随着网络攻击手段同质化越来越严重,防御也不得不更新,比如ack。
泛洪服务器攻击是在TCP连接建立后,所有数据传输TCP包都用ack位进行标记。当主机接收到一个带有ACK位的数据包时,需要检查数据包所代表的连接四联是否存在,如果存在,检查数据包所代表的状态是否合法,然后将数据包传递给应用层。
说白了,ACK flood攻击者试图用TCP ACK包让服务器过载。就像你女朋友在和你打电话,你妈妈打不进去,电话占线一样。类似于DDoS
与攻击一样,ACK flooding的目的是通过使用垃圾数据来降低目标的速度或使其崩溃,从而导致对其他用户的拒绝服务。目标服务器被迫处理收到的每个ACK。
数据包消耗过多的计算能力,无法为合法用户提供服务。
ACK攻击服务器的保护方案:
1.ACK flood攻击是如何攻击服务器的?
Ack flood攻击是TCP连接建立后,所有传输的TCP消息都是带有Ack标志位的数据包。
当接收到一个带有ACK标志的数据包时,接收方需要检查该数据包所代表的连接四元组是否存在,如果存在,则检查该数据包所代表的状态是否合法,然后将该数据包传递给应用层。如果检查时发现包是非法的,如果指向的目的端口没有打开,操作系统协议栈会响应RST包,告诉对方端口不存在。
这时候服务器要做两个动作,查表和响应ack/rst。
这种攻击方式没有syn flood对服务器的影响大(因为syn
Flood占用连接),这样的攻击必须受到大流量ack包的影响才能影响服务器。
根据tcp协议栈的原理,随机源IP的ack包应该很快就会被服务器丢弃,因为服务器的tcp栈中没有这些ack包的状态信息。在实际测试中,发现有一些tcp服务要ack。
洪水很敏感。
对于Apache或者IIS来说,几十kpps的ack洪流不会造成威胁,但是更高数量的ack。
洪水冲击会导致网卡中断过于频繁,因为负载过重而停止响应。
jsp服务器在少量ack包的冲击下很难处理正常的连接请求。所以ack
Flood不仅会危害路由器等网络设备,还会对服务器上的应用产生很大的影响。
ACK泛洪针对的是需要处理收到的每个数据包的设备。防火墙和服务器最有可能是ACK。
攻击的目标。负载平衡器、路由器和交换机不易受到这些攻击。
合法和非法的ACK包看起来基本一样,如果不使用CDN过滤掉不必要的ACK包,很难阻止ACK。
洪水。虽然看起来很像,但用于ACK DDoS攻击的数据包并不包含数据包本身的主要部分,也称为有效载荷。为了显得合法,它们只需要包含在TCP报头中。
ACK标志。
ACK泛洪是第4层(传输层)DDoS攻击。理解第4层和OSI模型。
第二,服务器受到ACK攻击的损害。
攻击者利用僵尸网络发送大量ack消息,会导致以下三种危害:
1.负载较重的ack泛洪攻击会导致链路拥塞。
2.攻击消息到达服务器,导致处理性能耗尽,从而拒绝正常服务。
3.极高的ack泛洪攻击率很容易导致依赖会话转发的设备转发性能下降甚至网络瘫痪。
三、如何阻止ACK flood的DDoS攻击?
目前防御ACK最好的方法是防御CDN,可以防御所有来自Cloudflare客户源服务器的流量。CDN不会通过并打开TCP。
任何与连接无关的ACK数据包。这确保了恶意ACK流量不会到达源服务器。数据中心组成的CDN网络足够大,可以吸收几乎任何规模的DDoS。
攻击,所以ack洪流对CDN影响不大。
现在大家都知道ack的攻击原理和危害,更多内容可以随时和找独服运维沟通。找独服专业提供云计算服务、DDOS防护、网络安全服务、数据中心托管和租赁服务。找独服先后研发出网络攻击防御平台、DDOS电信级网络防火墙、攻击指纹识别系统等核心系统设备,拥有多项安全领域核心专利,为用户上网旅程保驾护航。
评论前必须登录!
注册