DDOS攻击原理及防护方法论

核心提示： 正常ICMP包：图片看不清楚？请点击这里查看原图（大图），图大包攻击的时候：图片看不清楚？请点击这里查看原图（大图），DDOS攻击原理及防护方法论(10)，图3.4.2 ICMP Flood防护其防御也很简单，直接过滤ICMP报文，传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫

正常ICMP包：

图片看不清楚？请点击这里查看原图（大图）。

图

大包攻击的时候：

图片看不清楚？请点击这里查看原图（大图）。

图

3.4.2 ICMP Flood防护

其防御也很简单，直接过滤ICMP报文。这里就不做详细说明。

3.5 Connection Flood攻击

3.5.1 原理

Connection Flood是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的连接。

其中一种攻击方法是每秒钟向服务器发起大量的连接请求，这类似于固定源IP的SYN Flood攻击，不同的是采用了真实的源IP地址。通常这可以在防火墙上限制每个源IP地址每秒钟的连接数来达到防护目的。但现在已有工具采用慢速连接的方式，也即几秒钟才和服务器建立一个连接，连接建立成功之后并不释放并定时发送垃圾数据包给服务器使连接得以长时间保持。这样一个IP地址就可以和服务器建立成百上千的连接，而服务器可以承受的连接数是有限的，这就达到了拒绝服务的效果。

另外，蠕虫大规模爆发的时候，由于蠕虫代码则比较简单，传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为。这是在判断Connection Flood时需要注意的。