什麼服務器能防禦ddos攻擊?DDoS攻擊，指借助于C/S技術，将多個計算機聯合起來作為攻擊平台，對一個或多個目标發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力，今天小編就來聊一聊關于什麼服務器能防禦ddos攻擊?接下來我們就一起去研究一下吧!

什麼服務器能防禦ddos攻擊

DDoS攻擊，指借助于C/S技術，将多個計算機聯合起來作為攻擊平台，對一個或多個目标發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

通常，攻擊者将DDoS主控程序安裝在其所擁有的計算機，或使用通過非法手段獲取到的帳号，将DDoS主控程序安裝在其他已淪陷的計算機上，并将DDoS代理程序安裝在網絡上的許多已淪陷的計算機上。當攻擊者意圖對被害業務系統發起DDoS攻擊時，會通過DDoS主控程序與大量DDoS代理程序通訊。DDoS代理程序在收到DDoS主控程序的指令後就會立即發動DDoS攻擊，從而造成被害業務系統網絡幾近癱瘓，甚至于出現宕機。利用客戶/服務器技術，DDoS主控程序能在短短幾秒鐘内發動成千上萬個DDoS代理程序進行DDoS攻擊。

首先從一個現實生活環境的比方來深入理解什麼是DDoS攻擊。

一家商鋪試圖讓對面那家有着競争關系的商鋪無法正常營業，他們會采取什麼手段呢？一般會有如下幾步：

他們首先會雇傭一群馬仔，并讓這群馬仔們扮作普通客戶；

然後命令這群馬仔們一直擁擠在對手的商鋪，賴着不走，真正的購物者卻無法進入；

讓馬仔們總是和營業員有一搭沒一搭的東扯西扯，讓商鋪的工作人員不能正常服務客戶;

也可以為商鋪的經營者提供虛假信息，商鋪的的工作人員上上下下忙成一團之後，卻發現都是一場空，最終跑了真正的大客戶，損失慘重。

此外馬仔們完成這些壞事有時憑單幹難以完成，需要叫上很多人一起。

網絡空間安全領域中DoS和DDoS攻擊也遵循着這些思路。

在網絡空間安全的三要素——"保密性"、"完整性"和"可用性"中，DoS攻擊，即拒絕服務攻擊，針對的目标正是"可用性"。該攻擊方式利用目标系統網絡服務功能缺陷或者直接消耗其系統資源，使得該目标系統無法提供正常的服務。

DDoS攻擊的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的，當攻擊目标存在有CPU速度低、内存小或者網絡帶寬小等等各項指标不高的性能時，它的效果是明顯的。随着計算機與網絡技術的發展，計算機的處理能力迅速增長，内存大大增加，同時也出現了超大規模的網絡，這使得DoS攻擊的困難程度顯著加大了——目标系統對惡意攻擊包的"消化能力"加強了不少。這時候DDoS攻擊就應運而生了。DDoS攻擊就是利用更多的傀儡機(肉雞)來發起進攻，以比從前更大的規模來進攻受害者的業務系統，從而造成被害業務系統網絡幾近癱瘓，甚至于出現宕機。

DDoS攻擊通過大量合法的請求占用大量網絡資源，以達到癱瘓網絡的目的。這種攻擊方式主要可分為以下幾種:

1. IP Spoofing

2. LAND attack

3. Smurf攻擊

4. Teardrop攻擊

5. SYN Flood攻擊

6. SYN ACK Flood攻擊

7. ACK Flood 攻擊

8. TCP 全連接攻擊

9. UDP Flood

10. CC 攻擊

11. 以上攻擊的混合攻擊

IP Spoofing攻擊是指創建的IP 數據包中具有僞造的源 IP 地址，目的是在發動攻擊時隐藏攻擊者的身份或冒充成另一個計算系統。當攻擊者冒充網絡上的另一個設備或用戶以對網絡主機發起攻擊、竊取數據、傳播惡意軟件或繞過訪問控制時，就會發生欺騙攻擊。

防範IP 欺騙攻擊的主要方法有以下幾種：

1、針對于内網環境下，可以進行IP-MAC綁定。通過将接收到的IP數據包中的源IP與已有的IP-MAC表進行對比，若已有的IP-MAC表中的源IP對應的MAC地址和IP數據包中的其發送者的MAC地址不符，則将其發送的數據包進行丢棄。

