SYN-Flood防护示意图
2020-11-11 10:43:01 11 举报
DDoS之SYN-Flood防护
作者其他创作
大纲/内容
误杀
SYN+ACK
3. ACK
SYN
半连接队列
透包
server
由于攻击者很难模拟出合法的ACK包,所以透包的可能性比较低。
该防护算法不会存在误杀,对业务影响也很小。如上图所示:客户端会发送第4个包,这个在RFC中有规定。
attackers
Ligitimate clients
4. RST
2. SYN+ACK
1. SYN
3. RST
攻击无法收到以上SYN+ACK包,从而达到了攻击防护目的
5. SYN
SafeRST 防护算法
SYNCOOKIE防护算法
加白名单
4. SYN
白名单认证通过
6. ACK
7. ACK
5. SYN+ACK
6. SYN+ACK
该防护算法不会存在误杀,但是可能会对业务造成影响。如上图所示:客户端会不会发送第5个包完全依赖客户端的实现,并不是协议规定的。某些客户端如果没有重新建立连接等机制,该次访问就会失败。
收藏
收藏
0 条评论
回复 删除
下一页
