一、DDOS攻击的原理
分布式拒绝服务,Distributed Denial of Service,利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。常见于,查找功能,异常输入数据造成的程度崩溃等场景。具体有几种形式:
- 通过使网络过载来干扰甚至阻断正常的网络通讯;
- 通过向服务器提交大量请求,使服务器超负荷;
- 阻断某一用户访问服务器;
- 阻断某服务与特定系统或个人的通讯。
SYN攻击,synchronous,属于DDOS攻击中的一种具体表现形式。
SYN是TCP/IP建立连接时使用的握手信号,在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接,此时服务器处于SYN_RCVD状态。当收到ACK后,服务器才能转入ESTABLISHED状态。
SYN攻击指的是,攻击客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认。正常的SYN请求被丢弃,导致目标系统运行缓慢,严重者会引起网络堵塞甚至系统瘫痪。
二、SYN攻击的防御
1、缩短超时(SYN Timeout)时间;
2、增加最大半连接数;
3、限制请求频率;
4、使用验证码过滤自动攻击者;
5、做好网络架构优化;