癱瘓。因此���,有時(shí)服務(wù)器連接到受害者系統(tǒng)軟件附近的互聯(lián)網(wǎng)也會(huì)遭受數(shù)據(jù)連接問題���。ICMP風(fēng)暴攻擊是基于代理向受害者服務(wù)器推送多種ICMP _ echo reqest(“ping”)消息格式���。這種消息格式注入整個(gè)目標(biāo),并使其回復(fù)該消息格式���。總流量的總和將使受害者服務(wù)器服務(wù)器的帶寬飽和���。由于拒絕服務(wù)攻擊���,ping/smurf攻擊者根據(jù)ICMP協(xié)議都是典型的攻擊者。當(dāng)出現(xiàn)ICMP風(fēng)暴攻擊時(shí)���,禁止ping就足夠了���。
二、服務(wù)器資源消耗攻擊
DDOS服務(wù)器資源消耗攻擊包括兩種方式:故意誤用TCP/IP協(xié)議通信(TCPSYN攻擊和TCPPSHACK攻擊)和異常消息格式攻擊���,兩者都有實(shí)際占用服務(wù)器資源的效果���。SYN攻擊是使用TCP協(xié)議的一個(gè)缺點(diǎn)���。根據(jù)推送多條半連接要求,消耗CPU和運(yùn)行內(nèi)存資源���,不僅危害服務(wù)器���,還破壞無(wú)線路由器、服務(wù)器防火墻等應(yīng)用系統(tǒng)���。在DDoS法下���,其進(jìn)攻抗壓強(qiáng)度提高了無(wú)數(shù)倍。SYN攻擊無(wú)法完全屏蔽���。只能根據(jù)結(jié)構(gòu)加強(qiáng)TCP/IP協(xié)議棧���,部署服務(wù)器防火墻/無(wú)線路由器等?��?梢栽诤芏喾矫嫣岣叻烙σ员M可能減輕傷害���。TCPPUSHACK攻擊和TCPSYN攻擊一樣���,它的目的取決于消耗受害者系統(tǒng)軟件的資源。當(dāng)代理向受害者服務(wù)器���,推送帶有設(shè)置為1的PSH和確認(rèn)標(biāo)記的傳輸控制協(xié)議消息格式時(shí)���,它將使接收系統(tǒng)軟件消除所有傳輸控制協(xié)議緩存的數(shù)據(jù)信息并回復(fù)一個(gè)確定的消息。如果整個(gè)過程重復(fù)多次���,系統(tǒng)軟件將無(wú)法解決很多注入消息格式,導(dǎo)致服務(wù)項(xiàng)目崩潰���。異常消息格式攻擊是指網(wǎng)絡(luò)攻擊煽動(dòng)代理向受害者服務(wù)器���,推送有缺陷的IP消息格式,導(dǎo)致整個(gè)目標(biāo)系統(tǒng)軟件在解決此類IP數(shù)據(jù)包時(shí)崩潰���,對(duì)整個(gè)目標(biāo)系統(tǒng)軟件造成損害���。關(guān)鍵的格式錯(cuò)誤的報(bào)文格式攻擊,如PingofDeath(推送非常大的ICMP報(bào)文格式)���、淚滴(使用IP包片段攻擊)���、格式錯(cuò)誤的TCP報(bào)文格式���、IP-片段攻擊等。
第三���,對(duì)網(wǎng)絡(luò)層的攻擊
網(wǎng)絡(luò)層攻擊���,針對(duì)特殊的應(yīng)用/服務(wù)項(xiàng)目,緩慢消耗網(wǎng)絡(luò)層上的資源���。網(wǎng)絡(luò)層攻擊在低總流量速度下非常合理���。從協(xié)議角度來(lái)看,攻擊涉及的總流量可能是合理合法的���。這使得網(wǎng)絡(luò)層攻擊比其他DDoS攻擊更不可檢測(cè)���。HTTP泛洪、CC攻擊、DNS攻擊都是網(wǎng)絡(luò)層攻擊的案例���。HTTP洪泛是利用看似合法的HTTPGET或POST要求來(lái)攻擊網(wǎng)頁(yè)的服務(wù)器���,一般是通過拒絕服務(wù)攻擊來(lái)進(jìn)行的。拒絕服務(wù)攻擊是基于bot程序中的許多服務(wù)器病毒對(duì)互聯(lián)網(wǎng)的一對(duì)多操縱���。網(wǎng)絡(luò)黑客可以利用這種拒絕服務(wù)攻擊對(duì)整個(gè)目標(biāo)服務(wù)器���,發(fā)起拒絕服務(wù)攻擊,這使得http攻擊難以被檢查和阻止���。CC攻擊是基于網(wǎng)頁(yè),模擬很多客戶連續(xù)瀏覽服務(wù)器的虛擬機(jī)���。此外���,攻擊的目標(biāo)通常是網(wǎng)絡(luò)服務(wù)器,上涉及數(shù)據(jù)庫(kù)查詢和瀏覽實(shí)際操作的動(dòng)態(tài)網(wǎng)頁(yè)���。由于作為攻擊點(diǎn)的應(yīng)用代理具有很強(qiáng)的防御能力���,系統(tǒng)軟件很難區(qū)分是所有正常的客戶實(shí)際操作還是有意的總流量���,導(dǎo)致數(shù)據(jù)庫(kù)查詢和數(shù)據(jù)庫(kù)連接池過載,無(wú)法響應(yīng)所有正常的需求���。
