<span id="rh9f9"></span>
    <noframes id="rh9f9">
        <noframes id="rh9f9"><address id="rh9f9"><nobr id="rh9f9"></nobr></address>

          《金盾防火墻》為您的服務器保駕護航!
          馬上購買《金盾防火墻》
          站內搜索:

          Connection Flood攻擊原理與使用金盾防火墻進行防護

          發表時間:2011/10/16 0:49:44 | 訪問量(7880)

          Connection Flood攻擊原理

          Connection Flood(TCP多連接攻擊,CC攻擊等通過建立大量連接請求導致拒絕服務的攻擊類型的總稱)是典型的并且非常的有效的利用小流量沖擊大帶寬網絡服務的攻擊方式,這種攻擊方式目前已經越來越猖獗。這種攻擊的原理是利用真實的IP地址向服務器發起大量的連接,并且建立連接之后很長時間不釋放,占用服務器的資源,造成服務器服務器上殘余連接(WAIT狀態)過多,效率降低,甚至資源耗盡,無法響應其他客戶所發起的連接。

          其中一種攻擊方法是每秒鐘向服務器發起大量的連接請求,這類似于固定源IP的SYN Flood攻擊,不同的是采用了真實的源IP地址。通常這可以在防火墻上限制每個源IP地址每秒鐘的連接數來達到防護目的。但現在已有工具采用慢速連接的方式,也即幾秒鐘才和服務器建立一個連接,連接建立成功之后并不釋放并定時發送垃圾數據包給服務器使連接得以長時間保持。這樣一個IP地址就可以和服務器建立成百上千的連接,而服務器可以承受的連接數是有限的,這就達到了拒絕服務的效果。

          另外,蠕蟲大規模爆發的時候,由于蠕蟲代碼則比較簡單,傳播過程中會出現大量源IP地址相同的包,對于 TCP 蠕蟲則表現為大范圍掃描行為。這是在判斷Connection Flood時需要注意的。

          在受攻擊的服務器上使用netstat –an來看:
          Connection Flood 查看狀態

          存在大量連接狀態,來自少數的幾個源。如果統計的話,可以看到連接數對比平時出現異常。并且增長到某一值之后開始波動,說明此時可能已經接近性能極限。因此,對這種攻擊的判斷:在流量上體現并不大,甚至可能會很小;大量的ESTABLISH狀態;新建的ESTABLISH狀態總數有波動。

           Connection Flood防護

          1. 主動清除殘余連接。
          2. 對惡意連接的IP進行封禁。
          3. 限制每個源IP的連接數。
          4. 可以對特定的URL進行防護。
          5. 反查Proxy后面發起Http Get Flood的源。

          金盾防火墻在默認的設置下就能很有效的防御此類攻擊,見下圖:

          金盾防火墻的“防護參數”面板,其中的“連接數量保護”和“連接空閑超時”這2個設置項就是專門針對此類攻擊的防御設置,默認配置下就能很好的防御Connection Flood類型的攻擊了??梢詤⒖迹?a href="http://www.btz81.com/Display.aspx?ID=44" target="_blank">金盾軟件防火墻部分界面截圖與功能介紹

          如果是針對CC攻擊進行防御,請參考:設置金盾80端口防護,完美防御網站CC攻擊(不影響搜索引擎的收錄)

          1
          7*24小時銷售客服
          關閉
          我把姪女开了苞小说,成人午夜免费视频app,国产亚洲午夜在线不卡影院

            <span id="rh9f9"></span>
            <noframes id="rh9f9">
                <noframes id="rh9f9"><address id="rh9f9"><nobr id="rh9f9"></nobr></address>