在了解分布式拒绝服务攻击的原理之前,先要了解以下两个关键的基础原理
1.TCP饿死:
UDP这种传输方式不会控制自己在通信通道里的流量,可理解为不讲道理的人。他们来到了一个热闹地区的KFC中,但是他们不买东西只排队将所有食物的价格都问一遍,占满所有的座位和过道。而常规的TCP服务通过自己的弹窗机制来控制流量,好比讲道理的人,座位被占满了,TCP自然会离开KFC导致正常的服务不能进行。最终的结果就是UDP将整个通道打满堵死。
2.TCP三次握手和四次断开连接:
文字说不清楚,见下图
TCP头格式
seq:序列号;ack:确认序列号
双方均需要确认才可断开连接
关于双方在整个过程中每个时间段的状态名称·
分析完以上的两个原理便可继续
DOS攻击:一台或多台计算机对受攻击服务器的某一个端口发送大量无关的UDP报文,导致整个通道内的正常服务无法进行。
DDOS攻击:大量的肉鸡对服务器的不同端口发送巨型流量的UDP报文,无法通关关闭端口的方式来进行隔离,破坏力极强,严重会造成服务器当机。
根据攻击的时间和方式又可分将DDOS为以下几种
1.SYN Flood
2.ACK Flood
3.Connection Flood
4.HTTP Get Flood
对TCP饿死的应对方案
1.增加带宽,堵死了再买
2.CDN,各地部署子服务器,当子服务遭受到攻击时,其他地区的服务器和主服务器不会受到影响。
3.BGP流量清洗,通过BGP将通道内的无用UDP报文清洗干净再转给服务器