午夜福利院在线观看免费,天堂最新版在线,色噜噜精品一区二区三区,无码一区二区三区中文字幕,丝袜美腿一区二区三区

首頁>文檔>科普>什么是 ACK 洪水 DDoS 攻擊?ACK如何防御?

此組別內(nèi)的文章

需要支持?

如果通過文檔沒辦法解決您的問題,請?zhí)峤还潍@取我們的支持!

什么是 ACK 洪水 DDoS 攻擊?ACK如何防御?

ACK 洪水攻擊是指攻擊者試圖用?TCP?ACK 數(shù)據(jù)包使服務(wù)器過載。像其他?DDoS 攻擊一樣,ACK 洪水的目的是通過使用垃圾數(shù)據(jù)來減慢攻擊目標(biāo)的速度或使其崩潰,從而導(dǎo)致拒絕向其他用戶提供服務(wù)。目標(biāo)服務(wù)器被迫處理接收到的每個 ACK 數(shù)據(jù)包,消耗太多計算能力,以致無法為合法用戶提供服務(wù)。

想象一下,一個惡作劇呼叫者用虛假消息填充某人的語音信箱,使真實呼叫者的語音留言無法進入?,F(xiàn)在假設(shè),這些虛假消息全部說的是:“嗨,我打電話來是跟你說我已收到你的信息?!边@有點像在 ACK 洪水 DDoS 攻擊中發(fā)生的情況。

什么是數(shù)據(jù)包?

通過 Internet 發(fā)送的所有數(shù)據(jù)都分割為較小的片段,稱為數(shù)據(jù)包。想象一下,某人想在 Twitter 上發(fā)表一個深入的觀點或講一個長篇故事,不得不將其文本分割成 280 個字符的片段,并以一系列推文的形式發(fā)布,而不是一次性發(fā)布全部。對于那些不使用 Twitter 的人,可以想一下沒有專用短信應(yīng)用的手機如何將長短信文本分成幾個較小的部分。

傳輸控制協(xié)議(TCP)是 Internet 通信的重要組成部分。使用 TCP 協(xié)議發(fā)送的數(shù)據(jù)包在其標(biāo)頭中包含附加的信息。TCP 協(xié)議使用數(shù)據(jù)包標(biāo)頭來告訴接收方有多少個數(shù)據(jù)包以及它們應(yīng)以什么順序到達(dá)。標(biāo)頭還可以指示數(shù)據(jù)包的長度和類型等信息。

這有點像給文件夾取名,讓人們知道其中的內(nèi)容?;氐?Twitter 的例子,發(fā)布大量推文的人通常會指明該系列中有多少條推文,以及每條推文的編號以幫助讀者閱讀它們。

什么是 ACK 數(shù)據(jù)包?

ACK 表示“確認(rèn)”。ACK 數(shù)據(jù)包是確認(rèn)接收到一條消息或一系列數(shù)據(jù)包的任何 TCP 數(shù)據(jù)包。ACK 數(shù)據(jù)包的技術(shù)定義是標(biāo)頭中設(shè)置了“ACK”標(biāo)志的 TCP 數(shù)據(jù)包。

什么是 ACK 洪水 DDoS 攻擊?ACK如何防御?插圖

ACK 數(shù)據(jù)包隸屬于 TCP 握手,后者是三個連續(xù)的步驟,用于在 Internet 上任何兩個連接的設(shè)備之間啟動對話(就像現(xiàn)實生活中人們在開始交談之前通過握手來問候一樣)。TCP 握手的三個步驟是:

  1. SYN
  2. SYN ACK
  3. ACK

打開連接的設(shè)備(比如,用戶的筆記本電腦)通過發(fā)送 SYN(“同步”的縮寫)數(shù)據(jù)包來啟動三向握手。位于連接另一端的設(shè)備(假設(shè)是托管在線購物網(wǎng)站的服務(wù)器)以 SYN ACK 數(shù)據(jù)包答復(fù)。最后,用戶的筆記本電腦發(fā)送一個 ACK 數(shù)據(jù)包,此時三向握手宣告完成。此過程可確保兩個設(shè)備都已聯(lián)機并且準(zhǔn)備好接收其他數(shù)據(jù)包,本例中為允許用戶加載網(wǎng)站。

