<span id="rh9f9"></span>
    <noframes id="rh9f9">
        <noframes id="rh9f9"><address id="rh9f9"><nobr id="rh9f9"></nobr></address>

          《金盾防火墻》為您的服務器保駕護航!
          馬上購買《金盾防火墻》
          站內搜索:

          ACK Flood攻擊原理與使用金盾防火墻進行防護

          發表時間:2011/10/18 23:40:32 | 訪問量(7761)

          ACK Flood攻擊原理

          ACK Flood攻擊是在TCP連接建立之后,所有的數據傳輸TCP報文都是帶有ACK標志位的,主機在接收到一個帶有ACK標志位的數據包的時候,需要檢查該數據包所表示的連接四元組是否存在,如果存在則檢查該數據包所表示的狀態是否合法,然后再向應用層傳遞該數據包。如果在檢查中發現該數據包不合法,例如該數據包所指向的目的端口在本機并未開放,則主機操作系統協議棧會回應RST包告訴對方此端口不存在。

          這里,服務器要做兩個動作:查表、回應ACK/RST.這種攻擊方式顯然沒有SYN Flood給服務器帶來的沖擊大,因此攻擊者一定要用大流量ACK小包沖擊才會對服務器造成影響。按照我們對TCP協議的理解,隨機源IP的ACK小包應該會被Server很快丟棄,因為在服務器的TCP堆棧中沒有這些ACK包的狀態信息。但是實際上通過測試,發現有一些TCP服務會對ACK Flood比較敏感,比如說JSP Server,在數量并不多的ACK小包的打擊下,JSP Server就很難處理正常的連接請求。對于Apache或者IIS來說,10kpps的ACK Flood不構成危脅,但是更高數量的ACK Flood會造成服務器網卡中斷頻率過高,負載過重而停止響應??梢钥隙ǖ氖?,ACK Flood不但可以危害路由器等網絡設備,而且對服務器上的應用有不小的影響。

          抓包:
          ACK Flood攻擊包

          如果沒有開放端口,服務器將直接丟棄,這將會耗費服務器的CPU資源。如果端口開放,服務器回應RST.

          ACK Flood防護

          利用對稱性判斷來分析出是否有攻擊存在。所謂對稱型判斷,就是收包異常大于發包,因為攻擊者通常會采用大量ACK包,并且為了提高攻擊速度,一般采用內容基本一致的小包發送。這可以作為判斷是否發生ACK Flood的依據,但是目前已知情況來看,很少有單純使用ACK Flood攻擊,都會和其他攻擊方法混合使用,因此,很容易產生誤判。

          一些防火墻應對的方法是:建立一個hash表,用來存放TCP連接“狀態”,相對于主機的TCP stack實現來說,狀態檢查的過程相對簡化。例如,不作sequence number的檢查,不作包亂序的處理,只是統計一定時間內是否有ACK包在該“連接”(即四元組)上通過,從而“大致”確定該“連接”是否是“活動的

          金盾防火墻在默認的設置下就能很有效的防御此類攻擊,見下圖:

          金盾防火墻的“防護參數”面板,其中的“ACK保護觸發”這個設置項就是專門針對此類攻擊的防御設置,默認配置下就能很好的防御UDP Flood類型的攻擊了??梢詤⒖迹?a href="http://www.btz81.com/Display.aspx?ID=44" target="_blank">金盾軟件防火墻部分界面截圖與功能介紹

          1
          7*24小時銷售客服
          關閉
          我把姪女开了苞小说,成人午夜免费视频app,国产亚洲午夜在线不卡影院

            <span id="rh9f9"></span>
            <noframes id="rh9f9">
                <noframes id="rh9f9"><address id="rh9f9"><nobr id="rh9f9"></nobr></address>