2、針對于公網環境下，可以直接丢棄從公網方向接收到的IP數據包中源IP為内網IP段範圍内(10.0.0.0/8，172.16.0.0/12，192.168.0.0/16)的IP數據包。

3、針對于公網環境下，還可以使用URPF，通過取出從公網方向接收到的IP數據包中的源IP地址，然後查看自身的路由表中是否有該數據包的路由信息。如果路由表中沒有其用于數據返回的路由信息，那麼極有可能是某人僞造了該數據包，于是便把它丢棄。

LAND Attack指的是攻擊者向目标系統發送一個SYN的TCP包，包中的源地址被僞造為目标系統的地址。當目标系統收到包後，會向自己發送一個SYN ACK的TCP包。然後，目标系統向自己發送一個ACK包，這樣就自己和自己建立一個空連接。這個空連接會一直持續，直到超時。當目标系統被這樣大量欺騙，建立大量空連接，消耗大量的系統資源，導緻目标系統底層操作系統運行緩慢，甚至崩潰。該漏洞存在于很多早期操作系統，如Windows XP和Windows 2003。

防範着陸攻擊的主要方法依賴于過濾并丢棄源地址和目标地址相同的SYN、SYN ACK的TCP數據包。

Smurf攻擊通過使用将回複地址設置成目标系統網絡的廣播地址的ICMP應答請求(ping)數據包，來淹沒目标系統，最終導緻目标系統網絡的所有主機都對此ICMP應答請求做出答複，導緻網絡阻塞。

防範Smurf攻擊的主要方法有以下幾種：

1、針對于網絡設備可以過濾并丢棄IP數據包中的源IP地址為廣播地址的IP數據包。

2、針對于終端設備，可以禁止對IP數據包中的目标地址為廣播地址的ICMP包進行響應。

3、針對于網絡邊界設備，可以對于從本網絡向外部網絡發送的IP數據包中源地址為其他網絡的這部分IP數據包過濾并丢棄。

Teardrop攻擊通過向目标系統發送一些分片IP報文，并且故意将“13位分片偏移”字段設置成錯誤的值，此處既可以與上一分片數據重疊，也可以與上一分片數據錯開，目标系統在組合這種含有重疊偏移的僞造分片報文時，會導緻目标系統底層操作系統崩潰。

防範Teardrop攻擊的主要方法依賴于把接收到的分片報文先放入緩存中，并根據源IP地址和目的IP地址對報文進行分組，源IP地址和目的IP地址均相同的報文歸入同一組，然後對每組IP報文的相關分片信息進行檢查，丢棄分片信息存在錯誤的報文。為了防止緩存溢出，當緩存快要存滿時，直接丢棄後續分片報文。

SYN Flood攻擊指的是攻擊者在短時間内使用大量的肉雞或僞造大量不存在的IP地址，向目标系統不斷地發送SYN數據包，迫使目标系統需要回複大量SYN ACK确認包，并等待發送源的确認。由于源地址不對确認包進行響應或者源地址是根本就不存在的，目标系統需要不斷的重發SYN ACK确認包直至SYN包超時，這些一直得不到确認的SYN包将長時間占用SYN隊列，正常的SYN請求被丢棄或被拒絕，導緻目标系統運行緩慢，嚴重者會引起網絡堵塞甚至目标系統底層操作系統癱瘓。

緩解SYN Flood攻擊的主要方法有以下幾種：

1、縮短SYN數據包超時（SYN Timeout）時間，減少SYN隊列内無效SYN數據包積壓數量。

2、增加最大半連接數，即增加SYN隊列大小，使得系統可以容納更多的SYN數據包。

3、開啟SYN Cookies，就是給每一個請求連接的IP地址分配一個Cookie，當再次收到相同五元組的SYN數據包時，不再新分配ACK号，而是複用之前的ACK号，從而減小SYN隊列長度。

4、進行首包丢棄，一般情況下正常訪問者在首包超時後會再次發送SYN數據包，而攻擊者一般情況下則不會重新發送SYN數據包，從而減少SYN隊列内無效SYN數據包積壓數量。