但是,這并非使用 ACK 數(shù)據(jù)包的唯一時間。TCP 協(xié)議要求連接的設(shè)備確認(rèn)它們已按順序接收了所有數(shù)據(jù)包。假設(shè)用戶訪問一個托管圖片的網(wǎng)頁。圖片分解為數(shù)據(jù)包,并發(fā)送到用戶的瀏覽器。整個圖片到達(dá)后,用戶設(shè)備就會向主機服務(wù)器發(fā)送一個 ACK 數(shù)據(jù)包,以確認(rèn)一個像素也沒丟失。如果沒有此 ACK 數(shù)據(jù)包,主機服務(wù)器必須再次發(fā)送圖片。

由于 ACK 數(shù)據(jù)包是在標(biāo)頭中設(shè)置了 ACK 標(biāo)志的任何 TCP 數(shù)據(jù)包,因此 ACK 可以是筆記本電腦發(fā)送到服務(wù)器的其他消息的一部分。如果用戶填寫表單并將數(shù)據(jù)提交給服務(wù)器,則筆記本電腦可以將其中一個數(shù)據(jù)包作為圖片的 ACK 數(shù)據(jù)包。它不需要是單獨的數(shù)據(jù)包。

ACK 洪水攻擊如何工作?

ACK 洪水以需要處理收到的每個數(shù)據(jù)包的設(shè)備為目標(biāo)。防火墻和服務(wù)器最有可能成為 ACK 攻擊的目標(biāo)。負(fù)載均衡器、路由器和交換機不容易遭受這些攻擊。

合法和非法 ACK 數(shù)據(jù)包看起來基本相同,因此,如果不使用內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)?過濾掉不必要的 ACK 數(shù)據(jù)包,就很難阻止 ACK 洪水。盡管看起來很相似,但用于 ACK DDoS 攻擊的數(shù)據(jù)包并不包含數(shù)據(jù)本身數(shù)據(jù)包的主要部分,也稱為有效負(fù)載。為了顯得合法,它們僅需在 TCP 標(biāo)頭中包含 ACK 標(biāo)志。

ACK 洪水是第 4 層(傳輸層)DDoS 攻擊。了解第 4 層和 OSI 模型。

SYN ACK 洪水攻擊如何工作?

SYN ACK 洪水 DDoS 攻擊與 ACK 攻擊略有不同,但基本思路仍然相同:用過多的數(shù)據(jù)包來壓垮目標(biāo)。

記住 TCP 三向握手的工作方式:握手的第二步是 SYN ACK 數(shù)據(jù)包。通常,服務(wù)器在響應(yīng)來自客戶端設(shè)備的 SYN 數(shù)據(jù)包時發(fā)送此 SYN ACK 數(shù)據(jù)包。在 SYN ACK DDoS 攻擊中,攻擊者使大量 SYN ACK 數(shù)據(jù)包涌向目標(biāo)。這些數(shù)據(jù)包根本不屬于三向握手協(xié)議的一部分,它們的唯一目的是打斷目標(biāo)的正常運作。

攻擊者也有可能在?SYN 洪水 DDoS 攻擊中使用 SYN 數(shù)據(jù)包。

如何阻止 ACK 洪水 DDoS 攻擊?

目前防御ACK的最好方法是高防CDN?,高防CDN代理往返于 Cloudflare 客戶的源站服務(wù)器的所有流量。CDN 不會傳遞與開放 TCP 連接無關(guān)的任何 ACK 數(shù)據(jù)包。這樣可以確保惡意 ACK 流量不會到達(dá)源站服務(wù)器。由數(shù)據(jù)中心組成的?CDN 網(wǎng)絡(luò)的規(guī)模足夠大,足以吸收幾乎任何規(guī)模的 DDoS 攻擊,因此 ACK 洪水對 高防CDN 幾乎沒有影響。

0 條回復(fù) A文章作者 M管理員
    暫無討論,說說你的看法吧
QQ客服
  • QQ176363189 點擊這里給我發(fā)消息
旺旺客服
  • 速度網(wǎng)絡(luò)服務(wù)商 點這里給我發(fā)消息
電子郵箱
  • sudu@yunjiasu.cc
微信客服
  • suduwangluo