高防服務器主要是指IDC領域的IDC機房或者線路有防御DDOS能力的服務器。主要是比普通服 武器多了防御服務,一般都是在機房出口架設了專門的硬件防火墻設備以及流量清洗牽引設備等, 用來防御常見的CC攻擊,DDOS,SYN攻擊。
高防服務器屬于IDC的服務器產(chǎn)品的一種,根據(jù)各個IDC機房的環(huán)境不同,有的提供有硬防,有的使用軟防。簡單來說,就是能夠幫助網(wǎng)站拒絕服務攻擊,并且定時掃描現(xiàn)有的網(wǎng)絡主節(jié)點,查找可能存在的安全漏洞的服務器類型,包括WAF(Web Application Firewall)防御,都可定義為高防服務器。
硬防和軟防
在選擇高防服務器的時候,要先了解防御類型和防御大小。防火墻是介于內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)和公共網(wǎng)之間的一種保護屏障,防火墻分為兩種:一種是軟件防火墻、另一種是硬件防火墻。
1、軟件防火墻:軟件防火墻是寄生于操作平臺上的,軟件防火墻是通過軟件去實現(xiàn)隔離內部網(wǎng)與外部網(wǎng)之間的一種保護屏障。
2、硬件防火墻:硬件防火墻是鑲嵌系統(tǒng)內的,硬件防火墻是由軟件和硬件結合而生成的,硬件防火墻從性能方面和防御方面都要比軟件防火墻要好。
流量牽引
其次是流量牽引技術,這是一種新型的防御,它能把正常流量和攻擊流量區(qū)分開,把帶有攻擊的流量牽引到有防御DDOS、CC等攻擊的設備上去,把流量攻擊的方向牽引到其它設備上去而不是選擇自身去硬抗。
攻擊分類
從防御范圍來看,高防服務器能夠對SYN、UDP、ICMP、HTTP GET等各類DDoS攻擊進行防護,并且能針對部分特殊安全要求的web用戶提供CC攻擊動態(tài)防御。一般情況下,基于包過濾的防火墻只能分析每個數(shù)據(jù)包,或者有限的分析數(shù)據(jù)連接建立的狀態(tài),防護SYN或者變種的SYN、ACK攻擊效果不錯,但是不能從根本上來分析tcp或者udp協(xié)議。
SYN
SYN變種攻擊發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)這種攻擊會造成一些防火墻處理錯誤鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。TCP混亂數(shù)據(jù)包攻擊發(fā)送偽造源IP的 TCP數(shù)據(jù)包,TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等,會造成一些防火墻處理錯誤鎖死,消耗服務器CPU內存的同時還會堵塞帶寬。
UDP
針對用UDP協(xié)議的攻擊很多聊天室,視頻音頻軟件,都是通過UDP數(shù)據(jù)包傳輸?shù)?,攻擊者針對分析要攻擊的網(wǎng)絡軟件協(xié)議,發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包,這種攻擊非常難防護,一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護,但是這樣會造成正常的數(shù)據(jù)包也會被攔截,針對WEB Server的多連接攻擊通過控制大量肉雞同時連接訪問網(wǎng)站,造成網(wǎng)站無法處理癱瘓。由于這種攻擊和正常訪問網(wǎng)站是一樣的,只是瞬間訪問量增加幾十倍甚至上百倍,有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護,但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封,針對WEB Server的變種攻擊通過控制大量肉雞同時連接訪問網(wǎng)站,一點連接建立就不斷開,一直發(fā)送發(fā)送一些特殊的GET訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數(shù)就失效了,因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護。
攻擊解析
SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費CPU和內存資源。TCP協(xié)議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控制整個數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效。所以TCP協(xié)議采用三次握手建立一個連接。
第一次握手:建立連接時,客戶端發(fā)送syn包到服務器,并進入SYN_SEND狀態(tài),等待服務器確認;
第二次握手:服務器收到syn包,必須確認客戶的SYN 同時自己也發(fā)送一個SYN包 即SYN+ACK包,此時服務器進入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務器的SYN+ACK包,向服務器發(fā)送確認包ACK此包發(fā)送完畢,客戶端和服務器進入ESTABLISHED狀態(tài),完成三次握手。
假設一個用戶向服務器發(fā)送了SYN報文后突然死機或掉線,那么服務器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下服務器端一般會重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接,這段時間的長度稱為SYN Timeout,一般來說這個時間是分鐘的數(shù)量級(大約為30秒-2分鐘);一個用戶出現(xiàn)異常導致服務器的一個線程等待1分鐘并不是什么很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況,服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源----數(shù)以萬計的半連接,即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存,何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大,最后的結果往往是堆棧已經(jīng)崩潰---即使服務器端的系統(tǒng)足夠強大,服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正??蛻舻慕嵌瓤磥?,服務器失去響應,這種情況稱做:服務器端受到了SYN Flood攻擊(SYN洪水攻擊)。
當前名稱:什么是高防服務器?網(wǎng)絡攻擊有哪幾種類型?
本文鏈接:http://muchs.cn/hangye/fwqtg/n7787.html
聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)