TCP连接攻击
来源:互联网 发布:运动控制仿真软件 编辑:程序博客网 时间:2024/06/06 00:24
TCP连接耗尽攻击与防御原理
攻击原理
连接耗尽攻击是指攻击者通过僵尸网络,向服务器发起大量的TCP连接,耗尽服务器的TCP连接资源。连接耗尽一般有以下几种攻击类型:
- 完成三次握手后,不发送任何报文,一直维持这些TCP连接。
- 完成三次握手后,立刻发送FIN或RST报文,释放本端连接,同时快速发起新的连接。
- 连接过程中呈现给服务器端很小的TCP windows size,导致服务器TCP协议栈资源耗尽。
- 发送大量TCP重传请求,以很小的流量即可导致被攻击网络上行链路拥塞。
防御原理
针对此攻击会耗尽服务器的TCP连接资源的特点,Anti-DDoS设备对目的IP地址的新建连接速率和并发连接数分布进行统计,当新建连接速率或并发连接数大于阈值时,则触发对源IP地址的相应检查,当检查发现异常时,将异常源IP地址加入黑名单,切断其TCP流量。
- 源IP地址新建连接速率检查:启动源IP地址新建连接速率检查后,如果某个源IP地址在检查周期内发起的TCP新建连接数大于阈值,则将该源IP地址判定为攻击源。
- 源IP地址并发连接数检查:启动源IP地址并发连接数检查后,如果某个源IP地址的TCP并发连接数大于阈值,则将该源IP地址判定为攻击源。
- 慢速连接速率检查:启动慢速连接速率检查后,统计同一源IP地址对同一目的IP地址的连接次数,在各统计时间间隔内,如果连续多次连接数相同并超过阈值,则判定为TCP慢速连接攻击。
异常会话检查:如果在检查周期内,某个源IP地址发起的TCP异常会话的连接数大于阈值时,则将该源IP地址判定为攻击源。判定TCP异常会话依据如下:
- 空连接检查:如果在检查周期内,在某条TCP连接上通过的报文数小于阈值,则判定该连接为异常连接。
- 重传会话检查:当某条TCP连接上重传报文数量大于阈值时,则判定该连接为异常连接。
- 慢启动连接检查:当某条TCP连接上通过的报文窗口小于阈值时,则判定该连接为异常连接。
当异常会话数超过一定数量时,将此源加入黑名单。异常会话数量可配置。
记录一下,面试者问我tcp连接一直来,怎么防,我他妈哪里知道啊....
2 0
- TCP连接攻击
- TCP连接攻击
- tcp的半连接攻击和全连接攻击--TCP_DEFER_ACCEPT
- tcp的半连接攻击和全连接攻击--TCP_DEFER_ACCEPT
- tcp的半连接攻击和全连接攻击--TCP_DEFER_ACCEPT
- tcp的半连接攻击和全连接攻击--TCP_DEFER_ACCEPT
- tcp的半连接攻击和全连接攻击--TCP_DEFER_ACCEPT
- FW:TCP半连接和syn攻击
- TCP半连接和syn攻击
- TCP半连接与SYN攻击
- TCP 连接的三次握手 以及 SYN攻击防范
- 基于TCP半连接SYN Flooding攻击原理及防范
- 【转载】FW:TCP半连接和syn攻击
- tcp连接Recv-Q、syn flood攻击及backlog监控
- 快速穷举TCP连接欺骗攻击-利用SYN Cookies
- 非法TCP报文攻击
- TCP洪水攻击
- TCP SYN攻击
- 《构建之法》中的例子
- VMware上安装Linux系统
- std::fstream
- java获取硬盘ID以及MAC地址等唯一标识码(详解,测试通过)
- POJ 2728 Desert King (最优比例生成树)
- TCP连接攻击
- 走遍世界 —— 阿拉伯联合酋长国
- 1035. Password (20)
- js 截取 URL中的文件名
- 利用php-cli和任务计划实现刷新token的功能
- 2017年 Android第三方库
- 低功耗蓝牙BLE之广播
- Error: The SDK platform-tools version ((23)) is too old to check APIs compiled with API 23
- 4种Java引用浅解