選擇雲盾抗ddos防火牆,資訊保安有保障
阿新 • • 發佈:2019-02-12
轉:http://bbs.tianya.cn/post-itinfo-337614-1.shtml
DoS和DDoS攻擊是大型網站和網路伺服器的安全威脅之一。2000年2月,眾多知名網路企業被攻擊等事例,曾被刻在重大安全事件的歷史中。SYN Flood由於其攻擊效果好,已經成為目前最流行的DoS和DDoS攻擊手段。
雲盾抗ddos防火牆通常用於保護內部網路不受外部網路的非授權訪問,它位於客戶端和伺服器之間,因此利用雲盾抗ddos防火牆來阻止DoS攻擊能有效地保護內部的伺服器。針對SYN Flood,防火牆通常有三種防護方式:SYN閘道器、被動式SYN閘道器和SYN中繼。SYN閘道器 雲盾抗ddos防火牆收到客戶端的SYN包時,直接轉發給伺服器;防火牆收到伺服器的SYN/ACK包後,一方面將SYN/ACK包轉發給客戶端,另一方面以客戶端的名義給伺服器回送一個ACK包,完成TCP的三次握手,讓伺服器端由半連線狀態進入連線狀態。當客戶端真正的ACK包到達時,有資料則轉發給伺服器,否則丟棄該包。由於伺服器能承受連線狀態要比半連線狀態高得多,所以這種方法能有效地減輕對伺服器的攻擊。
被動式SYN閘道器 設定雲盾抗ddos防火牆的SYN請求超時引數,讓它遠小於伺服器的超時期限。防火牆負責轉發客戶端發往伺服器的SYN包,伺服器發往客戶端的SYN/ACK包、以及客戶端發往伺服器的ACK包。這樣,如果客戶端在防火牆計時器到期時還沒傳送ACK包,防火牆則往伺服器傳送RST包,以使伺服器從佇列中刪去該半連線。由於防火牆的超時引數遠小於伺服器的超時期限,因此這樣能有效防止SYN Flood攻擊。
SYN中繼 SYN中繼雲盾抗ddos防火牆在收到客戶端的SYN包後,並不向伺服器轉發而是記錄該狀態資訊然後主動給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問,由防火牆向伺服器傳送SYN包並完成三次握手。這樣由防火牆做為代理來實現客戶端和伺服器端的連線,可以完全過濾不可用連線發往伺服器。