新疆都市报 > 科技 > 互联网 >

高防服务器之Connection Flood防护

发布时间:2019-09-16 09:58来源: 未知

Connection Flood也是一种相当麻烦的DDoS攻击方式,腾正科技认为高防服务器能够更好地防御这种攻击。

Connection Flood称为连接耗尽攻击,简而言之就是将服务器上可用的连接数占满导致其无法正常响应。Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式,这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应其他客户所发起的链接。

 

 

区别于与其他的攻击方式的是,连接耗尽攻击使用真实的IP地址与服务器建立连接。攻击者操控了大量的肉鸡主机或者使用代理服务器来发起大规模的连接。当连接数达到一定规模,超过了服务器的能力时,就会使正常的连接无法建立。通过不断地与服务器建立大量的连接,最终耗尽服务器的内存资源。

当服务器遇到Connection Flood时,一般会出现以下两种情况:

1) 若干个源IP与服务器建立了大量的连接;

2) 大量的连接处于TIME_WAIT, FIN_WAIT状态;

显然,如果攻击者掌握的肉鸡主机数量不足够多的话,就需要每个肉鸡主机与服务器建立相当数量的连接才能使攻击效果见效。防火墙就可以通过限制每个源IP的连接数来将攻击的影响降到最低点。但是当肉鸡主机数量足够多的时候,几乎是每个源IP只与服务器同时保持2到3个连接,如果限制源IP的连接数,就有可能使得正常的服务无法正常访问。大部门的网站内容都是很多的,打开一个页面就可能需要向服务器发起数十个连接,限制连接就有可能使得页面上的内容无法正常打开。

连接耗尽攻击对防火墙带来的冲击是很明显的,由于连接数量庞大,占用了大量的连接表项,防火墙的负载和内存使用率将会明显上升。如果在防火墙前面部署具有防护连接耗尽攻击能力的设备,在肉鸡主机向服务器发起连接请求的时候,防护设备是无法简单的根据SYN包来判断是否是正常连接的,从而只能让连接通过,只有当连接建立之后才有可能判断是否恶意的连接,但此时已经对服务器和防火墙造成了一定的影响。所以防护设备在连接建立之后,如果一断时间内没有有效的数据包从客户端到达,则可以判定此连接为"空连接",同时应当尽快地主动清除已经建立的连接,使得防火墙和服务器释放连接表项。

Connection Flood也是一种相当麻烦的DDoS攻击方式,腾正科技认为高防服务器能够更好地防御这种攻击。腾正科技高防服务器具有海量的DDoS清洗能力,针对攻击流量自动启用相应防护策略,还具有T级防护系统,抵御不同类攻击坚如磐石。