5、進行源地址驗證，如果源地址是僞造的話直接丢棄該SYN數據包，從而減少SYN隊列内無效SYN數據包積壓數量。

SYN_ACK Flood攻擊指的是攻擊者發送大量的SYN ACK數據包到目标系統，目标系統将會為處理這些報文而消耗大量的資源，導緻目标系統運行緩慢，嚴重者會引起網絡堵塞甚至目标系統底層操作系統癱瘓。

緩解SYN ACK Flood攻擊的主要方法有以下幾種：

1、如果不需要主動發起連接，可以将所有的SYN ACK包丢棄。

2、進行源地址驗證，如果源地址是僞造的話直接丢棄該SYN ACK數據包。

ACK Flood攻擊是發生在TCP連接建立之後，由于所有的數據傳輸TCP報文都帶有ACK标志位，所以目标系統在接收到一個帶有ACK标志位的數據包的時候，需要檢查該數據包所表示的連接四元組是否存在，如果存在則檢查該數據包所表示的狀态是否合法，然後再向應用層傳遞該數據包。如果在檢查中發現該數據包不合法，例如該數據包所指向的目的端口在本機并未開放，則主機操作系統協議棧會回應RST包告訴對方此端口不存在。這裡，服務器要做兩個動作：查表、回應ACK/RST。由于攻擊者發送大量的帶有ACK标志位的數據包，導緻目标系統需要進行大量的查詢操作，導緻目标系統運行緩慢，嚴重者會引起網絡堵塞甚至目标系統底層操作系統癱瘓。

緩解ACK Flood攻擊的主要方法有以下幾種：

1、統計源地址各類型數據包分布，如果目标系統從該源地址收取數據包的數量異常大于目标系統發往該源地址的數據包的數量，則可以直接丢棄該源地址的ACK數據包。

2、進行源地址驗證，如果源地址是僞造的話直接丢棄該ACK數據包。

TCP全連接攻擊是通過消費目标系統進程數和連接數，隻連接而不進行發送數據的一種攻擊方式。當攻擊者連接到目标系統，僅僅隻是連接，此時目标系統會為每一個連接創建一個進程來處理攻擊者發送的數據。但是攻擊者隻是連接而不發送數據，此時目标系統會一直處在Recv或者Read的狀态，如此一來，多個連接，目标系統的每個連接都是出于等待狀态從而導緻目标系統的崩潰。

一般來說，防範TCP全連接攻擊的主要方法依賴于限制單個源IP可與目标系統建立的最大連接數，從而确保目标系統不會崩潰。

UDP Flood攻擊又稱UDP淹沒攻擊，是流量型DoS攻擊的一種，常常利用大量UDP小包沖擊目标系統，從而耗盡目标系統的帶寬。由于UDP協議是一種無連接的服務，在發動UDP Flood攻擊時，攻擊者發送大量僞造源IP地址的小UDP包，也可以導緻目标系統癱瘓。

防範UDP Flood攻擊的主要方法依賴于在網絡邊界處限制單個源IP可發往目标系統的最大包速率和最大帶寬，從而确保目标系統帶寬不被耗盡且不會崩潰。

CC攻擊，其前身名為Fatboy攻擊，是利用不斷對目标系統發送連接請求緻使形成拒絕服務的目的。CC攻擊又可分為代理CC攻擊和肉雞CC攻擊。代理CC攻擊是攻擊者借助代理服務器生成指向目标系統的合法網頁請求，從而導緻目标系統的CPU幾近100%，甚至宕機的現象。而肉雞CC攻擊是黑客使用CC攻擊軟件，控制大量肉雞，發動攻擊，相比來後者比前者更難防禦。因為肉雞可以模拟正常用戶訪問網站的請求。僞造成合法數據包。

緩解CC 攻擊的主要方法有以下幾種：

1、限制單源地址可被目标系統處理的總請求數，從而避免出現單源地址占用目标系統資源過多的情況。

2、限制單源地址單位時間可被目标系統處理的請求數，從而避免出現單源地址占用目标系統資源過多的情況。

3、網站頁面靜态化，使用網站頁面靜态化可以較大程度的減少系統資源消耗，從而增強系統對請求的處理能力。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!