DDoS: Distributed Denial of Service,分布式拒绝服务攻击。它被认为是安全领域中最难解决的问题之一,迄今为止也没有一个完美的解决方案。
DDoS 简介
常见的 DDoS 攻击有 SYN Flood、UDP Flood、ICMP Flood。
其中:SYN Flood 是发现于 1996 年最经典的 DDoS 攻击。它利用了 TCP 协议设计中的缺陷,想要修复这样的缺陷几乎是不可能的事情。它的流程大致如下:
- 攻击者首先伪造大量的源地址 IP,分别向服务器发送大量的 SYN 包;
- 此时服务器会返回 SYN/ACK 包,但因为源地址是伪造的,服务器并不会应答,会重试并且等待一个 SYN Time(
30s - 2min),并且丢弃这个链接; - 服务器此时将会消耗大量的资源来处理这种半连接,最后服务器无法理睬正常的连接请求;
对抗 SYN Floow 的主要方法:
SYN Cookie/SYN Proxy,saferset等算法;SYN Cookie的主要思想是为每个 IP 地址分配一个Cookie,并且统一每个 IP 地址的访问频率。短时间内大量来自同一个 IP 地址的数据包,则会被认为受到攻击。