午夜福利院在线观看免费,天堂最新版在线,色噜噜精品一区二区三区,无码一区二区三区中文字幕,丝袜美腿一区二区三区

首頁(yè)>文檔>科普>什么是 ACK 洪水 DDoS 攻擊?ACK如何防御?

此組別內(nèi)的文章

需要支持?

如果通過(guò)文檔沒(méi)辦法解決您的問(wèn)題,請(qǐng)?zhí)峤还潍@取我們的支持!

什么是 ACK 洪水 DDoS 攻擊?ACK如何防御?

ACK 洪水攻擊是指攻擊者試圖用?TCP?ACK 數(shù)據(jù)包使服務(wù)器過(guò)載。像其他?DDoS 攻擊一樣,ACK 洪水的目的是通過(guò)使用垃圾數(shù)據(jù)來(lái)減慢攻擊目標(biāo)的速度或使其崩潰,從而導(dǎo)致拒絕向其他用戶提供服務(wù)。目標(biāo)服務(wù)器被迫處理接收到的每個(gè) ACK 數(shù)據(jù)包,消耗太多計(jì)算能力,以致無(wú)法為合法用戶提供服務(wù)。

想象一下,一個(gè)惡作劇呼叫者用虛假消息填充某人的語(yǔ)音信箱,使真實(shí)呼叫者的語(yǔ)音留言無(wú)法進(jìn)入?,F(xiàn)在假設(shè),這些虛假消息全部說(shuō)的是:“嗨,我打電話來(lái)是跟你說(shuō)我已收到你的信息?!边@有點(diǎn)像在 ACK 洪水 DDoS 攻擊中發(fā)生的情況。

什么是數(shù)據(jù)包?

通過(guò) Internet 發(fā)送的所有數(shù)據(jù)都分割為較小的片段,稱(chēng)為數(shù)據(jù)包。想象一下,某人想在 Twitter 上發(fā)表一個(gè)深入的觀點(diǎn)或講一個(gè)長(zhǎng)篇故事,不得不將其文本分割成 280 個(gè)字符的片段,并以一系列推文的形式發(fā)布,而不是一次性發(fā)布全部。對(duì)于那些不使用 Twitter 的人,可以想一下沒(méi)有專(zhuān)用短信應(yīng)用的手機(jī)如何將長(zhǎng)短信文本分成幾個(gè)較小的部分。

傳輸控制協(xié)議(TCP)是 Internet 通信的重要組成部分。使用 TCP 協(xié)議發(fā)送的數(shù)據(jù)包在其標(biāo)頭中包含附加的信息。TCP 協(xié)議使用數(shù)據(jù)包標(biāo)頭來(lái)告訴接收方有多少個(gè)數(shù)據(jù)包以及它們應(yīng)以什么順序到達(dá)。標(biāo)頭還可以指示數(shù)據(jù)包的長(zhǎng)度和類(lèi)型等信息。

這有點(diǎn)像給文件夾取名,讓人們知道其中的內(nèi)容?;氐?Twitter 的例子,發(fā)布大量推文的人通常會(huì)指明該系列中有多少條推文,以及每條推文的編號(hào)以幫助讀者閱讀它們。

什么是 ACK 數(shù)據(jù)包?

ACK 表示“確認(rèn)”。ACK 數(shù)據(jù)包是確認(rèn)接收到一條消息或一系列數(shù)據(jù)包的任何 TCP 數(shù)據(jù)包。ACK 數(shù)據(jù)包的技術(shù)定義是標(biāo)頭中設(shè)置了“ACK”標(biāo)志的 TCP 數(shù)據(jù)包。

什么是 ACK 洪水 DDoS 攻擊?ACK如何防御?插圖

ACK 數(shù)據(jù)包隸屬于 TCP 握手,后者是三個(gè)連續(xù)的步驟,用于在 Internet 上任何兩個(gè)連接的設(shè)備之間啟動(dòng)對(duì)話(就像現(xiàn)實(shí)生活中人們?cè)陂_(kāi)始交談之前通過(guò)握手來(lái)問(wèn)候一樣)。TCP 握手的三個(gè)步驟是:

  1. SYN
  2. SYN ACK
  3. ACK

打開(kāi)連接的設(shè)備(比如,用戶的筆記本電腦)通過(guò)發(fā)送 SYN(“同步”的縮寫(xiě))數(shù)據(jù)包來(lái)啟動(dòng)三向握手。位于連接另一端的設(shè)備(假設(shè)是托管在線購(gòu)物網(wǎng)站的服務(wù)器)以 SYN ACK 數(shù)據(jù)包答復(fù)。最后,用戶的筆記本電腦發(fā)送一個(gè) ACK 數(shù)據(jù)包,此時(shí)三向握手宣告完成。此過(guò)程可確保兩個(gè)設(shè)備都已聯(lián)機(jī)并且準(zhǔn)備好接收其他數(shù)據(jù)包,本例中為允許用戶加載網(wǎng)站。

