ddos防护原理

ddos防护原理是什么？了解ddos的防护就得知道它的攻击原理，介绍几种常见的ddos攻击原理及其防护措施。

SYN Flood

原理：SYN-Flood攻击利用TCP协议实现上的缺陷，通过向网络服务所在端口发送大量伪造源地址的攻击报文，造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

防护：市场上有些防火墙具有SYN Proxy功能，一般是定每秒通过指定对象的SYN片段数的阀值，当来自相同源地址或发往相同目标地址的SYN片段数，达到这些阀值，防火墙就开始截取连接请求和代理回复，并将不完全的连接请求存储到连接队列中，直到连接完成或请求超时。

Get

原理：主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用数据库的网站系统而设计，和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，以小博大的攻击方法。

防护：统计到达每一个服务器每秒钟的GET请求数，如果远远超过正常值，就要对协议解码，找出 Get及其参数。然后，判断某个GET请求是来自代理服务器还是恶意请求。并回应一个带key的响应需求请求发起端作出相应的回馈。如果发起端并不响应则说明是利用工具发起的，这样 Get请求就无法到达服务器，达到防护效果。

ACK Flood

原理：ACK Flood攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是不是存在，如果存在则检查该数据包所表示的状态是不是合法，然后再向应用层传递该数据包。

防护：一些防火墙建立一个hash表，用来存放TCP连接“状态”，相对于主机的TCP stack实现来说，状态检查的过程相对简化。

以上是枫舟驿站对几种ddos攻击原理及防护的介绍，想要有效预防ddos可选择枫舟驿站的高防服务，详情请点击枫舟驿站ddos高防。