隨著網絡攻擊方式同質化越來越嚴重,防御也得更新,例如ACK
Flooding服務器攻擊,是在TCP連接建立之后,所有的數據傳輸TCP報文都是帶有ACK標志位的,主機在接收到一個帶有ACK標志位的數據包的時候,需要檢查該數據包所表示的連接四元組是否存在,如果存在則檢查該數據包所表示的狀態是否合法,然后再向應用層傳遞該數據包。
說人話就是:ACK 洪水攻擊者試圖用 TCP ACK 數據包使服務器過載。就像你女友跟你煲電話粥,你媽是打不進一樣占線。類似 DDoS
攻擊一樣,ACK 洪水的目的是通過使用垃圾數據來減慢攻擊目標的速度或使其崩潰,從而導致拒絕向其他用戶提供服務。目標服務器被迫處理接收到的每個 ACK
數據包,消耗太多計算能力,以致無法為合法用戶提供服務。
ACK攻擊服務器防護方案:http://www.bxgb88.com/ddos/large.html
一、ACK 洪水攻擊如何攻擊服務器?
ack flood攻擊是TCP連接建立之后,所有傳輸的TCP報文都是帶有ACK標志位的數據包。
接收端在收到一個帶有ACK標志位的數據包的時候,需要檢查該數據包所表示的連接四元組是否存在,如果存在則檢查該數據包所表示的狀態是否合法,然后再向應用層傳遞該數據包。如在檢查中發現數據包不合法,如所指向的目的端口未開放,則操作系統協議棧會回應RST包告訴對方此端口不存在。
此時服務器要做兩個動作,查表和回應ack/rst。
這種攻擊方式沒有syn flood給服務器帶來的沖擊大(因為syn
flood占用連接),此類攻擊一定要用大流量ack小包沖擊才會對服務器造成影響。
根據tcp協議棧原理,隨機源IP的ack小包應該會被server很快丟棄,因為在服務器的tcp堆棧中沒有這些ack包的狀態信息。在實際測試中發現有一些tcp服務對ack
flood比較敏感。
對于Apache或者IIS來說,幾十kpps的ack flood不會構成威脅,但更高數量的ack
flood沖擊會造成網卡中斷頻率過高負載過重而停止響應。
jsp server在數量不多的ack小包沖擊下jsp server很難處理正常的連接請求。所以ack
flood不僅危害路由器等網絡設備,并且對服務器上的應用也有很大的影響。
ACK 洪水以需要處理收到的每個數據包的設備為目標。防火墻和服務器最有可能成為 ACK
攻擊的目標。負載均衡器、路由器和交換機不容易遭受這些攻擊。
合法和非法 ACK 數據包看起來基本相同,因此,如果不使用內容分發網絡 (CDN) 過濾掉不必要的 ACK 數據包,就很難阻止 ACK
洪水。盡管看起來很相似,但用于 ACK DDoS 攻擊的數據包并不包含數據本身數據包的主要部分,也稱為有效負載。為了顯得合法,它們僅需在 TCP 標頭中包含
ACK 標志。
ACK 洪水是第 4 層(傳輸層)DDoS 攻擊。了解第 4 層和 OSI 模型。
二、服務器遭受ACK攻擊的危害
attacker利用僵尸網絡發送大量的ack報文,會導致以下三種危害:
1.帶有超大載荷的ack flood攻擊,會導致鏈路擁塞。
2.攻擊報文到達服務器導致處理性能耗盡,從而拒絕正常服務。
3.極高速率的變源變端口ack flood攻擊,很容易導致依靠會話轉發的設備轉發性能降低甚至成網絡癱瘓。
三、如何阻止 ACK 洪水 DDoS 攻擊?
目前防御ACK的最好方法是高防CDN ,高防CDN代理往返于 Cloudflare 客戶的源站服務器的所有流量。CDN 不會傳遞與開放 TCP
連接無關的任何 ACK 數據包。這樣可以確保惡意 ACK 流量不會到達源站服務器。由數據中心組成的 CDN 網絡的規模足夠大,足以吸收幾乎任何規模的 DDoS
攻擊,因此 ACK 洪水對 高防CDN 幾乎沒有影響。
這下大家知道ACK的攻擊原理與危害了吧,更多內容可以隨時跟互聯數據運維溝通。互聯數據專業提供云計算服務、DDOS防護、網絡安全服務、數據中心托管出租等業務。互聯數據先后研發了網絡攻擊防御平臺、DDOS運營商級網絡防火墻、攻擊指紋識別系統等核心系統設備,在安全領域擁有多項核心專利,為用戶上網之旅保駕護航。
上一篇:
Aws、Shopee、Lazada測評補單怎么安全有效?
下一篇:
2023年,原神私人服務器如何搭建?
