高防雲伺服器可以防禦哪些型別的攻擊?
高防雲伺服器是一款可防禦大規模DDoS攻擊、CC攻擊的雲伺服器型別,能夠幫助網站應對拒絕服務攻擊,對惡意流量進行有效鑑別和清洗,為單個客戶提供網路安全維護。那麼,高防雲伺服器具體可以防禦哪些型別的攻擊呢
1、頻寬消耗攻擊
DDoS頻寬消耗攻擊主要為直接洪流攻擊,它利用了攻擊方的資源優勢,當大量代理髮出的攻擊流量匯聚於目標物件時,足以耗盡其網路接入頻寬。常見的頻寬消耗攻擊型別包括:TCP洪水攻擊(SYN Flood),UDP以及ICMP洪流攻擊,三者可以單獨使用,也可同時使用。
據研究統計,大多數DDoS攻擊通過TCP洪流攻擊實現。TCP洪水攻擊是一種利用TCP協議缺陷,使用假冒IP或IP號段傳送海量偽造的連線請求,從而使得被攻擊方資源耗盡(CPU滿負荷或記憶體不足)的攻擊方式。由於TCP協議是許多重要應用層服務的基礎,所以極大可能對伺服器的效能造成致命影響。
UDP洪水攻擊是一種日漸猖厥的流量型DoS攻擊,常見的情況是利用大量UDP小包衝擊DNS伺服器或Radius認證伺服器、流媒體視訊伺服器,100kbps的UDP洪水攻擊經常將線路上的骨幹裝置例如防火牆打癱,造成整個網段的癱瘓。因此,有時連線到受害系統周邊網路的主機也會遭遇網路連線問題。
ICMP洪流攻擊就是通過代理向受害主機發送大量ICMP_ECHO REQEST (“ping”)報文,這些報文湧向目標並使其迴應報文,兩者和起來的流量將使受害者主機網路頻寬飽和,造成拒絕服務,ping/smurf攻擊軟體都是典型基於ICMP協議的攻擊軟體,當出現ICMP洪流攻擊的時候,只要禁止ping就行了。
2、系統資源消耗攻擊
DDoS系統資源消耗攻擊包括惡意誤用TCP/IP協議通訊(TCP SYN攻擊與TCP PSH+ACK攻擊)和畸形報文攻擊兩種方式,兩者都能起到佔用系統資源的效果。
SYN攻擊是利用TCP協議缺陷,通過傳送大量半連線請求以耗費CPU和記憶體資源,除影響主機外,還可能危害路由器、防火牆等網路系統。在DDoS方式下,其攻擊強度得到了成百上千倍的增加。SYN攻擊不能被完全阻止,只能通過加固TCP/IP協議棧、部署防火牆/路由器等過濾閘道器加以防禦,以儘量減輕危害。
TCP PUSH+ACK 攻擊與TCP SYN攻擊一樣,目的在於耗盡受害系統的資源。當代理向受害主機發送PSH和ACK標誌設為1的TCP報文時,將使接收系統清除所有TCP緩衝資料(不管緩衝區是滿的還是非滿),並回應一個確認訊息。如果這一過程被大量重複,系統將無法處理大量的流入報文,造成服務崩潰。
畸形報文攻擊,指攻擊者指使代理向受害主機發送有缺陷的IP報文,使得目標系統在處理這樣的IP包時會出現崩潰,給目標系統帶來損失。主要的畸形報文攻擊如Ping of Death(傳送超大尺寸ICMP報文)Teardrop(利用IP包碎片攻擊)、畸形TCP報文、 IP-fragment攻擊等。
3、對應用層的攻擊
應用層攻擊並非使用流量或會話來淹沒網路,它針對特定的應用/服務緩慢地耗盡應用層上的資源。應用層攻擊在低流量速率下十分有效,從協議角度看,攻擊中涉及的流量可能是合法的。這使得應用層攻擊比其他型別的DDoS攻擊更加難以檢測。HTTP洪水、CC攻擊、DNS攻擊等都是應用層攻擊的例項。
HTTP 洪水是利用看似合法的HTTP GET或POST 請求攻擊網頁伺服器或應用,通常使用殭屍網路進行。殭屍網路是通過將大量主機感染bot程式病毒所形成的一對多的控制網路,黑客可以控制這些殭屍網路集中發動對目標主機的拒絕服務攻擊,這使得HTTP洪水攻擊很難被檢測和攔截。
CC攻擊是基於頁面攻擊的,模擬許多使用者不間斷的對伺服器進行訪問,並且攻擊物件往往是伺服器上開銷比較大的動態頁面,涉及到資料庫訪問操作。由於使用代理作為攻擊發起點,具有很強的隱蔽性,系統很難區分是正常的使用者操作還是惡意流量,進而造成資料庫及其連線池負載過高,無法響應正常請求。
DNS攻擊主要有兩種形式,一是通過發起大量的DNS請求,導致DNS伺服器無法響應正常使用者的請求(Dns Query Flood);二是通過發起大量偽造的DNS迴應包,導致DNS伺服器頻寬擁塞(Dns Reply Flood);兩種方式都將導致正常使用者不能解析DNS,從而不能獲取服務。