但是,這并非使用 ACK 數(shù)據(jù)包的唯一時(shí)間。TCP 協(xié)議要求連接的設(shè)備確認(rèn)它們已按順序接收了所有數(shù)據(jù)包。假設(shè)用戶訪問(wèn)一個(gè)托管圖片的網(wǎng)頁(yè)。圖片分解為數(shù)據(jù)包,并發(fā)送到用戶的瀏覽器。整個(gè)圖片到達(dá)后,用戶設(shè)備就會(huì)向主機(jī)服務(wù)器發(fā)送一個(gè) ACK 數(shù)據(jù)包,以確認(rèn)一個(gè)像素也沒(méi)丟失。如果沒(méi)有此 ACK 數(shù)據(jù)包,主機(jī)服務(wù)器必須再次發(fā)送圖片。

由于 ACK 數(shù)據(jù)包是在標(biāo)頭中設(shè)置了 ACK 標(biāo)志的任何 TCP 數(shù)據(jù)包,因此 ACK 可以是筆記本電腦發(fā)送到服務(wù)器的其他消息的一部分。如果用戶填寫(xiě)表單并將數(shù)據(jù)提交給服務(wù)器,則筆記本電腦可以將其中一個(gè)數(shù)據(jù)包作為圖片的 ACK 數(shù)據(jù)包。它不需要是單獨(dú)的數(shù)據(jù)包。

ACK 洪水攻擊如何工作?

ACK 洪水以需要處理收到的每個(gè)數(shù)據(jù)包的設(shè)備為目標(biāo)。防火墻和服務(wù)器最有可能成為 ACK 攻擊的目標(biāo)。負(fù)載均衡器、路由器和交換機(jī)不容易遭受這些攻擊。

合法和非法 ACK 數(shù)據(jù)包看起來(lái)基本相同,因此,如果不使用內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)?過(guò)濾掉不必要的 ACK 數(shù)據(jù)包,就很難阻止 ACK 洪水。盡管看起來(lái)很相似,但用于 ACK DDoS 攻擊的數(shù)據(jù)包并不包含數(shù)據(jù)本身數(shù)據(jù)包的主要部分,也稱(chēng)為有效負(fù)載。為了顯得合法,它們僅需在 TCP 標(biāo)頭中包含 ACK 標(biāo)志。

ACK 洪水是第 4 層(傳輸層)DDoS 攻擊。了解第 4 層和 OSI 模型。

SYN ACK 洪水攻擊如何工作?

SYN ACK 洪水 DDoS 攻擊與 ACK 攻擊略有不同,但基本思路仍然相同:用過(guò)多的數(shù)據(jù)包來(lái)壓垮目標(biāo)。

記住 TCP 三向握手的工作方式:握手的第二步是 SYN ACK 數(shù)據(jù)包。通常,服務(wù)器在響應(yīng)來(lái)自客戶端設(shè)備的 SYN 數(shù)據(jù)包時(shí)發(fā)送此 SYN ACK 數(shù)據(jù)包。在 SYN ACK DDoS 攻擊中,攻擊者使大量 SYN ACK 數(shù)據(jù)包涌向目標(biāo)。這些數(shù)據(jù)包根本不屬于三向握手協(xié)議的一部分,它們的唯一目的是打斷目標(biāo)的正常運(yùn)作。

攻擊者也有可能在?SYN 洪水 DDoS 攻擊中使用 SYN 數(shù)據(jù)包。

如何阻止 ACK 洪水 DDoS 攻擊?

目前防御ACK的最好方法是高防CDN?,高防CDN代理往返于 Cloudflare 客戶的源站服務(wù)器的所有流量。CDN 不會(huì)傳遞與開(kāi)放 TCP 連接無(wú)關(guān)的任何 ACK 數(shù)據(jù)包。這樣可以確保惡意 ACK 流量不會(huì)到達(dá)源站服務(wù)器。由數(shù)據(jù)中心組成的?CDN 網(wǎng)絡(luò)的規(guī)模足夠大,足以吸收幾乎任何規(guī)模的 DDoS 攻擊,因此 ACK 洪水對(duì) 高防CDN 幾乎沒(méi)有影響。

0 條回復(fù) A文章作者 M管理員
    暫無(wú)討論,說(shuō)說(shuō)你的看法吧
QQ客服
  • QQ176363189 點(diǎn)擊這里給我發(fā)消息
旺旺客服
  • 速度網(wǎng)絡(luò)服務(wù)商 點(diǎn)這里給我發(fā)消息
電子郵箱
  • sudu@yunjiasu.cc
微信客服
  • suduwangluo