DDoS功击是目前最常见的网络功击方式之一,主要分为CC功击和流量型功击。CC功击主要是针对某些业务服务进行频繁访问,重点在于通过精心选择访问的服务,激发大量消耗资源的数据库查询、文件IO等,导致业务服务器CPU、内存或者IO出现瓶颈,无法正常提供服务。流量型功击主要是通过发送报文侵占正常业务带宽,甚至堵塞整个数据中心的出口,导致正常用户访问无法达到业务服务器。流量型功击细分起来还有许多种,下面墨者安全给大家介绍其中几种典型的。

QQ截图20180920151303.png

TCP SYN FLOOD

一个正常的TCP连接需要进行三方握手操作。首先,客户端向服务器发送一个TCP SYN数据包。而后服务器分配一个控制块,并响应一个SYN ACK数据包。服务器随后将等待从客户端收到一个ACK数据包。如果服务器没有收到ACK数据包,TCP连接将处于半开状态,直到服务器从客户端收到ACK数据包或者连接因为time-to-live(TTL)计时器设置而超时为止。在连接超时的情况下,事先分配的控制块将被释放。当一个功击者有意地、重复地向服务器发送SYN数据包,但不对服务器发回的SYN ACK数据包答复ACK数据包时,就会发生TCP SYN泛洪功击。通常×××会伪造TCP SYN的源地址为一个不存在的地址,让服务器根本没法回包,并且增加TCP SYN的报文长度,同时堵塞机房出口。


QQ截图20180920151552.png

UDP FLOOD

又称UDP洪水功击或UDP淹没功击,UDP是没有连接状态的协议,因此可以发送大量的UDP包到某个端口,如果是个正常的UDP应用端口,则可能干扰正常应用,如果是没有正常应用,服务器要回送ICMP,这样就消耗了服务器的处理资源,而且很容易阻塞上行链路的带宽。通常×××会发送大量长度较长,源IP伪造成不存在地址的UDP报文,直接堵塞机房出口。


QQ截图20180920152004.png

反射型功击

反射拒绝服务功击又称DRDoS功击(Distributed Reflection Denial of Service),或分布式反射拒绝服务功击。其原理如图2-22所示,是×××伪造成被功击者的IP地址,向互联网上大量开放特定服务的服务器发起请求,接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。整个过程中,返回响应的服务器并不知道请求源的恶意动机。


QQ截图20180920151636.jpg

墨者安全防护DDoS的基本原理

墨者安全DDoS防护的基本原理就是替身防护,即通过A记录、CNAME或者NS的方式将被功击网站的域名指向云清洗机房,云清洗机房利用囤积的大量带宽进行流量清洗,把清洗后的正常业务访问转发给网站,过滤掉功击流量。墨者安全提供提供1T超大防护宽带,单IP防护能力最大可达数百G,通过最新自研的WAF指纹识别架构,完全过滤异常CC功击行为,百万并发过滤,从容应对超大流量功击。